Assiste.com
Grayware - Logiciel pas inoffensif mais pas malveillant
Grayware - Classification de certains logiciels n'étant pas totalement inofensifs, mais n'étant pas complètement des malveillances.
cr 01.04.2012 r+ 21.08.2020 r- 18.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Grayware est un terme de l'industrie informatique.
Grayware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « gray » (la couleur grise, indéfinissable, quelque part entre le blanc et le noir) et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».
Des tentatives de classer certaines formes de malveillances plus ou moins « légères » dans une superclasse (un générique) ont conduit à créer le terme de « Graywares » (Fortinet semble le premier à utiliser ce terme le 14.09.2004) ou, parfois, « greywares »). On y classe des applications dont le comportement (en exécution comme en manière d'arriver dans l'ordinateur de l'utilisateur) n'est pas totalement inoffensif mais n'est pas, non plus, franchement malveillant.
Cela permet de créer un classement hiérarchique de la dangerosité des logiciels :
Sain 
GraywareMalwaresVirus, cybercriminalités et compagnie.
Le terme de Virus est devenu un foure-tout incluant toutes les formes hautement malveillantes d'attaques. Virus désignait, initialement, des malveillances utilisant une forme particulière de propagation, comme Worm désigne des malveillances utilisant une autre forme particulière de propagation. Les réels Virus « traditionnels » n'existent quasiment plus mais le terme reste.
« Graywares » est très proche de PUPs qui y sont englobés. On classe dans « Graywares » :
- Tous les codes informatiques et applications qui touchent à la vie privée et à la navigation Internet (au sens du tracking, telles que les barres d'outils inutiles (soit 99,999% des barres d'outils), les hijackers modifiant les réglages et préférences des navigateurs (page de démarrage, etc. ...)).
- Tous les add-on aux navigateurs Web qui s'installent mais n'apparaissent pas (se cachent) dans les outils gestionnaires des modules complémentaires installés ou ne possèdent pas de procédure de désinstallation ou empêchent (masquent) l'utilisation de la procédure de désinstallation (bouton ou lien grisé, non cliquable, etc. ...).
- Toutes les applications et add-on qui comportent des mécanismes de ré-installation automatique lorsque l'utilisateur les désinstalle (AppInit_dll, moniteur de surveillance, etc. ...).
- Tous les mécanismes qui inscrivent quelque chose dans les marques-pages à l'insu de l'utilisateur.
- Toutes les applications ayant une très mauvaise réputation (l'application ou son auteur / éditeur) dans les outils de crowdsourcing (confirmée dans la durée et par le nombre élevé d'avis - par exemple dans WOT et autres bases de données de Web Réputation et BlackLists :
Outils de consultation en ligne des bases de données de Web Réputation et de blacklistage - selon les visiteurs et utilisateurs
Outils de consultation en ligne des bases de données de Web Réputation et de blacklistage - selon les robots d'analyses - Tous les codes informatiques et applications qui ont une incidence sur la vitesse et la productivité d'un ordinateur (calcul distribué à l'insu de l'utilisateur, gadgets, blagues (joke), etc. ...).
- Tous les codes informatiques et applications qui ont une incidence sur la vitesse et l'occupation de la bande passante Internet (Adwares, P2P, etc. ...).
- Tous les codes informatiques et applications qui se comportent d'une manière ennuyeuse ou indésirable.
- Tous les téléchargeurs piégés (monétisation...) et installeurs piégés (monétisation...), ajoutant des applications non sollicités ou indésirables, globalement appelées PUPs.
- Tous les installeurs ayant des cases pré-cochées (Opt-Out au lieu d'Opt-In) et / ou utilisant des termes comme « Recommandé » près d'une case à cocher.
- Tous les mécanismes et toutes les applications délivrant de la publicité (tous les Adwares). Ceci exclut les scripts natifs installés volontairement pas un Webmaster dans les pages d'un site lui appartenant afin de rémunérer son travail (le blocage de cette forme de délivrance des publicités relève d'outils comme Adblock Plus et de la Procédure de blocage total de la publicité sur le Web).
- Les logiciels qui s'installent d'eux-mêmes dans des emplacements non standard (par exemple ailleurs que dans le répertoire C:\Program Files (x86) sous Windows 7). Les installeurs doivent, par contre, permettre à l'utilisateur de choisir un emplacement non standard et l'utilisateur a intérêt à installer ses applications dans un répertoire en dehors de ceux de Windows (lire Répertoires de téléchargements et d'installations d'applications).
