Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Grayware est un terme de l'industrie informatique.

Grayware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « gray » (la couleur grise, indéfinissable, quelque part entre le blanc et le noir) et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

Des tentatives de classer certaines formes de malveillances plus ou moins « légères » dans une superclasse (un générique) ont conduit à créer le terme de « Graywares » (Fortinet semble le premier à utiliser ce terme le 14.09.2004) ou, parfois, « greywares »). On y classe des applications dont le comportement (en exécution comme en manière d'arriver dans l'ordinateur de l'utilisateur) n'est pas totalement inoffensif mais n'est pas, non plus, franchement malveillant.

Cela permet de créer un classement hiérarchique de la dangerosité des logiciels :

Sain GraywareGraywareGraywareMalwaresGraywareVirus, cybercriminalités et compagnie.

Le terme de Virus est devenu un foure-tout incluant toutes les formes hautement malveillantes d'attaques. Virus désignait, initialement, des malveillances utilisant une forme particulière de propagation, comme Worm désigne des malveillances utilisant une autre forme particulière de propagation. Les réels Virus « traditionnels » n'existent quasiment plus mais le terme reste.

« Graywares » est très proche de PUPs qui y sont englobés. On classe dans « Graywares » :

Mais la tentation semble forte de faire de la définition de « Graywares » un fourre-tout synonyme de « Malwares », au-dela de PUPs, du genre « tout ce qui n'est pas virus »). Cela donnerait une hiérarchie simplifiée :
Sain GraywareGraywareGraywareVirus et compagnie.

Au vu des définitions données sur le Web par divers auteurs, il semble qu'il existe :

  • Une profonde méconnaissance ou une incompréhension totale sur le comportement et les finalités de certaines formes d'attaques. l'archétype de ce manque d'orthodoxie est l'usage massif et totalement erroné du terme « Trojan » (Lire l'article : Cheval de Troie - Confusion entre vecteur et parasite). Dans la superclasse des « Graywares », la mise des outils de Tracking dans la classe des Spywares en est la preuve :

    • Le Tracking est une forme d'espionnage, certe, mais passive, comme l'usage des Entêtes HTTP (Header HTTP), n'utilisant aucun développement spécifique de code d'espionnage. Voir de nombreux exemples dynamiques du tracking dont vous êtes victime à l'instant, en temps réel, dans le dossier : Sommes-nous espionnés.
    • Les Spywares relèvent de l'espionnage actif par l'usage de logiciels développés et injectés spécifiquement, incluant les keyloggers (par exemple, le logiciel Spytech SpyAgent)
  • Un besoin irrépressible de créer des tirroirs avec des étiquettes et de tout classer, surtout lorsque l'on ne connait pas ce que l'on classe (on crée alors une classe « foure-tout »).

Les nombreuses définitions de « Graywares », sur le Web, se recopient les unes les autres, avec leurs erreurs qui se répandent et se multiplient (mais ne deviennent pas vérité).

Les documents reproduits ci-après (captures du 26 août 2015), de l'éditeur d'antivirus Trend, font une liste de malveillances de type « Spywares » et « Graywares » simultanément, ce qui a certainement induit en erreur beaucoup de copieurs « rapides ». Cette liste est devenue, par copies successives sur le Web, avec perte de résolution, une liste des seuls « Graywares ».

Graywares
Graywares - Cette liste de Graywares et Spywares est devenue une liste des seuls graywares

Graywares
Graywares - Cette liste de Graywares et Spywares est devenue une liste des seuls graywares

Ces définitions de « Graywares » ne devraient jamais inclure les types d'attaques et malveillances suivantes qui n'ont rien à voir avec des applications qui seraient simplement ennuyeuses ou inattendues, mais pas malveillantes :

Graywares
Graywares - Cette liste de Trend est devenue une liste des seuls graywares
Toutes les catégories surlignées n'ont rien à voir avec les graywares
  • Les spywares :
    Les « Spywares » sont des logiciels espions dont la finalité est le vol des données (technologies, secrets, brevets, intelligence industrielle et commerciale, identifiants administratifs et financiers, etc. ...). Il s’agit de cybercriminalités au plus haut niveau. Rien à voir avec les « graywares ».

    Il y a, malheureusement, un glissement de l'usage du terme de « Spywares » pour englober divers comportements plus ou moins malveillants dont le « tracking ».

