Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En informatique, un Hijack est une attaque, à l'aide d'un Hijacker, consistant en la modification/corruption, de force, de certains réglages ou comportements d'un composant d'un ordinateur (le DNS local et son fichier Hosts, la page d'accueil du navigateur, le moteur de recherche par défaut du navigateur, les raccourcis permettant de lancer les applications, la gestion du code erreur 404, etc. ...).

L'acception de ce terme, désignant toujours une attaque malveillante, couvre plusieurs domaines dont des attaques pouvant se passer à l'extérieur de l'ordinateur (hijack des DNS public, hijack d'un site par " page jacking ", etc. ...).

Un synonyme employé par certains est « PUM » (« Possibly Unwanted Modification » ou encore « MPI » (« Modification Probablement Indésirable »), encore que le terme « Possibly » (« Probablement ») soit faible car un hijack est une attaque, pure et simple, au profit de l'attaquant.


Il existe de nombreuses dénominations des Hijackers pour de nombreuses formes de Hijacking, en fonction de l'association de communication attaquée :

  • Hijack d'adresse IP
  • Hijack de clé de session
  • Hijack du démarrage de Windows
  • Hijack des raccourcis de lancement des applications (les paramètres sous les icônes ou tuiles)
  • Hijack des associations de fichiers (règles de lancement des applications dans le Registre Windows)
  • Hijack de la page de démarrage du navigateur Internet (Hijacker de navigateur - Pirate de navigateur)
  • Hijack du moteur de recherche utilisé sur le Web (Hijacker de navigateur - Pirate de navigateur)
  • Hijack de liaisons Bluetooth
  • Hijack de noms de domaine
  • Hijack de redirections DNS
  • Hijack du fichier Hosts
  • Hijack par cybersquatting de noms de domaine
  • Hijack par usurpation de pages Web



Hijack - Hijacker - Hijacking

Un Hijack est une modification non sollicitée du comportement et/ou des réglages d'un composant d'un ordinateur, dont, le plus souvent, le navigateur Web et la navigation de l'internaute, partiqué par un Hijacker (le cybercriminel et le mécanisme qu'il a utilisé). L'action s'appelle un Hijacking.

Une tentation forte des cybercriminels, et, surtout, des e-commerçants gangsters, est de modifier les réglages de votre navigateur à votre insu. Ceci se fait de diverses manières dont :

  • Par l'intermédiaire de sites compromis (les cybercriminels compromettent des sites légitimes en pénétrant sur leurs serveurs - le site devient, à l'insu de son propriétaire/webmaster, un outil de propagation de la cybercriminalité).
  • Par l'achat de webmasters sans scrupules. Des webmasters sont rémunérés pour déployer les outils d'attaques dans leurs sites et implanter les Hijackers chez leurs visiteurs (par exemple : publicités trompeuses et mensongères).
  • Par l'offre d'options, présentées comme utiles, indispensables, gratuites, vivement recommandées, etc. ... lors de l'installation d'un logiciel téléchargé (par exemple les bundle lors de l'installation d'un logiciel, ou encore les repacks).
  • Etc. ...

Les cybercriminalités de type Hijack utilisent des failles de sécurité pour s'implanter, dont les premières sont le virus PEBCAK et l'ingénierie sociale. Les technologies ActiveX, les JavaScript, les jeux vidéo gratuits, en ligne, écrit avec le langage Java, etc. ... sont des vecteurs largement exploités.

Les modifications par Hijack sont agaçantes (en apparence). Leurs fonctions cachées sont beaucoup plus graves (une forme d'espionnage pudiquement appelée Tracking, etc. ...). Exemples :

  • Afficher un site en plein écran en masquant la quasi totalité des barres de boutons etc. ... (équivalent à l'appui par l'internaute sur la touche F11). Vous ne pouvez quasiment rien faire et devez subir.
  • Modifier votre sélection de page de démarrage : vous avez choisi, chaque fois que vous lancez votre navigateur, de démarrer sur telle page (par exemple le moteur de recherche Google). Après attaque par un Hijacker, votre préférence est modifiée et vérouillée (elle ne peut plus être restaurée / corrigée) et votre navigateur démarre, par exemple, sur le site d'un moteur de recherche inconnu et menteur (les résultats ne sont pas du tout ceux escomptés). Les résultats sont « sponsorisés » (le cybercriminel touche de l'argent pour faire apparaître certains sites) ou vous dirigent vers ses propres sites marchands, ou des sites de pornographie, ou des sites de molécules pharmaceutiques interdites, etc. ...).
  • Modifier votre page de recherche - dito ci-dessus.
  • Ajouter de nouvelles entrées dans votre liste de favoris, entrées que vous n'avez jamais, vous mêmes, introduites.
  • Modifier votre DNS local (schéma de principe de la résolution des noms de domaines) pour vous diriger de force vers certains sites ou vous empêcher d'accéder à certains sites comme les sites de sécurité informatique. Voir :
  • Implanter une barre d'outils pour vous espionner et vous délivrer des publicités correspondantes à vos déplacements sur le Web et à l'espionnage de vos moindres faits et gestes ou vous obliger à passer par un moteur de recherche menteur.

