Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En sécurité informatique, un exploit est une action, selon diverses techniques, consistant à exploiter une faille de sécurité (ce qui n'est pas toujours un exploit au sens français du terme). L'exploit est peut-être une prouesse pour celui qui le réussi mais c'est surtout le fait d'exploiter une faille de sécurité qui donne naissance à ce terme d'Exploit (prononcé « exploite » ou « exploïte »). La faille de sécurité est le point d'entrée d'une modification venant de l'extérieur, criminelle, du comportement d'un système de traitement de l'information, à ne pas confondre avec un bug, qui est une simple erreur locale.

Si certaines erreurs sont plus ou moins anodines et ne constituent que de simples bugs (un bug dans un programme de paye, multipliant par 100 mon salaire, ne constitue pas une faille de sécurité et est rapidement visible), certaines de ces erreurs constituent des failles de sécurité pouvant être découvertes (par des chercheurs white-hat (gentils) ou black-hat (méchants)) puis exploitées durant des années avant d'être publiquement révélées.

L'exploit consiste donc, tout d'abord, à trouver une faille de sécurité pour l'exploiter.




Il n'existe pas de programme 100% sans erreur (error free).

Il existe d'innombrables failles de sécurité dans pratiquement toutes les applications du monde, dans tous les systèmes d'exploitation, dans les micro-codes des processeurs, dans les pilotes (drivers) des périphériques, dans les technologies, etc. Exemples :

Un exemple de faille : DROWN dans le protocole HTTPS (01.03.2016)

Cette faille affecte le protocole de communication sécurisé TLS, utilisé dans les sessions HTTPS, et réputé sûre, utilisant SSLv2 (chiffrement sur 2048 bits). Le 1er mars 2016, cette attaque est découverte. 11 millions de sites Web sont identifiés comme compromis. Toutes les données chiffrées échangées entre les internautes et les serveurs sont décryptées (dont les identifiants, mots de passe, coordonnées bancaires, cartes bancaires, etc. ...). On ne sait même pas depuis quand (combien d'années)cette faille est exploitée ni combien de victimes sont affectées. Il est estimé qu'un tiers de tous les sites Web au monde utilisant HTTPS sont faillibles.

Voir HTTPS - Contre-mesures à HTTPS et attaques d'HTTPS




Lorsqu'une faille est découverte, elle est :

  1. Conservée secrète par le découvreur qui, s'il a aussi l'âme d'un hacker (affronter le risque) va l'exploiter pour lui même.
  2. Mise en vente sur le DarkWeb.
  3. Communiquée à l'organisme (service secret, état, etc.) qui soutient/finance un groupe de hackers. Tous les pays du monde (et les organisations criminelles dont les mafias, les groupes terroristes, etc.) ont leurs groupes de hackers et les financent. Par exemple, l'Equation Group, un groupe américain de hackers d'élite, agirait depuis au moins les années 2000 pour le compte de la NSA et a permi les innombrales exploits de la NSA dans le monde entier contre tout le monde, ainsi que le développement de cyberarmes, révélés le 6 juin 2013 par Edward Snowden sous le nom générique de Prism et Cie. Le 13 août 2016, un groupe de hackers jusqu'alors inconnu, appelé Shadow Brokers, réussi à pirater le centre de calcul de l'Equation Group et tente de se faire mousser (et de gagner de très grosses sommes d'argent) en révélant et mettant en vente les codes sources des exploits de l'Equation Group financés et exploités par la NSA.
  4. Communiquée à l'éditeur du code faillible en lui donnant un délais pour réagir et publier la correction, sinon elle sera publiée avec sa procédure d'exploitation (menace de zero-day à, généralement, 30, 60 ou 90 jours).
  5. Publiée avec le détail de son identification (faille zero-day). Il s'agit généralement d'un chercheur ou hacker qui a besoin de reconnaissance dans son millieu (orgueil, image de soi, ...).
  6. Signalée dans des bases de données publiques, comme CVE. La méthode d'exploitation n'est pas publiée tant que la faille n'est pas corrigée. L'éditeur s'attelle à sa correction, peut-être avec d'autres failles, et publiera un correctif ou une nouvelle version de son code (mises à jour, update).
  7. Les bases de données seront augmentées des détails de reconnaissance de la faille lorsque les correctifs seront considérés comme totalement déployés (appliqués). C'est une des raisons pour lesquelles les éditeurs font remonter de l'informations (quelle version est utilisée), ce qui est légitimement considéré comme une atteinte à la vie privée.

Avec les points 5 et 7 ci-dessus, les bases de données publiques disposent des détails permettant d'identifier la présence de la faille. Il existe des centaines de bases de données qu'il faut suivre (veille technologique). Par exemple :




Pour exploiter une faille, il faut déjà la détecter. Il y a, pour cela, les scanners de failles - Scanners de vulnérabilités. Les éditeurs de ces outils les mettent constamment à jour en exerçant une veille technologique sur les bases vues ci-dessus.

