Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Exploit

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
04.09.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

En sécurité informatique, un exploit est une action consistant à exploiter une faille de sécurité afin de pénétrer un ordinateur.

ExploitExploitExploit

En sécurité informatique, un exploit est une action, selon diverses techniques, consistant à exploiter une faille de sécurité (ce qui n'est pas toujours un exploit au sens français du terme). L'exploit est peut-être une prouesse pour celui qui le réussi mais c'est surtout le fait d'exploiter une faille de sécurité qui donne naissance à ce terme d'Exploit.

Il existe d'innombrables failles de sécurité dans pratiquement toutes les applications, sous et dans tous les systèmes d'exploitation. Il n'existe pas de programme 100% sans erreur (error free). Or, les systèmes d'exploitation, et certaines technologies, sont de véritables usines à gaz. Si certaines erreurs sont plus ou moins anodines (un bug dans un programme de paye, multipliant par 100 mon salaire, ne constitue pas une faille de sécurité), certaines de ces erreurs constituent une faille de sécurité.

La faille DROWN dans le protocole httpS (01.03.2016)

Un exemple de faille de sécurité exploitée est la faille, dans un système de sécurité, qui a été appelée :

Cette faille affecte le protocole de communication sécurisé TLS, utilisé dans les sessions HTTPS, et réputé sûre, utilisant SSLv2 (chiffrement sur 2048 bits). Le 1er mars 2016, cette attaque est découverte. 11 millions de sites Web sont identifiés comme compromis. Toutes les données chiffrées échangées entre les internautes et les serveurs sont décryptées (dont les identifiants, mots de passe, coordonnées bancaires, cartes bancaires, etc. ...). On ne sait même pas depuis quand cette faille est exploitée ni combien de personnes sont affectées. Il est estimé qu'un tiers de tous les sites Web au monde utilisant https sont faillibles.

Une faille de sécurité est une erreur permettant une action inattendue (une attaque), de la part d'un acteur non sollicité (un cybercriminel). Les failles de sécurité sont exploitées :

  • A partir du moment où elles sont découvertes, or les cybercriminels sont de très bons informaticiens. Leurs découvertes de failles de sécurité et la manière de les exploiter sont des informations qu'ils conservent totalement secrètes, ou vendent.
  • A partir du moment où le logiciel qui l'embarque est largement déployé. C'est la raison pour laquelle les systèmes d'exploitation et les logiciels plus confidentiels que Windows et le monde PC, comme Linux ou Apple, sont moins attaqués. Les failles Linux ou Unix ou OS/X sont tout aussi nombreuses, elles sont seulement moins recherchées et moins exploitées car ces systèmes sont moins répandus et touchent peu de futures victimes. Parmi les applications répandues, citons Microsoft Office Word, Excel, PowerPoint, tous les media players, etc. ...
  • A partir du moment où la technologie dans laquelle elles se trouvent est universelle. C'est le cas des plugins pour navigateurs WEB : les technologies sont communes à tous les navigateurs et à tous les systèmes d'exploitation. Leurs failles de sécurité sont donc très recherchées et, lorsqu'elles sont trouvées, elles sont massivement exploitées car elles permettent d'attaquer tout le monde, indépendamment de la plateforme et du navigateur. C'est le cas des exploitations de failles de sécurité dans les technologies Java, Flash, Silverlight, QuickTime, Acrobat Reader, etc. ...

    Mettre à jour tous les plugins dans tous les navigateurs, d'un clic.
Il est évident qu'exploiter une faille de sécurité dans le navigateur Internet Explorer (plus de 80% de parts du marché dans les années 2001 à 2007) donne plus de chance de pénétrer de nombreux ordinateurs qu'exploiter une faille de sécurité dans un navigateur ne touchant presque personne (par exemple Opera : à peine 0,8% de parts de marché, en France en septembre 2014).

Il existe de nombreux outils de recherche de failles de sécurité (« scanner de failles » ou « Kit d'exploits »). Ils recherchent les failles connues (ils embarquent une base de données, régulièrement mise à jour, des failles à rechercher) - pour cette même raison, ces kits d'exploits ne sont que très rarement à la recherche d'exploits de type Zero Day.

Les « scanner de failles » ou « Kit d'exploits » utilisés par les directeurs de la sécurité des grands comptes et grandes administrations, pour vérifier si leurs systèmes sont faillibles, sont parfois les mêmes que ceux utilisés par les cybercriminels.

Les « scanner de failles » ou « Kit d'exploits », comme des antivirus, embarquent une base de données des « signatures de failles », à raison de plusieurs centaines de failles recherchées dans plusieurs dizaines d'applications.

Les Kits d'exploits notés BEP (Browser Exploit Pack) sont plutôt spécialisés dans la recherche des failles de sécurité connues présentent dans les navigateurs Internet (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ...), et dans les plugins de ces navigateurs comme ceux des technologies :

Si l'utilisateur met constamment à jour son navigateur et pratique la mise à jour de tous les plugins d'un seul clic 1 ou 2 fois par jour, il a de fortes chances d'échapper à la majorité des exploitations des failles recherchées par les BEP (Browser Exploit Pack).

  1. Exploit Kit Redkit - BEP* - (1 - 03.05.2013) - Googler
  2. Exploit Kit BlackHole - BEP* - (1 - 15.09.2012) (2 - 26.11.2013 - Quasi Extinction) - Googler
  3. Exploit Kit Styx - BEP* - (1 - 26.06.2013) - Googler
  4. Exploit Kit Sweet Orange - BEP* - (1) (2) (3 - 09.02.2015) - Googler
  5. Exploit Kit Crime Boss - BEP* - (1 - 13.09.2012) - Googler
  6. Exploit Kit Cool Exploit Kit - BEP* - (1 - ) (2 - 26.11.2013 - Quasi Extinction) - Googler
  7. Exploit Kit Crime Pack - BEP* - (1 - ) (2 - 05.08.2010) (VT - 22.12.2015) - Googler
  8. Exploit Kit Bleeding Life - BEP* - (1 - ) - Googler
    Est vendu par ses développeurs, aux cybercriminels, pour 200$. Recherche des failles de sécurité de manière très ciblée dans Acrobat, Flash et Java.
  9. Exploit Kit CritXPack (1 - ) - Googler
  10. Exploit Kit El Fiesta - BEP* - (1 - ) - Googler
  11. Exploit Kit Dragon - BEP* - (1 - ) - Googler
  12. Exploit Kit Zombie Infection Kit - BEP* - (1 - ) - Googler
  13. Exploit Kit JustExploit - BEP* - (1 - ) - Googler
  14. Exploit Kit iPack - BEP* - (1 - ) - Googler
  15. Exploit Kit Incognito - BEP* - (1 - ) - Googler
  16. Exploit Kit Impassioned Framework - BEP* - (1 - ) - Googler
  17. Exploit Kit Icepack - BEP* - (1 - ) - Googler
  18. Exploit Kit Hierarchy Exploit Kit - BEP* - (1 - ) - Googler
  19. Exploit Kit Grandsoft - BEP* - (1 - ) - Googler
  20. Exploit Kit Gong Da - BEP* - (1 - ) - Googler