    Des barres d'outils pour se faire de l'argent avec un moteur de recherche menteur

    L'échange questions / réponses évoqué ci-après tournait autour du pourquoi de l'implantation de la barre d'outils « Crawler Toolbar » par l'installeur du crapware : Spyware Terminator, peu après que ce logiciel fut introduit dans la Crapthèque d'Assiste.com. Voici la justification de l'usage des barres d'outils, avouée par l'administrateur de ce logiciel controversé.

    Ceci se passait le mardi 10 juillet 2007, après à une longue polémique et prise de bec, où les développeurs du hijacker et barre d'outils « Crawler Toolbar » tentent de se défendre contre nos propos et répondent à nos questions (et celles du site Zebulon), et finissent par s'énerver. En substance, cela peut se réduite à une question et une réponse :

    Propos échangés avec les auteurs de Spyware Terminator
    • « Pourquoi implantez-vous une barre d'outils chez les internautes ? »
    • « Pour que nous puissions nous faire de l'argent facilement, comme le font tous les autres, en les obligeant à passer par notre propre moteur de recherche. »

    Ceci est extrait de ce fil de discussion (reproduction de l'intégralité de la réponse, en anglais, et détails de cet épisode houleux.).

  • Etc. ...
L'un des buts recherchés est de vous obliger à passer par leur site et gonfler ainsi les statistiques de visites de leur site ce qui n'est pas un simple problème d'ego mais une ambition cachée de valoriser le site dans le but de le revendre ou de mieux négocier les ventes d'espaces publicitaires.

Un autre but recherché est de vous diriger vers des sites choisis qui sont généralement des sites bourrés de publicités sur lesquelles le moindre clic ou le moindre achat en ligne va rapporter de l'argent au webmaster cybercriminel.

Les sites pratiquant cela sont des sites piégés, inamicaux et il convient de les introduire immédiatement dans les liste hosts de blocage et autres listes noires.

Ces pratiques sont difficilement réversibles. Aller dans les options de votre navigateur, pour restaurer vos propres réglages, et supprimer les entrées non sollicitées, est souvent impossible. Quant-aux inscriptions dans les favoris, elles peuvent être des centaines, et le nettoyage, à la main, peut prendre un temps fou. Voir notre procédure de décontamination.

Ces modifications peuvent être plus agressives, telles que modifier le Registre Windows. Il faut alors éditer le Registre Windows et là, même un informaticien chevronné y va avec des pincettes.

Restaurer le Registre Windows n'est pas toujours suffisant car des tâches fantômes peuvent ré-implanter les malveillances que vous avez éradiquées, chaque fois que vous redémarrez votre ordinateur. Il faut alors regarder du côté de la liste de démarrage.

Dans certains cas, les accès aux outils d'Internet Explorer, pour restaurer vos valeurs, sont retirés (Hijack d'Internet Explorer masquant des boutons, des commandes dans les menus, etc.) pour vous empêcher de revenir à vos propres réglages ! Les commandes sont alors "grisés" (inaccessibles). Ceci se fait le plus souvent avec des contrôles ActiveX qui s'installent en tant que BHOs et deviennent ainsi partie intégrante d'Internet Explorer et sont exécutés à chaque lancement d'Internet Explorer (laissez tomber ce navigateur qui est un véritable générateur de failles de sécurité en flux continu et passez à Firefox (vivement recommandé).

Une autre méthode utilisée par certains sites consiste à introduire le nom de leur site dans la zone Options Internet > Sécurité > Sites de confiance d'Internet Explorer. Ceci procure à ces sites le contournement de la quasi-totalité des contrôles de sécurité que vous tentez d'exercer. AOL le fait avec son site free.aol.com après avoir installé AOL Instant Messenger. Netscape 6.x et ICQ2001b le font également.

Archive - IE-Spyad n'existe plus

Mais, et c'est là une astuce, cette zone peut aussi, bien employée, permettre de les bloquer. Il existe, en effet, le pendant des "sites de confiance" qui est la zone "sites sensibles". Il suffit d'entrer des noms de sites dans cette zone et ils ne pourront plus s'auto afficher dans la zone "sites de confiance".

On trouve, avec IE-Spyad une liste de sites à ajouter automatiquement à la zone "sites sensibles" d'Internet Explorer et qui permet de bloquer certains comportement de hijacking. Cette liste est basée sur une liste hosts. Notons qu'IE-Spyad ne fonctionne qu'avec Internet Explorer, tandis que la liste hosts fonctionne avec tous les navigateurs et tous les Operating System (tous les Windows, tous les Linux, Tous les Unix, tous les Mac Os etc. ...).





  • Hijacker