Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Hijacker

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
25.08.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Dans les domaines de la communication et de l'informatique, un "Hijacker" est un dispositif malveillant (un programme ou un script ou l'exploitation d'une faille de sécurité...) pratiquant et maintenant dans le temps une usurpation par modification du comportement d'un autre dispositif, à l'insu de l'utilisateur légitime. L'usurpation porte généralement sur les associations de communications afin de les détourner (page de démarrage d'un navigateur Internet, moteur de recherche, etc. ...).

Assiste.com : Hijacker

Dossier : Hijack - Hijacking

Dossier : Hijack - Hijacking

Hijack
Hijacker
Hijacking

Vocabulaire
LPI Logiciel Potentiellement Indésirable
LPI Logiciel Probablement Indésirable
PUA Potentially Unwanted Application
LPD Logiciel Probablement non Désiré
LPD Logiciel Potentiellement non Désiré
PUM Possibly Unwanted Modification
PUPS Possibly Unpopular Software
MPI Modification Indésirable
Logiciel généralement mal vu
Logiciel inutilitaire - Inutilitaire
Logiciel superflu -
superfluous

Autres classes soutenues par hijacker
Scarewares
Rogues
Crapwares
Bloatwares

Outils avec demande d'assistance
HijackThis
ZHPDiag

Outils automatiques
AdwCleaner
RogueKiller
Malwarebytes Anti Malware MBAM
Junkware Removal Tool JRT
ZHPCleaner
RogueKiller
Spybot Search and Destroy
Emsisoft Anti-Malware
Unchecky
Should I remove it

Nettoyage des raccourcis
Shortcut Cleaner
Nettoyer les raccourcis
Nettoyer les associations

Gestion de la liste de démarrage
CleanAutoRun
MSConfig
Starter (CodeStuff)

HijackerHijackerHijacker

Dans le monde de l'informatique, un hijacker est un outil (du code logiciel) pratiquant une attaque de type Hijack. Un hijacker va modifier les réglages du navigateur (barres d'outils intempestives sorties de nulle part, moteur de recherche habituel remplacé par un moteur de recherche inconnu et menteur...).

Le but des malveillances de type Hijacker est, généralement, de faire gagner de l'argent à leurs auteurs en détournant les communications vers des sites avec lesquels les cybercriminels ont des accords de partenariat (voir, vers leurs propres sites couverts de publicits et / ou marchands).

Il existe de nombreuses dénominations des Hijackers pour de nombreuses formes de Hijacking, en fonction de l'association de communication attaquée :
  • Hijack d'adresse IP
  • Hijack de clé de session
  • Hijack du démarrage de Windows
  • Hijack des raccourcis de lancement des applications (les paramètres sous les icônes ou tuiles)
  • Hijack des associations de fichiers (règles de lancement des applications dans le Registre Windows)
  • Hijack de la page de démarrage du navigateur Internet (Hijacker de navigateur - Pirate de navigateur)
  • Hijack du moteur de recherche utilisé sur le Web (Hijacker de navigateur - Pirate de navigateur)
  • Hijack de liaisons Bluetooth
  • Hijack de noms de domaine
  • Hijack de redirections DNS
  • Hijack du fichier Hosts
  • Hijack par cybersquatting de noms de domaine
  • Hijack par usurpation de pages Web


Hijack - Hijacker - HijackingHijack - Hijacker - HijackingHijack - Hijacker - Hijacking

Hijack - Hijacker - Hijacking

Modification non sollicitée du comportement et/ou des réglages d'un composant d'un ordinateur, dont, le plus souvent, le navigateur et la navigation de l'internaute

Une tentation forte des cybercriminels, et, surtout, des e-commerçants gangsters, est de modifier les réglages de votre navigateur à votre insu. Ceci se fait de diverses manières dont :

  • Par l'intermédiaire de sites compromis (les cybercriminels compromettent des sites légitimes en pénétrant sur leurs serveurs - le site devient, à l'insu de son webmaster, un outil de propagation de la cybercriminalité).
  • Par l'achat de webmasters sans scrupules. Des webmasters sont rémunérés pour déployer les outils d'attaques dans leurs sites et implanter les hijackers chez leurs visiteurs (par exemple : publicités trompeuses et mensongères).
  • Par l'offre d'options, présentées comme utiles, indispensables, gratuites, vivement recommandées, etc. ... lors de l'installation d'un logiciel téléchargé (par exemple - attention aux trucs livrés en bundle lors de l'installation d'un logiciel; attention aux repacks).
  • Etc. ...

Les cybercriminalités de type Hijack utilisent des failles de sécurité pour s'implanter, dont les premières sont le virus PEBCAK et l'ingénierie sociale. Les technologies ActiveX, les JavaScript, les jeux vidéo gratuits, en ligne, écrit avec le langage Java, etc. ... sont des vecteurs largement exploités.