Ces scanners permettent de savoir si un système est vulnérable afin de le protéger (ou de l'attaquer) car ce sont les mêmes scanners qui sont utilisés localement par les uns (DSI - DSSI) ou à distance par les autres (cybercriminels).

Une faille de sécurité est une erreur qui, si elle est découverte, permet une action inattendue (une exploitation constituant une attaque), de la part d'un acteur non sollicité (un cybercriminel interne ou externe). Les failles de sécurité sont exploitées :

Il est évident qu'exploiter une faille de sécurité dans le navigateur Internet Explorer (plus de 80% de parts du marché dans les années 2001 à 2007) donne plus de chance de faire de nombreuses victimes qu'exploiter une faille dans un navigateur ne touchant presque personne (par exemple Opera : à peine 0,8% de parts de marché, en France en septembre 2014).

Les « scanners de failles » (ou « Kit d'exploits »), embarquent un ensemble de règles (propres à leur technologie) permettant de signaler la présence d'une faille. Elles sont classées par application et version d'application.

Les tests d'intrusions et les scanners de failles/vulnérabilités diffèrent. Un scanner de failles/vulnérabilités a pour objectif de déceler des vulnérabilités connues(répertoriées dans les Vulnerability Database ou Security Advisory vues ci-dessus) dans des systèmes, tandis qu'un test d'intrusion a pour objectif de simuler une attaque par la tentative d'exploiter le vulnérabilité. Un test d'intrusions, en plus d'identifier des vulnérabilités, cherche donc si elles sont exploitables et, ces mêmes outils entre les mains des hackers, constituent des chances de réussite d'exploits.

Les Kits d'exploits ci-après, notés BEP (Browser Exploit Pack), sont spécialisés dans la recherche des failles de sécurité connues présentes dans les navigateurs WEB (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ...), et dans les plug-ins (greffons) de ces navigateurs.

Si l'utilisateur met constamment à jour son navigateur (automatisme recommandé), il a de fortes chances d'échapper à la majorité des exploitations des failles recherchées dans les navigateurs par les BEP (Browser Exploit Pack). Exemples :

  1. Exploit Kit Redkit - BEP* - (1 - 03.05.2013) - Googler
  2. Exploit Kit BlackHole - BEP* - (1 - 15.09.2012) (2 - 26.11.2013 - Quasi Extinction) - Googler
  3. Exploit Kit Styx - BEP* - (1 - 26.06.2013) - Googler
  4. Exploit Kit Sweet Orange - BEP* - (1) (2) (3 - 09.02.2015) - Googler
  5. Exploit Kit Crime Boss - BEP* - (1 - 13.09.2012) - Googler
  6. Exploit Kit Cool Exploit Kit - BEP* - (1 - ) (2 - 26.11.2013 - Quasi Extinction) - Googler
  7. Exploit Kit Crime Pack - BEP* - (1 - ) (2 - 05.08.2010) (VT - 22.12.2015) - Googler
  8. Exploit Kit Bleeding Life - BEP* - (1 - ) - Googler
    Est vendu par ses développeurs, aux cybercriminels, pour 200$. Recherche des failles de sécurité de manière très ciblée dans Acrobat, Flash et Java.
  9. Exploit Kit CritXPack (1 - ) - Googler
  10. Exploit Kit El Fiesta - BEP* - (1 - ) - Googler
  11. Exploit Kit Dragon - BEP* - (1 - ) - Googler
  12. Exploit Kit Zombie Infection Kit - BEP* - (1 - ) - Googler
  13. Exploit Kit JustExploit - BEP* - (1 - ) - Googler
  14. Exploit Kit iPack - BEP* - (1 - ) - Googler
  15. Exploit Kit Incognito - BEP* - (1 - ) - Googler
  16. Exploit Kit Impassioned Framework - BEP* - (1 - ) - Googler
  17. Exploit Kit Icepack - BEP* - (1 - ) - Googler
  18. Exploit Kit Hierarchy Exploit Kit - BEP* - (1 - ) - Googler
  19. Exploit Kit Grandsoft - BEP* - (1 - ) - Googler
  20. Exploit Kit Gong Da - BEP* - (1 - ) - Googler
  21. Exploit Kit Fragus Black - BEP* - (1 - ) - Googler
  22. Exploit Kit Eleonore Exploit Kit - BEP* - (1 - ) - Googler
  23. Exploit Kit Lupit Exploit Kit - BEP* - (1 - ) - Googler
  24. Exploit Kit LinuQ - BEP* - (1 - ) - Googler
  25. Exploit Kit Neosploit - BEP* - (1 - ) - Googler
  26. Exploit Kit Liberty - BEP* - (1 - ) - Googler
  27. Exploit Kit Katrin Exploit Kit - BEP* - (1 - ) - Googler
  28. Exploit Kit Nucsoft Exploit Pack - BEP* - (1 - ) - Googler
  29. Exploit Kit Nuclear - BEP* - (1 - ) - Googler
  30. Exploit Kit Mpack - BEP* - (1 - ) - Googler
  31. Exploit Kit Mushroom - BEP* - (1 - ) - Googler
  32. Exploit Kit Merry Christmas - BEP* - (1 - ) - Googler
  33. Exploit Kit Sakura Exploit Pack - BEP* - (1 - ) - Googler
  34. Exploit Kit Phoenix - BEP* - (1 - ) - Googler
  35. Exploit Kit Papka - BEP* - (1 - ) - Googler
  36. Exploit Kit Open Source MetaPack - BEP* - (1 - ) - Googler
  37. Exploit Kit Neutrino - BEP* - (1 - ) - Googler
  38. Exploit Kit Salo Exploit Kit - BEP* - (1 - ) - Googler
  39. Exploit Kit Safe Pack - BEP* - (1 - ) - Googler
  40. Exploit Kit Robopak Exploit Kit - BEP* - (1 - ) - Googler
  41. Exploit Kit Red Dot - BEP* - (1 - ) - Googler
  42. Exploit Kit T-Iframer - BEP* - (1 - ) - Googler
  43. Exploit Kit Siberia Private - BEP* - (1 - ) - Googler
  44. Exploit Kit SofosFO aka Stamp EK - BEP* - (1 - ) - Googler
  45. Exploit Kit Sava Pay0C - BEP* - (1 - ) - Googler
  46. Exploit Kit Zopack - BEP* - (1 - ) - Googler
  47. Exploit Kit Tornado - BEP* - (1 - ) - Googler
  48. Exploit Kit Techno - BEP* - (1 - ) - Googler
  49. Exploit Kit Siberia - BEP* - (1 - ) - Googler
  50. Exploit Kit SEO Sploit pack - BEP* - (1 - ) - Googler
  51. Exploit Kit Yang Pack - BEP* - (1 - ) - Googler
  52. Exploit Kit XPack - BEP* - (1 - ) - Googler
  53. Exploit Kit Whitehole - BEP* - (1 - ) - Googler
  54. Exploit Kit Web-attack - BEP* - (1 - ) - Googler
  55. Exploit Kit Unique Pack Sploit - BEP* - (1 - ) - Googler
  56. Exploit Kit Yes Exploit - BEP* - (1 - ) - Googler
  57. Exploit Kit Zero Exploit Kit - BEP* - (1 - ) - Googler
  58. Exploit Kit Zhi Zhu - BEP* - (1 - ) - Googler
  59. Exploit Kit Sibhost Exploit Pack - BEP* - (1 - ) - Googler
  60. Exploit Kit KaiXin - BEP* - (1 - ) - Googler
  61. Exploit Kit RIG - BEP* - (1 - ) (Utilisé, par exemple, pour la propagation du cryptoware appelé OphionLocker) - Googler
  62. Exploit Kit Angler - BEP* - (1 - ) - Googler
  63. Exploit Kit - BEP* - (1 - ) - Googler

