Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
En sécurité informatique, un exploit est une action, selon diverses techniques, consistant à exploiter une faille de sécurité (ce qui n'est pas toujours un exploit au sens français du terme). L'exploit est peut-être une prouesse pour celui qui le réussi mais c'est surtout le fait d'exploiter une faille de sécurité qui donne naissance à ce terme d'Exploit (prononcé « exploite » ou « exploïte »). La faille de sécurité est le point d'entrée d'une modification venant de l'extérieur, criminelle, du comportement d'un système de traitement de l'information, à ne pas confondre avec un bug, qui est une simple erreur locale.
Si certaines erreurs sont plus ou moins anodines et ne constituent que de simples bugs (un bug dans un programme de paye, multipliant par 100 mon salaire, ne constitue pas une faille de sécurité et est rapidement visible), certaines de ces erreurs constituent des failles de sécurité pouvant être découvertes (par des chercheurs white-hat (gentils) ou black-hat (méchants)) puis exploitées durant des années avant d'être publiquement révélées.
L'exploit consiste donc, tout d'abord, à trouver une faille de sécurité pour l'exploiter.
|
Il n'existe pas de programme 100% sans erreur (error free).
Il existe d'innombrables failles de sécurité dans pratiquement toutes les applications du monde, dans tous les systèmes d'exploitation, dans les micro-codes des processeurs, dans les pilotes (drivers) des périphériques, dans les technologies, etc. Exemples :
Cette faille affecte le protocole de communication sécurisé TLS, utilisé dans les sessions HTTPS, et réputé sûre, utilisant SSLv2 (chiffrement sur 2048 bits). Le 1er mars 2016, cette attaque est découverte. 11 millions de sites Web sont identifiés comme compromis. Toutes les données chiffrées échangées entre les internautes et les serveurs sont décryptées (dont les identifiants, mots de passe, coordonnées bancaires, cartes bancaires, etc. ...). On ne sait même pas depuis quand (combien d'années)cette faille est exploitée ni combien de victimes sont affectées. Il est estimé qu'un tiers de tous les sites Web au monde utilisant HTTPS sont faillibles.
|
Lorsqu'une faille est découverte, elle est :
Avec les points 5 et 7 ci-dessus, les bases de données publiques disposent des détails permettant d'identifier la présence de la faille. Il existe des centaines de bases de données qu'il faut suivre (veille technologique). Par exemple :
Pour exploiter une faille, il faut déjà la détecter. Il y a, pour cela, les scanners de failles - Scanners de vulnérabilités. Les éditeurs de ces outils les mettent constamment à jour en exerçant une veille technologique sur les bases vues ci-dessus.
Ces scanners permettent de savoir si un système est vulnérable afin de le protéger (ou de l'attaquer) car ce sont les mêmes scanners qui sont utilisés localement par les uns (DSI - DSSI) ou à distance par les autres (cybercriminels).
Une faille de sécurité est une erreur qui, si elle est découverte, permet une action inattendue (une exploitation constituant une attaque), de la part d'un acteur non sollicité (un cybercriminel interne ou externe). Les failles de sécurité sont exploitées :
Il est évident qu'exploiter une faille de sécurité dans le navigateur Internet Explorer (plus de 80% de parts du marché dans les années 2001 à 2007) donne plus de chance de faire de nombreuses victimes qu'exploiter une faille dans un navigateur ne touchant presque personne (par exemple Opera : à peine 0,8% de parts de marché, en France en septembre 2014).
Les « scanners de failles » (ou « Kit d'exploits »), embarquent un ensemble de règles (propres à leur technologie) permettant de signaler la présence d'une faille. Elles sont classées par application et version d'application.
Les tests d'intrusions et les scanners de failles/vulnérabilités diffèrent. Un scanner de failles/vulnérabilités a pour objectif de déceler des vulnérabilités connues(répertoriées dans les Vulnerability Database ou Security Advisory vues ci-dessus) dans des systèmes, tandis qu'un test d'intrusion a pour objectif de simuler une attaque par la tentative d'exploiter le vulnérabilité. Un test d'intrusions, en plus d'identifier des vulnérabilités, cherche donc si elles sont exploitables et, ces mêmes outils entre les mains des hackers, constituent des chances de réussite d'exploits.
Les Kits d'exploits ci-après, notés BEP (Browser Exploit Pack), sont spécialisés dans la recherche des failles de sécurité connues présentes dans les navigateurs WEB (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ...), et dans les plug-ins (greffons) de ces navigateurs.
Si l'utilisateur met constamment à jour son navigateur (automatisme recommandé), il a de fortes chances d'échapper à la majorité des exploitations des failles recherchées dans les navigateurs par les BEP (Browser Exploit Pack). Exemples :
La recherche de failles de sécurité dans les produits Microsoft est plus active que dans d'autres produits et les exploits s'appuyant sur les failles des produits Microsoft sont donc d'envergure et très médiatisés. Il est vrai qu'Internet Explorer, en particulier, a été considéré, à juste titre, durant des années, comme un générateur de failles de sécurité en flux continu (dont la folie ActiveX). Microsoft a été considéré, durant des années, depuis son entrée dans le monde de l'Internet, le 16 août 1995, avec Internet Explorer 1, et jusqu'à la publication de Windows version 7, le 22 octobre 2009, comme une société ayant une culture du trou de sécurité.
Ces "utilitaires" de découverte et d'exploitation des failles ne se trouvent pas sur les machines des internautes, mais sont implantés côté serveurs et agissent à distance depuis des sites WEB compromis ou des sites attractifs des cybercriminels (de véritables pots de miel pour attirer les visiteurs, tel que des sites pornographiques ou people ou prétendu de hack et crack, ou de P2P, etc.).
|
À cause de ces scanners de ports , qui précèdent les scanners de failles, et qui passent leur vie à analyser tous les « ports » de toutes les adresses IP du monde, à raison de plusieurs millions d'ordinateurs scannés à la seconde, sans pare-feu, vous avez moins de 4 minutes pour échapper aux cybercriminels.
|
Les antivirus et les antimalwares ne sont pas là pour corriger les failles de sécurité. Ils vont trouver le parasite implanté et l'éradiquer mais il faut, principalement, empêcher que cela recommence. Pour cela, certains outils, comme Malwarebytes, disposent d'une fonction anti-exploits.
|
Il y a trois choses à faire qui sont du domaine du préventif :
Il existe assez peu d'outils spécifiquement anti-exploits. EMET, de Microsoft, gratuit, est l'un d'eux. Malwarebytes Anti-Exploit Premium en est un autre (commercial). Les autres dispositifs sont des modules d'antivirus traditionnels, dans leurs versions appelées, généralement, « Internet Security ».
|
Les encyclopédies |
---|