    Le « tracking » est une forme d'espionnage, certe, mais qui porte le nom de « tracking » pour une bonne raison : il s'agit d'une forme passive d'espionnage par l'usage de techniques naturelles du Web (usage parfois forcé avec les Web-Bug).

    Par définition, les outils exploitant les possibilités naturelles de l'Internet et du Web ne peuvent être des « Spywares » mais, lorsqu'ils sont développés dans le but de provoquer et exploiter ces techniques, comme celle des Entêtes HTTP (Header HTTP), ce sont des « Graywares ».

    L'espionnage actif relève de l'usage de logiciels spécifiques, les « Spywares » qui, eux, n'ont pas à être classés en « graywares » mais dans les virus et au-delà.

    En plus, le terme même de « Spyware » s'est mis, avec le temps, à englober, de manière totalement erronée :

    Graywares
    Graywares - Les spywares seraient une superclasse de malveillances, toutes des graywares ! Faux !

    • Les « Moniteurs système » !
      Ainsi, les outils comme Aida32 ou SpeedFan seraient des spywares ! Qu'il y ait quelques « Moniteurs système » crapuleux servant de « Spyware » est certain, mais que les « Moniteurs système » soient tous qualifiés de « Spyware » est un délire d'auteurs d'articles ne sachant pas de quoi ils parlent !
    • Les « Trojans » !
      Les trojans ne sont pas et n'ont jamais été des malveillances ! Ce sont des vecteurs, uniquement des vecteurs ! Lire et relire « Trojan (Cheval de Troie - Confusion entre vecteur et parasite) ». D'autre part, les parasites transportés par ces vecteurs peuvent être de n'importe quelle classe de parasite existante. Enfin, on n'utilise pas la technique complexe des Chevaux de Troie (qui nécessite, simultanément l'usage et la maîtrise des techiques des binder et des dropper) pour déployer de simples « Graywares » ou PUPs.
    • Les Adwares !
      Les Adwares sont bien des « Graywares » mais ne sont pas des « Spywares » ! Ce sont des outils de « tracking » pratiquant cette forme édulcorée d'espionnage constant des moindres faits et gestes des internautes, de manière passive.
    • Les Cookies !
      Les « cookies » ne sont pas des logiciels et donc, par définition, ne peuvent être ni des « Spywares » ni des « Graywares ».
  • Les dialers :
    Les dialers ne sont pas de simples logiciels ennuyeux. Ce sont des attaques consistant à mettre la main dans le porte-monnaie des victimes. C’est du vol d'argent. Rien à voir avec des « graywares ». Il s'agit de cybercriminalités.
  • Outils d'accès à distance (Remote Access Tools) :
    Cette classe (RAT - Remote Access Tools) n'a rien à faire dans les « Graywares ». Il ne s'agit à aucun moment d'outils ennuyeux ou ralentissant un ordinateur mais d'outils à très hauts risques, en fonction de leur usage. Les RATs sont soit totalement légitimes soit totalement cybercriminels. Le risque qu’un outil légitime d'accès à distance (Teamviewer par exemple) soit utilisé de manière cybercriminelle n'autorise pas à détecter cette classe en « graywares ». Ce sont des outils dont l'utilisation, par destination, doit être mise en doute car ils peuvent être dramatiquement cybercriminels. Ils doivent être détectés en tant qu’Outils d'accès à distance (RAT - Remote Access Tools), par les antivirus, dans les détections dites " Virus " (à charge pour l'utilisateur de le mettre en liste blanche s'il en a un usage contrôlé).
  • Hacking Tools :
    Les outils de hack (outils servant à compromettre et pénétrer un poste de travail ou un serveur) n'ont rien à voir avec les « graywares ». C'est par la compromission des serveurs que se dépoient le plus rapidement les Ransomwares et les Cryptowares (des attaques irréversibles).
  • Password Cracking Applications :
    Les outils servant à casser les mots de passe n'ont rien à voir avec de « graywares ». Il s’agit de casser une protection, un contrôle d'accès.
  • Etc. ...

La définition de Grayware par Trendmicro
Evaluer les caractéristiques et risques des graywares (anglais)
Ars Technica - Between black and white: the state of grayware on the PC



  • Grayware - Logiciel pas inoffensif mais pas malveillant