- Les logiciels qui s'installent mais ne possèdent pas de procédure de désinstallation ou, pour être désinstallés, demandent qu'un outil additionnel soit téléchargé (l'outil additionnel étant généralement malveillant).
- Tous les générateurs de POP-Up, POP-Under, POP-Over, POP-Up Slider, etc. ... qu'ils soient publicitaires ou non.
- Tous les outils d'usurpation des publicités sur les sites afin de détourner les revenus publicitaires, incluant les hijackers vers des moteurs de recherche menteurs, les outils de remplacement à la volée des publicités légitimes sur les sites par d'autres, les barres d'outils, les mécanismes de redirection vers des sites de remplacement non sollicités, l'altération des résultats de recherche ou l'insertion de résultats ne provenant pas de la recherche « naturelle », etc. ...
- Les mécanismes créant des racourcis non sollicités sur le bureau.
- Tous les logiciels de Nettoyage, compression et défragmentation du Registre Windows.
- Pratiquement tous les prétendus utilitaires d'optimisation, d'accélération, réglages (tweaking), nettoyage des disques durs, défragmentation, recherches d'erreurs, recherches de mises à jour (dont des drivers (pilotes), etc. ...), dont le comportement est mensonger (scareware) et qui demandent un paiement avant de faire quoi que ce soit (qui ne se fera pas ou sera inutile, voire plantera définitivement l'ordinateur).
- Tous les Bloatwares (logiciels " gonflants ", au sens propre et figuré, mais pas malveillants)
- Tous les PUP - Potentially Unwanted Program (ou PUA - Potentially Unwanted Application)
- Tous les Crapwares
- Tous les Scarewares
- Tous les Inutilitaires
- Etc. ...
Mais la tentation semble forte de faire de la définition de « Graywares » un fourre-tout synonyme de « Malwares », au-dela de PUPs, du genre « tout ce qui n'est pas virus »). Cela donnerait une hiérarchie simplifiée :
Sain GraywareVirus et compagnie.
Au vu des définitions données sur le Web par divers auteurs, il semble qu'il existe :
- Une profonde méconnaissance ou une incompréhension totale sur le comportement et les finalités de certaines formes d'attaques. l'archétype de ce manque d'orthodoxie est l'usage massif et totalement erroné du terme « Trojan » (Lire l'article : Cheval de Troie - Confusion entre vecteur et parasite). Dans la superclasse des « Graywares », la mise des outils de Tracking dans la classe des Spywares en est la preuve :
- Le Tracking est une forme d'espionnage, certe, mais passive, comme l'usage des Entêtes HTTP (Header HTTP), n'utilisant aucun développement spécifique de code d'espionnage. Voir de nombreux exemples dynamiques du tracking dont vous êtes victime à l'instant, en temps réel, dans le dossier : Sommes-nous espionnés.
- Les Spywares relèvent de l'espionnage actif par l'usage de logiciels développés et injectés spécifiquement, incluant les keyloggers (par exemple, le logiciel Spytech SpyAgent)
- Le Tracking est une forme d'espionnage, certe, mais passive, comme l'usage des Entêtes HTTP (Header HTTP), n'utilisant aucun développement spécifique de code d'espionnage. Voir de nombreux exemples dynamiques du tracking dont vous êtes victime à l'instant, en temps réel, dans le dossier : Sommes-nous espionnés.
- Un besoin irrépressible de créer des tirroirs avec des étiquettes et de tout classer, surtout lorsque l'on ne connait pas ce que l'on classe (on crée alors une classe « foure-tout »).
Les nombreuses définitions de « Graywares », sur le Web, se recopient les unes les autres, avec leurs erreurs qui se répandent et se multiplient (mais ne deviennent pas vérité).
Les documents reproduits ci-après (captures du 26 août 2015), de l'éditeur d'antivirus Trend, font une liste de malveillances de type « Spywares » et « Graywares » simultanément, ce qui a certainement induit en erreur beaucoup de copieurs « rapides ». Cette liste est devenue, par copies successives sur le Web, avec perte de résolution, une liste des seuls « Graywares ».
Graywares - Cette liste de Graywares et Spywares est devenue une liste des seuls graywares
Graywares - Cette liste de Graywares et Spywares est devenue une liste des seuls graywares
Ces définitions de « Graywares » ne devraient jamais inclure les types d'attaques et malveillances suivantes qui n'ont rien à voir avec des applications qui seraient simplement ennuyeuses ou inattendues, mais pas malveillantes :
Graywares - Cette liste de Trend est devenue une liste des seuls graywares
Toutes les catégories surlignées n'ont rien à voir avec les graywares
- Les spywares :
Les « Spywares » sont des logiciels espions dont la finalité est le vol des données (technologies, secrets, brevets, intelligence industrielle et commerciale, identifiants administratifs et financiers, etc. ...). Il s’agit de cybercriminalités au plus haut niveau. Rien à voir avec les « graywares ».