  21. Exploit Kit Fragus Black - BEP* - (1 - ) - Googler
  22. Exploit Kit Eleonore Exploit Kit - BEP* - (1 - ) - Googler
  23. Exploit Kit Lupit Exploit Kit - BEP* - (1 - ) - Googler
  24. Exploit Kit LinuQ - BEP* - (1 - ) - Googler
  25. Exploit Kit Neosploit - BEP* - (1 - ) - Googler
  26. Exploit Kit Liberty - BEP* - (1 - ) - Googler
  27. Exploit Kit Katrin Exploit Kit - BEP* - (1 - ) - Googler
  28. Exploit Kit Nucsoft Exploit Pack - BEP* - (1 - ) - Googler
  29. Exploit Kit Nuclear - BEP* - (1 - ) - Googler
  30. Exploit Kit Mpack - BEP* - (1 - ) - Googler
  31. Exploit Kit Mushroom - BEP* - (1 - ) - Googler
  32. Exploit Kit Merry Christmas - BEP* - (1 - ) - Googler
  33. Exploit Kit Sakura Exploit Pack - BEP* - (1 - ) - Googler
  34. Exploit Kit Phoenix - BEP* - (1 - ) - Googler
  35. Exploit Kit Papka - BEP* - (1 - ) - Googler
  36. Exploit Kit Open Source MetaPack - BEP* - (1 - ) - Googler
  37. Exploit Kit Neutrino - BEP* - (1 - ) - Googler
  38. Exploit Kit Salo Exploit Kit - BEP* - (1 - ) - Googler
  39. Exploit Kit Safe Pack - BEP* - (1 - ) - Googler
  40. Exploit Kit Robopak Exploit Kit - BEP* - (1 - ) - Googler
  41. Exploit Kit Red Dot - BEP* - (1 - ) - Googler
  42. Exploit Kit T-Iframer - BEP* - (1 - ) - Googler
  43. Exploit Kit Siberia Private - BEP* - (1 - ) - Googler
  44. Exploit Kit SofosFO aka Stamp EK - BEP* - (1 - ) - Googler
  45. Exploit Kit Sava Pay0C - BEP* - (1 - ) - Googler
  46. Exploit Kit Zopack - BEP* - (1 - ) - Googler
  47. Exploit Kit Tornado - BEP* - (1 - ) - Googler
  48. Exploit Kit Techno - BEP* - (1 - ) - Googler
  49. Exploit Kit Siberia - BEP* - (1 - ) - Googler
  50. Exploit Kit SEO Sploit pack - BEP* - (1 - ) - Googler
  51. Exploit Kit Yang Pack - BEP* - (1 - ) - Googler
  52. Exploit Kit XPack - BEP* - (1 - ) - Googler
  53. Exploit Kit Whitehole - BEP* - (1 - ) - Googler
  54. Exploit Kit Web-attack - BEP* - (1 - ) - Googler
  55. Exploit Kit Unique Pack Sploit - BEP* - (1 - ) - Googler
  56. Exploit Kit Yes Exploit - BEP* - (1 - ) - Googler
  57. Exploit Kit Zero Exploit Kit - BEP* - (1 - ) - Googler
  58. Exploit Kit Zhi Zhu - BEP* - (1 - ) - Googler
  59. Exploit Kit Sibhost Exploit Pack - BEP* - (1 - ) - Googler
  60. Exploit Kit KaiXin - BEP* - (1 - ) - Googler
  61. Exploit Kit RIG - BEP* - (1 - ) (Utilisé, par exemple, pour la propagation du cryptoware appelé OphionLocker) - Googler
  62. Exploit Kit Angler - BEP* - (1 - ) - Googler
  63. Exploit Kit - BEP* - (1 - ) - Googler

La recherche de failles de sécurité dans les produits Microsoft est donc plus active que dans d'autres produits et les exploits s'appuyant sur les failles des produits Microsoft sont donc d'envergure et très médiatisés. Il est vrai qu'Internet Explorer, en particulier, a été considéré, à juste titre, durant des années, comme un générateur de failles de sécurité en flux continu (dont la folie ActiveX). Microsoft a été considéré, durant des années, depuis son entrée dans le monde de l'Internet, le 16 août 1995, avec Internet Explorer 1, et jusqu'à la publication de Windows version 7, le 22 octobre 2009, comme une société ayant une culture du trou de sécurité.

Il existe donc plusieurs types d'attaques classés à "Exploit" :

  • Les utilitaires qui recherchent les failles, par exemple en scannant les machines (scanners de failles, implantés sur les serveurs...). Ces scanners de failles sont les mêmes entre les mains des responsables de la sécurité des systèmes d'information et entre les mains des cybercriminels. Seule la finalité d'usage change. Le plus connu de ces scanners est, sans doute, Metasploit.
  • Les utilitaires qui exploitent les failles découvertes par les scanners de failles (ils pénètrent les machines et implantent à distance, silencieusement, sans interaction avec l'utilisateur, une malveillance dans la machine contrôlée).

Ces "utilitaires" de découverte et d'exploitation des failles ne se trouvent pas sur les machines des internautes, mais sont implantés côté serveurs et agissent à distance. Ces serveurs peuvent appartenir aux cybercriminels et hébergeant des sites attractifs (de véritables pots de miel pour attirer les visiteurs, tel que des sites pornographiques ou people ou prétendu de hack et crack, ou de P2P, etc. ...), comme des serveurs ne leur appartenant pas et qu'ils ont infestés (ils attaquent alors à partir de sites, totalement légitimes, mais piégés à l'insu de leurs propriétaires).

Sans pare-feu, moins de 4 minutes pour survivre !
A cause de ces scanners qui passent leur vie à analyser tous les " ports " de toutes les adresses IP du monde, à raison de plusieurs millions d'ordinateurs scannés à la seconde, sans pare-feu, vous avez moins de 4 minutes pour échapper aux cybercriminels.

Présence de documents traitant des failles de sécurité

Il peut y avoir des fichiers inattendus, sur votre machine, concernant les exploits. Il s'agit d'une pratique courante des cybercriminels consistant à cacher leurs propres documents, compromettants, dans les machines des autres et jamais sur les leurs. Leur présence signifie tout-de-même qu'une faille de sécurité existe et a été exploitée :

  • Des documents de type cours ou vulgarisation ou mode d'emploi des utilitaires ci-dessus
  • Des documents de type "Full Disclosure"
  • Etc. ...

Ce sont les pirates qui viennent les planquer sur nos machines afin de conserver leurs machines propres en cas de contrôle de police chez eux.

Si la présence de ces documents est trouvée sur une machine d'un employé dans une entreprise, il y a lieu à suspicion envers la protection du réseau d'entreprise et, aussi, envers l'employé). La présence de ces documents sur nos machines pose trois problèmes :

  1. Une faille de sécurité à permis d'introduire une malveillance (que la faille soit humaine ou technique)
  2. La malveillance elle-même qu'il convient d'éradiquer
  3. L'autre faille de sécurité, celle que tente d'exploiter la malveillance
Les anti-malwares et les antivirus ne sont pas là pour corriger les failles de sécurité. Ils vont trouver le parasite implanté et l'éradiquer mais il faut, principalement, empêcher que cela recommence.

Empêcher que cela se produise ou se reproduiseEmpêcher que cela se produise ou se reproduiseEmpêcher que cela se produise ou se reproduise

Il y a trois choses à faire qui sont du domaine du préventif :
  1. La protection de votre navigateur et de la navigation.

  2. L'application constante des correctifs existants aux failles de sécurité, avec Windows Update pour tous les produits Microsoft et Secunia PSI pour tous les produit non Microsoft.
    Utilisez Secunia PSI, gratuit, pour mettre à jour la totalité des logiciels installés dans votre ordinateur. Le modèle économique de Secunia repose sur un service professionnel, payant, auprès du monde de l'entreprise. Secunia n'a pas besoin d'espionner ses utilisateurs gratuits, les particuliers. Sécunia ne vend pas de logiciel, donc n'a pas besoin de savoir ce qu'il y a dans votre machine. Secunia ne délivre pas de publicité, donc n'a pas besoin de vous tracker ni d'établir vos profils, ce qui n'est pas le cas des autres services de même nature, proposés par des vendeurs de logiciels (affiliation) et dont les sites sont barbouillés de publicités.
  3. La mise à jour de tous les plugins de tous les navigateurs. Les plugins des navigateurs sont communs à tous les navigateurs et à tous les systèmes d'exploitation et sont donc les plus recherchés, en termes de failles de sécurité car ils permettent d'attaquer tout le monde, indépendamment de la plateforme et du navigateur.

Il existe assez peu d'outils spécifiquement anti-exploits. EMET, de Microsoft, gratuit, est l'un d'eux. Malwarebytes Anti-Exploit Premium en est un autre (commercial). Les autres dispositifs sont des modules d'antivirus traditionnels, dans leurs versions appelées, généralement, " Internet Security ".