Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Riskware est un terme de l'industrie informatique.

Riskware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « risk » (risque) et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

« Riskware » Riskware « Logiciel à risque »

Les « Riskware » sont des programmes qui ont été écrits sans but ni intention d'être un parasite, mais disposent de « fonctions critiques » qui touchent à la sécurité d'un système d'ordinateurs.

On les appelle également, bien que seul le terme « Riskware » soit utilisé :

  • « PDS - Potentially Dangerous Softwares »
  • « PDP - Potentially Dangerous Programs »
  • « PPDProgrammes Potentiellement Dangereux ».
« Riskware » est un terme générique utilisé par Kaspersky Lab pour décrire des programmes, légitimes en eux-mêmes, mais dont ces mêmes caractéristiques risquent, mises entre de mauvaises mains (de cybercriminels ou d'utilisateurs pas informés), d'être exploitées pour une utilisation abusive ou malveillante ou catastrophique.

d'autres types d'applications, qui introduisent une faille de sécurité dans un système, sont également classées à « Riskware » comme tous les outils de conversation instantanée (IRC, Mirc), les outils de Point à Point – P2P (KaZaA, Emule, µTorrent, Vuze (Azureus), BitTorrent, Deluge, Transmission, BitComet, qBittorrent, tTorrent, etc.), les outils de téléchargement (FTP…) comme FileZilla, ...

Le classement en « Riskware » restera relativement subjectif et variera énormément d'une société de sécurité à une autre tant qu'une liste de critères objectifs de classement ne sera pas établie (actuellement tout et n'importe quoi pourraient être classés à « Riskware », à commencer par l'explorateur de Windows.

Selon les uns ou les autres, peuvent être classés en « Riskware » :

  • Les logiciels d'administration à distance
  • Les enregistreurs de frappe au clavier
  • Les logiciels de détection de mot de passe
  • Les logiciels de contrôle parental qui informent à distance (théoriquement un parent) de tout ce qui se passe sur un ordinateur (théoriquement un enfant)
  • Les logiciels de connexion automatique à des sites payants
  • Les logiciels portables (n'ayant pas d'installeur)
  • Les logiciels n'ayant pas d'icône
  • Les logiciels compressés avec UPX
  • Les logiciels clients de P2P
  • Les logiciels clients d'IRC
  • Les logiciels de FTP
  • Les logiciels clientts SMTP
  • Les logiciels dialers (numéroteurs)
  • Les logiciels téléchargeurs (downloader)
  • Les logiciels serveurs
  • Les logiciels proxy
  • Les barres d'outils implantées dans les navigateurs Web
  • Etc.

Exemples :

  • Outils de télémaintenance
    Tous les outils permettant la télémaintenance et le télédiagnostic sont des « Riskware ». Ils permettent à votre service de maintenance informatique la prise de contrôle à distance des ordinateurs sans avoir à déplacer un technicien sur place. Avec l'évolution de la face cachée de l'Internet, ces outils ont basculé d'une activité bienveillante à une classe de parasites permettant la prise de contrôle à distance dans un but malveillant. Ces outils de télémaintenance légitimes et, parfois, commerciaux, comme PC AnyWhere de Symantec/Norton, sont donc des « Riskwares » et constituent la classe de parasites des RATs – Remote Administration Tools.
    Le plus puissant et génial outil de télémaintenance, que nous utilisons tous pour vous assister, est TeamViewer.
    Liste de RATs - Remote Administration Tools

    • CrossLoop
      Cet outil est considéré par certains comme :
      not-a-virus:RemoteAdmin.Win32.WinVNC-based.h (Kaspersky )
      Heuristic: Suspicious Self Modifying File (Prevx1 )

  • Outils de télésurveillance
    Les outils permettant de surveiller ce qui se passe sur un ordinateur sont parfois légitimes et commerciaux, comme Spytech SpyAgent, mais, mis entre de mauvaises mains, ce sont des Keyloggers. Tous les Keyloggers sont à double tranchant.
    Liste de Keyloggers commerciaux.

  • Outils de récupération de mots de passe perdus
    Il existe une vaste palette d'outils dits « de sécurité » permettant de retrouver un mot de passe perdu ou oublié. On en trouve des commerciaux, mais de nombreux sont gratuits. Le plus souvent ces outils sont entre de mauvaises mains pour trouver, dans le cadre d'une attaque, les mots de passe. Voir Attaques de mots de passe.

  • Outils de sécurité
    • SmitFraudFix
      SmitFraudFix est un outil utilisé en décontamination d'ordinateurs (contre le parasite SmitFraud et contre d'autres attaques). Ses caractéristiques lui permettent de « tuer » un processus ou de détruire des fichiers. Il est donc classé, un peu abusivement en ce qui le concerne, en « Riskware ».

      Cet outil est considéré par certains comme :
      Potentially harmful program HackTool.BVR (AVG )
      PUA.PWTool.Reboot (ClamAV )
      Tool.Prockill (DrWeb )
      Misc/PrcViewer (Fortinet )
      W32/Reboot.A (F-Prot )
      not-a-virus:RiskTool.Win32.Reboot.f (Kaspersky )
      potentially unwanted program PrcViewer (McAfee )
      Win32/PrcView (NOD32v2 )
      Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile (Prevx1 )
      Trojan.Shutdown (VBA32 )

    • APT – Advanced Process Termination
      APT – Advanced Process Termination est utilisé pour tuer à tout prix un processus. Il est utilisé pour tuer un parasite récalcitrant et, également, pour tester la résistance d'un outil de sécurité (antivirus, pare-feu, anti-spywares etc. …) contre des tentatives de terminaisons crapuleuses.

      Cet outil est considéré par certains comme :
      Notons que Kaspersky KAV ne dit rien à son sujet et que les autres outils semblent plus tomber dans le « faux positif » que dans le classement à « Riskware »
      (Suspicious) - DNAScan (CAT-QuickHeal)
      Suspicious File (eSafe)
      Low threat detected (FileAdvisor)
      SpamTool.Win32.Gadina.d (Ikarus)
      VIPRE.Suspicious (Sunbelt)
      Win32.Malware.gen (suspicious) (Webwasher-Gateway)

    • CCleaner
      Compte tenu de certaines fonctions de CCleaner, il peut être considéré commeun outil à risques.
Conclusion
Ces « Riskware », lorsque disponibles sur une machine, risquent d'être utilisés par un autre parasite pour accomplir une fonction comme démarrer ou tuer un processus ou un « service ».

Les « Riskware » sont donc des programmes ayant toujours eu le potentiel d'être l'objet d'abus, mais ils ont maintenant une plus grande visibilité et font désormais partie d'une classe de produits dans les bases de signatures des principaux outils antivirus / antispywares.

Il y a rapprochement entre les « traditionnelles » techniques d'attaques et propagation des virus et les techniques des hackers.

Les outils d'analyse (scanners antivirus / scannsers antispywares) signalent les « Riskwares », mais ne les suppriment pas – cela reste au choix de l'utilisateur.