Il y a, malheureusement, un glissement de l'usage du terme de « Spywares » pour englober divers comportements plus ou moins malveillants dont le « tracking ».
Le « tracking » est une forme d'espionnage, certe, mais qui porte le nom de « tracking » pour une bonne raison : il s'agit d'une forme passive d'espionnage par l'usage de techniques naturelles du Web (usage parfois forcé avec les Web-Bug).
Par définition, les outils exploitant les possibilités naturelles de l'Internet et du Web ne peuvent être des « Spywares » mais, lorsqu'ils sont développés dans le but de provoquer et exploiter ces techniques, comme celle des Entêtes HTTP (Header HTTP), ce sont des « Graywares ».
L'espionnage actif relève de l'usage de logiciels spécifiques, les « Spywares » qui, eux, n'ont pas à être classés en « graywares » mais dans les virus et au-delà.
En plus, le terme même de « Spyware » s'est mis, avec le temps, à englober, de manière totalement erronée :
Graywares - Les spywares seraient une superclasse de malveillances, toutes des graywares ! Faux !- Les « Moniteurs système » !
Ainsi, les outils comme Aida32 ou SpeedFan seraient des spywares ! Qu'il y ait quelques « Moniteurs système » crapuleux servant de « Spyware » est certain, mais que les « Moniteurs système » soient tous qualifiés de « Spyware » est un délire d'auteurs d'articles ne sachant pas de quoi ils parlent ! - Les « Trojans » !
Les trojans ne sont pas et n'ont jamais été des malveillances ! Ce sont des vecteurs, uniquement des vecteurs ! Lire et relire « Trojan (Cheval de Troie - Confusion entre vecteur et parasite) ». D'autre part, les parasites transportés par ces vecteurs peuvent être de n'importe quelle classe de parasite existante. Enfin, on n'utilise pas la technique complexe des Chevaux de Troie (qui nécessite, simultanément l'usage et la maîtrise des techiques des binder et des dropper) pour déployer de simples « Graywares » ou PUPs. - Les Adwares !
Les Adwares sont bien des « Graywares » mais ne sont pas des « Spywares » ! Ce sont des outils de « tracking » pratiquant cette forme édulcorée d'espionnage constant des moindres faits et gestes des internautes, de manière passive. - Les Cookies !
Les « cookies » ne sont pas des logiciels et donc, par définition, ne peuvent être ni des « Spywares » ni des « Graywares ».
- Les « Moniteurs système » !
- Les dialers :
Les dialers ne sont pas de simples logiciels ennuyeux. Ce sont des attaques consistant à mettre la main dans le porte-monnaie des victimes. C’est du vol d'argent. Rien à voir avec des « graywares ». Il s'agit de cybercriminalités. - Outils d'accès à distance (Remote Access Tools) :
Cette classe (RAT - Remote Access Tools) n'a rien à faire dans les « Graywares ». Il ne s'agit à aucun moment d'outils ennuyeux ou ralentissant un ordinateur mais d'outils à très hauts risques, en fonction de leur usage. Les RATs sont soit totalement légitimes soit totalement cybercriminels. Le risque qu’un outil légitime d'accès à distance (Teamviewer par exemple) soit utilisé de manière cybercriminelle n'autorise pas à détecter cette classe en « graywares ». Ce sont des outils dont l'utilisation, par destination, doit être mise en doute car ils peuvent être dramatiquement cybercriminels. Ils doivent être détectés en tant qu’Outils d'accès à distance (RAT - Remote Access Tools), par les antivirus, dans les détections dites " Virus " (à charge pour l'utilisateur de le mettre en liste blanche s'il en a un usage contrôlé). - Hacking Tools :
Les outils de hack (outils servant à compromettre et pénétrer un poste de travail ou un serveur) n'ont rien à voir avec les « graywares ». C'est par la compromission des serveurs que se dépoient le plus rapidement les Ransomwares et les Cryptowares (des attaques irréversibles). - Password Cracking Applications :
Les outils servant à casser les mots de passe n'ont rien à voir avec de « graywares ». Il s’agit de casser une protection, un contrôle d'accès. - Etc. ...
La définition de Grayware par Trendmicro
Evaluer les caractéristiques et risques des graywares (anglais)
Ars Technica - Between black and white: the state of grayware on the PC