La recherche de failles de sécurité dans les produits Microsoft est plus active que dans d'autres produits et les exploits s'appuyant sur les failles des produits Microsoft sont donc d'envergure et très médiatisés. Il est vrai qu'Internet Explorer, en particulier, a été considéré, à juste titre, durant des années, comme un générateur de failles de sécurité en flux continu (dont la folie ActiveX). Microsoft a été considéré, durant des années, depuis son entrée dans le monde de l'Internet, le 16 août 1995, avec Internet Explorer 1, et jusqu'à la publication de Windows version 7, le 22 octobre 2009, comme une société ayant une culture du trou de sécurité.

Ces "utilitaires" de découverte et d'exploitation des failles ne se trouvent pas sur les machines des internautes, mais sont implantés côté serveurs et agissent à distance depuis des sites WEB compromis ou des sites attractifs des cybercriminels (de véritables pots de miel pour attirer les visiteurs, tel que des sites pornographiques ou people ou prétendu de hack et crack, ou de P2P, etc.).




À cause de ces scanners de ports , qui précèdent les scanners de failles, et qui passent leur vie à analyser tous les « ports » de toutes les adresses IP du monde, à raison de plusieurs millions d'ordinateurs scannés à la seconde, sans pare-feu, vous avez moins de 4 minutes pour échapper aux cybercriminels.




Les antivirus et les antimalwares ne sont pas là pour corriger les failles de sécurité. Ils vont trouver le parasite implanté et l'éradiquer mais il faut, principalement, empêcher que cela recommence. Pour cela, certains outils, comme Malwarebytes, disposent d'une fonction anti-exploits.




Il y a trois choses à faire qui sont du domaine du préventif :

  1. La protection de votre navigateur et de la navigation.
  2. Empêcher les scans de ports, qui précèdent les scans de failles, avec un bon parefeu
  3. L'application constante et immédiate des correctifs existants aux failles de sécurité, avec Windows Update pour tous les produits Microsoft et en suivant les avis et alertes de sécurité, au jour le jour, pour tous les autres.

Il existe assez peu d'outils spécifiquement anti-exploits. EMET, de Microsoft, gratuit, est l'un d'eux. Malwarebytes Anti-Exploit Premium en est un autre (commercial). Les autres dispositifs sont des modules d'antivirus traditionnels, dans leurs versions appelées, généralement, « Internet Security ».