Les modifications par Hijack sont agaçantes (en apparence). Leurs fonctions cachées sont beaucoup plus graves (une forme d'espionnage pudiquement appelée Tracking, etc. ...). Exemples :

  • Afficher un site en plein écran en masquant la quasi totalité des barres de boutons etc. ... (équivalent à l'appui par l'internaute sur la touche F11).
  • Modifier votre sélection de page de démarrage : vous avez choisi, chaque fois que vous lancez votre navigateur, de démarrer sur telle page (par exemple le moteur de recherche Google). Après attaque par un hijacker, votre préférence est modifiée et vérouillée (elle ne peut plus être restaurée / corrigée) et votre navigateur démarre, par exemple, sur le site d'un moteur de recherche inconnu et menteur (les résultats ne sont pas du tout ceux escomptés). Les résultats sont « sponsorisés » (le cybercriminel touche de l'argent pour faire apparaître certains sites) ou vous dirigent vers ses propres sites marchands, ou des sites de pornographie, ou des sites de molécules pharmaceutiques interdites, etc. ...).
  • Modifier votre page de recherche - dito ci-dessus.
  • Ajouter de nouvelles entrées dans votre liste de favoris, entrées que vous n'avez jamais, vous mêmes, introduites.
  • Modifier votre DNS local (schéma de principe de la résolution des noms de domaines) pour vous diriger de force vers certains sites ou vous empêcher d'accéder à certains sites comme les sites de sécurité informatique.
  • Implanter une barre d'outils pour vous espionner et vous délivrer des publicités correspondantes à vos déplacements sur le Web et à l'espionnage de vos moindres faits et gestes ou vous obliger à passer par un moteur de recherche menteur.

    Question posée à un éditeur de barres d'outils :

    L'échange questions / réponses tournait autour du pourquoi de l'implantation de la barre d'outils "Crawler Toolbar" par l'installeur du crapware : Spyware Terminator, peu après que ce logiciel fut introduit dans la Crapthèque d'Assiste.com. Voici la justification de l'usage des barres d'outils, révélée (avouée) par l'administrateur de ce logiciel controversé.

    Ceci se passait le mardi 10 juillet 2007, après à une longue polémique et prise de bec, où ils tentent de se défendre contre nos propos et répondent à nos questions (et celles du site Zebulon), ils finissent par s'énerver et déclarer, en substance :

    " Pourquoi implantez-vous une Barre d'outils chez vos utilisateurs ? ".

    " Pour que nous puissions nous faire de l'argent facilement, comme le font tous les autres, en les obligeant à passer par notre propre moteur de recherche ".

    Ceci est extrait de ce fil de discussion (reproduction de l'intégralité de la réponse, en anglais, et détails de cet épisode houleux.).

  • Etc. ...
L'un des buts recherchés est de vous obliger à passer par leur site et gonfler ainsi les statistiques de visites de leur site ce qui n'est pas un simple problème d'ego mais une ambition cachée de valoriser le site dans le but de le revendre ou de mieux négocier les ventes d'espaces publicitaires.

Un autre but recherché est de vous diriger vers des sites choisis qui sont généralement des sites bourrés de publicités sur lesquelles le moindre clic ou le moindre achat en ligne va rapporter de l'argent au webmaster cybercriminel.

Les sites pratiquant cela sont des sites piégés, inamicaux et il convient de les introduire immédiatement dans les liste hosts de blocage et autres listes noires.

Ces pratiques sont difficilement réversibles. Aller dans les options de votre navigateur, pour restaurer vos propres réglages, et supprimer les entrées non sollicitées, est souvent impossible. Quant-aux inscriptions dans les favoris, elles peuvent être des centaines, et le nettoyage, à la main, peut prendre un temps fou.

Ces modifications peuvent être plus agressives, telles que modifier le Registre Windows. Il faut alors éditer le Registre Windows et là, même un informaticien chevronné y va avec des pincettes.

Restaurer le Registre Windows n'est pas toujours suffisant car des tâches fantômes peuvent ré-implanter les malveillances que vous avez éradiquées, chaque fois que vous redémarrez votre ordinateur. Il faut alors regarder du côté de la liste de démarrage.

Dans certains cas, les accès aux outils d'Internet Explorer, pour restaurer vos valeurs, sont retirés (hijack d'Internet Explorer masquant des boutons, des commandes dans les menus...) pour vous empêcher de revenir à vos propres réglages ! Les commandes sont alors "grisés" (inaccessibles). Ceci se fait le plus souvent avec des contrôles ActiveX qui s'installent en tant que BHOs et deviennent ainsi part d'Internet Explorer et sont lancés et exécutés à chaque lancement d'Internet Explorer.

Une autre méthode utilisée par certains sites consiste à introduire le nom de leur site dans la zone Options Internet > Sécurité > Sites de confiance d'Internet Explorer. Ceci donne à ces sites le contournement de la quasi-totalité des contrôles de sécurité que vous tentez d'exercer. AOL le fait avec son site free.aol.com après avoir installé AOL Instant Messenger. Netscape 6.x et ICQ2001b le font également.

Archive - N'est plus utile ni utilisé (et IE-Spyad n'existe plus)

Mais, et c'est là une astuce, cette zone peut aussi, bien employée, permettre de les bloquer. Il existe, en effet, le pendant des "sites de confiance" qui est la zone "sites sensibles". Il suffit d'entrer des noms de sites dans cette zone et ils ne pourront plus s'auto afficher dans la zone "sites de confiance".

On trouve, avec IE-Spyad une liste de sites à ajouter automatiquement à la zone "sites sensibles" d'Internet Explorer et qui permet de bloquer certains comportement de hijacking. Cette liste est basée sur une liste hosts. Notons qu'IE-Spyad ne fonctionne qu'avec Internet Explorer, tandis que la liste hosts fonctionne avec tous les navigateurs et tous les Operating System (tous les Windows, tous les Linux, Tous les Unix, tous les Mac Os etc. ...).

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Décontamination anti-malwares
HijackThis (outil " historique " - pour mémoire)
ZHPDiag

Derrière le rideauDerrière le rideauDerrière le rideau


RéférencesRéférences" Références "


RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "