Assiste.com
cr 10.02.2005 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
KaZaA 3.0 - Notre analyse conduite des 22.01.2005 au 10.02.2005
Première partie - Avant l'installation
Préparation d'une machine de tests
Avant de commencer
Analyse des documents de Sharman Networks
Déclaration « Vie Privée »
Licence Utilisateur Final
Installation de KaZaA 3.0 US Free
Installation du downloader de Sharman Networks
Sharman NetWorks - Licence et Vie privée
Altnet - Licence et Vie Privée
Poursuite de l'installation de Kazaa
Analyse détaillée de l'installation de Kazaa
Analyse avec 12 anti-spywares et anti-trojans (format .pdf - Taille 1,96 Mo (2 057 821 octets) - 73 pages)
Conclusions sur KaZaA
Le cheval de Troie KaZaA
l'adware (37) et spyware (38) Gain (2) de Claria (ex Gator (3))
l'adware (37) et spyware (38) MyWay SearchBar
Altnet - l'adware(37) et spyware(38) TOPicks
Altnet - Le zombie Altnet NetWork (31)
Altnet - P2P Networking
l'adware(37), Spyware(38), KeyLogger(39) et Trojan(40) Twain-Tech
l'adware(37) et spyware(38) Cydoor(1)
l'adware AdDestroyer
ADS - Alternate Data Stream (42)
|
La machine de test
Pour ce test, pratiqué fin 2004 début 2005, on se met dans un contexte utilisateur final « normal-haut » (la machine de monsieur tout le monde), pas trop protégé, mais pas complètement laxiste. Nous allons donc utiliser le pare-feu gratuit de Microsoft Windows XP SP2 et l'antivirus gratuit AVG.
Nota
Quelques « promenades », ces derniers jours (décembre 2004 et janvier 2005), à Paris, dans des rayons informatiques de magasins comme la FNAC, le BHV, DARTY etc. ou chez Surcouf, nous ont permis d'entendre, horrifié, ce conseil constant et criminel des vendeurs : ne pas utiliser de pare-feu (firewall) avec KaZaA !
La machine de test est préparée de la manière suivante :
Plate-forme matérielle utilisée :
- Boîtier Thermaltake Xaser III
- Alimentation 550 Watts
- Asus A7N8X deluxe
- Athlon 2700+
- 1 GO ram
- ATI Radeon 9700 Pro
- Lecteur CD
- 1 disque dur 80 GO Maxtor, vierge (neuf) monté sur un canal IDE
- 1 disque dur 250 GO Maxtor, contenant notre bibliothèque d'outils, en USB.
- ADSL Wanadoo 1024
- Moniteur 17 pouces
Plate-forme logicielle utilisée :
- Windows XP Pro SP2
- Internet Explorer 6
Les utilitaires :
· A² Free (gratuit)
· Ad-Aware se Personal (gratuit)
· Intermute SpySubTract (19)
· Microsoft Antispyware (anciennement Giant Antispware) (beta 1) (20)
· PestPatrol version 4 (21)
· PestPatrol version 5 corporate (22)
· Spy Sweeper
· Spybot Search & Destroy (gratuit) (23)
· Tauscan (24)
· TDS - Trojan Defence Suite (DiamondCS - scanner à la demande) (25)
· The Cleaner (26)
· AVG AntiVirus FREE (gratuit)
Divers outils
. PhotoImpact pour d'éventuelles captures d'écran
. Open Office pour la rédaction de cette étude
. Total Uninstall (15) – un moniteur d'installation
. ProcessGuard - protection du système d'exploitation Windows. (16) – un moniteur d'exécution
Réglages
Suppression du mode « Apprentissage » de ProcessGuard
Réglages de Internet Explorer :
Tous réglages de sécurité sur « Moyen »
· Sécurité > Internet > Niveau par défaut > Moyen
· Avancé > Paramètres par défaut
· La JVM de SUN n'est pas installée et Microsoft ne livre plus sa JVM, donc JAVA n'est pas du tout installé.
. Page de démarrage de IE réglée sur http://www.kazaa.com
Spybot Search and Destroy : TeaTimer
Le TeaTimer de Spybot S&D (version 1.6.2) réagit à la modification de la clé du registre – J’accepte définitivement
Microsoft AntiSpyware
Microsoft AntiSpyware réagit également – J’accepte définitivement (Amusant : il me rappelle que la valeur par défaut devrait être la sienne soit http://www.msn.com !!!)
|
Cette première partie de l'analyse consiste à aller sur le site de KaZaA et sur les sites de ses partenaires (à partir du moment où un lien existe sur le site de KaZaA) afin de faire l'inventaire des déclarations de KaZaA (lire les présentations des produits, les contrats et licences etc.) qui seront ensuite comparées aux réalités.
Nous allons en apprendre presque autant, avec une lecture attentive de plusieurs documents, lecture à laquelle plus personne ne s'astreint, qu'avec tous les utilitaires du monde.
Lancement d'Internet Explorer Connexion directe sur kazaa.com
Instantanément 135.919 caractères sont reçus et 12.987 sont envoyés !?!
Nota :
Rappelons-nous que KaZaA a déclaré une liste de « fonctionnalités » installées avec KaZaA sur http://www.kazaa.com/us/products/downloadKMD.htm. Traduction de ce document :
qu'est-ce que vous installez avec KaZaA v3.0 (version gratuite):
KaZaA – application principale qui vous permet de chercher, télécharger et partager des fichiers.
TopSearch - affiche des fichiers de meilleure qualité et avec gestion des droits numériques identifiés par des icônes Or dans les résultats de la recherche). Développée par Altnet.
Altnet Peer Points Manager – C'est un gestionnaire de récompenses pour partager des fichiers marqués avec les icônes couleur or. Comprends :
My Search Tool bar
Joltid P2P Networking
Altnet Peer Points Components
BullGuard P2P – ‘BullGuard P2P’ fournit une protection antivirus lorsque vous utilisez KaZaA.
Publicités - envoyées par :
Cydoor (1)
GAIN Network (2)
InstallFinder – procure des résultats de recherches alternatifs lorsque vous naviguez.
Clic sur « Français »
Nous tentons de lire la page « Pourquoi KaZaA est gratuit », mais il s'agit d'une traduction automatique de l'anglais vers le français ce qui donne un texte incompréhensible (le traducteur de Google a fait beaucoup de progrès depuis). Retour vers l'anglais qui sera plus fluide.
Sharman Networks nous dit, page http://www.kazaa.com/us/help/faq/howis_kazaa_free.htm, que KaZaA est gratuit, car il est supporté par de la publicité (entendez par-là que la société Sharman Networks est payée pour la publicité qu'elle vous délivre via le logiciel KaZaA. Les moyens logiciels mis en œuvre pour gérer cette publicité sur le poste client (sur votre ordinateur) sont Cydoor (1) et GAIN Network (2) (de la société Gator (3)). Donc, en voilà déjà deux ! En lisant le contrat « Utilisateur final », que personne ne lit, un peu plus loin, Sharman Networks citera 4 logiciels et non plus 2. Le test en dénombrera un peu plus. Ce que Sharman Networks ne dit pas c'est qu'elle est payée pour chaque implantation de chaque parasite : c'est là son cœur de métier – déployer des parasites. Pour Sharman Networks, KaZaA n'est qu'un moyen, le véhicule, le Cheval de Troie. Il faut qu'il soit le meilleur possible pour conduire au plus grand déploiement possible des parasites contenus.
Nota :
Nous emploierons, dans ce qui suit, « KaZaA » par simplification de langage, mais il faut, chaque fois, entendre « Sharman Networks », propriétaire de KaZaA.
|
La déclaration « Vie privée » de KaZaA (5) (6) est à nouveau une insulte à notre intelligence. Cette page déclare simplement que, dans le logiciel KaZaA, la fonction « En savoir plus sur cet utilisateur » est décochée par défaut et donc que les autres utilisateurs de KaZaA n'ont pas accès à votre répertoire partagé ! Ceci n'a aucun rapport avec l'usage fait par la société KaZaA des informations collectées sur nous ! C'est sur ces points que nous attendons des commentaires.
|
Les articles 1 à 8.1 dégagent KaZaA de tout problème qui pourrait advenir à votre ordinateur, vos fichiers et à vous-même, etc.
l'article 9 concerne les logiciels tierce partie qui viennent en « cadeau » (bundle) avec KaZaA.
Vous « devez » installer des logiciels de tierces parties
Vous êtes liés aux fournisseurs de ces logiciels tiers selon des contrats spécifiques autres que celui de KaZaA et vous devez lire tous ces contrats attentivement.
Le simple fait d'utiliser ces logiciels de tierces parties (pourtant vous n'avez rien demandé !) implique l'acceptation de toutes les clauses de leurs licences, etc.
KaZaA ne vend, ni ne revend, ni ne licencie ces logiciels tiers et s'en lave les mains aussi loin que le permettent les lois applicables (rappel – KaZaA est installé sur une petite île au large de l'Australie)
KaZaA ne donne strictement aucune garantie quant à la qualité ou l'innocuité de ces logiciels tiers et ne saurait être recherché en aucun cas, même s'ils enfreignent des lois, causent des dommages directs ou indirects, etc. où qu'ils arrivent et même si KaZaA a été prévenu préalablement de la survenance possible de tels dommages.
Ces logiciels sont listés au paragraphe 9.4, mais sans limitation. On sait donc que l'on reçoit, au moins, Cydoor (1), Altnet Topsearch, Bullguard P2P et GAIN Network (2).
Il y a des risques inhérents à l'installation de tout logiciel depuis l'Internet. KaZaA vous met en garde avec ces logiciels tiers, vous êtes seul responsable, etc.
l'article 9.4.6 est savoureux : en échange du fait que vous avez eu le privilège de télécharger gratuitement ces parasites, vous acceptez expressément ces parasites et vous vous engagez à ne jamais rien faire pour tenter de les retirer, les bloquer, les désactiver, interférer avec eux, etc. tant que vous n'avez pas totalement désinstallé KaZaA ! Cet article met donc la totalité des internautes du monde ayant KaZaA et un antivirus (52), un anti-trojans (51), un anti-spywares, un firewall (pare feu), etc. dans l'illégalité, le contrat n'étant pas respecté ! l'article 12, que vous avez accepté, bien sûr, vous rend passible d'indemnisations lourdes à verser à KaZaA pour violation de cette licence et, excusez du peu, pour la violation des droits d'un tiers (alors qu'ils viennent de dire un peu plus haut qu'ils s'en lavent les mains et n'interviennent pas là-dedans).
Déconnexion du site de KaZaA.
|
l'installation de KaZaA passe obligatoirement par l'installation d'un téléchargeur (downloader) et installeur (qui se rémunère, et quand ?) Si vous téléchargez KaZaA depuis un site de téléchargement (télécharger.com, c|net etc.) vous ne téléchargez que le téléchargeur. l'installation de KaZaA se fera toujours et obligatoirement sous le contrôle de ce téléchargeur et uniquement depuis les serveurs de Sharman Networks. KaZaA en lui-même n'est pas disponible en libre téléchargement direct.
Etablissement d'une connexion, directement sur le site de KaZaA.
8.617 caractères reçus et 12.386 envoyés. On est loin des chiffres de la première connexion au même site (voir § précédent).
Clic sur « Français »
Clic sur « Télécharger maintenant »
Le downloader (téléchargeur) kazaa_setup, 575 Ko, est proposé en exécution. Je choisis de le télécharger et non pas de l'exécuter directement. Il est téléchargé en moins de 4 secondes à 143 Ko / seconde : leur serveur est rapide !
|
Navigation, sur la machine de tests, jusqu'à kazaa_setup.exe et double clic pour lancer son exécution qui nous dirige immédiatement sur une page d'accueil de Sharman Networks. Celle-ci ne nous apprend rien sinon qu'il faut suivre 4 étapes pour installer KaZaA. Nous passons à la page suivante qui s'avère plus loquace :
qu'est-ce que vous acceptez d'installer ?
KaZaA
Bullguard antivirus
Cydoor (1)
GAIN Network (2)
Altnet peerpoints Manager Package incluant :
My Search Toolbar
P2P Networking Application
Ceci a au moins le bénéfice d'une « certaine » honnêteté mais, en réalité, quel utilisateur se pose la question de savoir ce que sont ces « choses ».
Autre déclaration de Sharman Networks :
« Sharman Networks respecte votre vie privée et vous demande de lire sa déclaration « Vie privée » (6) ». Bien entendu, la liste des informations collectées n'est jamais exhaustive et on vous dit toujours que Sharman Networks collecte des informations telles que etc. On ne vous donne que des exemples, jamais l'intégrale. Les exemples :
Nom
Adresse (une adresse réelle pour expédition d'un achat)
Informations démographiques (âge… mais aussi sexe, pays etc. …)
Adresse e-mail
Etc.
Tout est dans les etc. et les points de suspension.
Ces données sont remises à des sponsors ( ? Qui ? Où ? Quoi ? Quand ? Comment ? Pourquoi ?…) et des tiers sous-traitant (Qui ?… Et qui sont censés ne rien en faire ?).
l'adresse e-mail sert à vous faire parvenir de la publicité à partir de « partenaires » (on ne sait pas ce que cela veut dire) de Sharman Networks implantés dans le pays de l'utilisateur de KaZaA.
Sharman Networks insiste beaucoup sur la propreté de leur cookie mais s'empresse d'ajouter que leurs partenaires utilisent aussi des cookies qui leur échappent complètement.
Les publicités sur le site de KaZaA et dans le logiciel KaZaA sont gérées par Cydoor (1).
|
Les informations collectées sont, au moins :
Nom
Adresse e-mail
Âge
Sexe
Mot de passe
Références de carte bancaire et autres informations de facturation (adresse géographique…)
Adresse IP (adresse de votre machine sur Internet) et autres informations d'identification certaine de votre machine :
adresse MAC
GUID
Systèmes d'espionnage sophistiqués sous couvert de gestion des droits numériques… dont, en toutes lettres dans le texte :
« Pour traquer les téléchargements et télédéchargements de fichiers »…
« Pour forcer à respecter notre licence »…
« Pour protéger nos intérêts »
« Pour compter les points que vous avez échangés ou gagnés… »).
Ce dernier point, « compter les points », est très important, car il est la « justification » ou « l'amende honorable et misérable » fournie par Altnet au scandale de son sous-réseau de P2P (un botnet) planqué dans le réseau utilisé par KaZaA, constitué des puissances volées de nos ordinateurs et réutilisées à son seul profit. Relire notre article Altnet – Brillant Digital – Kazaa (9).
Toutes les machines des internautes utilisateurs de KaZaA, ayant conservé l' « Opt In » d'Altnet, sont transformées en « zombies » du botnet Altnet de vente de musiques enregistrées. Altnet n'a besoin d'aucun serveur et d'aucune bande passante. Son réseau ne lui coûte rien. La puissance distribuée ainsi détournée dans un but mercantile est fantastiquement supérieure à celle, misérable, qu'arrivent à obtenir gracieusement, de la part d'internautes qui se sentent impliqués, de grands projets humanitaires de calcul distribué comme le pliage des protéines - Folding@home - Repliement du protéome humain (11), Seti@home (12) ou Décrypthon (13).
Cette déclaration « Vie privée » dit, en toutes lettres, que vous êtes profilé (votre profil est établi donc vous êtes espionné et on calcule vos centres d'intérêt et vos préférences) afin que leurs partenaires puissent vous abreuver de « la bonne pub au bon moment ».
Ces informations sont partagées « avec d'autres » si vous restez sur l'Opt In d'Altnet.
Nous acceptons, obligatoirement, les deux licences suivantes et poursuivons l'installation.
Kazaa Media Desktop End User License Agreement.
Altnet PeerPoints Manager Package End User License Agreements.
Nous acceptons d'installer le parasite « Gator Gain (2) » de Gator (3).
Remarque : le fait de demander explicitement à l'utilisateur d'accepter l'installation de ce qu'il ne sait pas être une malveillance dédouane KaZaA de tout risque de poursuite judiciaire. C'est l'utilisateur qui est responsable et informé puisqu'il a été expliqué, dans des licences et clauses à valeur juridique, que personne ne lit, mais que tout le monde a acceptées, ce que fait cette société et ses produits.
Nous acceptons d'installer leur antivirus, BullGuard. En réalité il s'agit du téléchargement de la version gratuite de BullGuard qui n'est pas installé à ce stade.
Nous acceptons d'installer Skype (la téléphonie « gratuite »).
Installation de KaZaA.
Lancement de KaZaA et exécution durant quelques minutes.
Fermeture de KaZaA.
Redémarrage de l'ordinateur.
Mise à jour de BullGuard (KaZaA cherche à nous faire acheter la version complète et commerciale, avec firewall et outil de back-up). Nous choisissons toutefois de ne pas installer BullGuard que nous soupçonnons d'être permissif avec toute la clique KaZaA.
Durant l'installation, un certain nombre d'alertes sont émises par nos outils installés. Elles sont présentées dans le tableau comparatif « On access » de notre comparatif antitrojans et antivirus (pdf, français, 73 pages).
Analyses détaillées des malveillances installées par KaZaA avec 12 antispywares et anti-trojans. Ces analyses sont présentées dans le tableau comparatif « On access » de notre comparatif de 12 anti-spywares et anti-trojans (PDF, français, 73 pages).
Remarques : ce document a été écrit début 2005 alors que le site assiste.com était dans une ancienne version, sur un autre serveur chez un autre hébergeur. Tous les liens qui peuvent s'y trouver aboutissent à d'anciennes pages, voire n'aboutissent plus.
Quelques liens plus à jour - Les utilitaires comparés :
A² Free (gratuit) (17)
Ad-aware se Personal (gratuit) (18)
Intermute SpySubTract (19)
Microsoft Antispyware (anciennement Giant Antispware) (beta 1) (20)
PestPatrol version 4 (21)
PestPatrol version 5 corporate (22)
Spybot Search & Destroy (gratuit) (23)
Tauscan (24)
TDS-3 (25)
The Cleaner (26)
AVG Antivirus (gratuit)
KaZaA est l'archétype du cheval de Troie. C'est une application ayant une activité apparente (utile ou futile) cachant en son sein des parasites. Le déploiement du cheval de Troie sert au déploiement des charges actives embarquées. Il est catastrophique, en termes d'outils anti-trojans (51), de voir que seuls 3 d'entre eux signalent le parasite KaZaA, es qualité cheval de Troie.
KaZaA est un outil de P2P dont l'usage est en contradiction formelle avec les contrats de travail de l'universalité du monde du travail. Comment des outils commerciaux destinés à sécuriser les environnements professionnels peuvent-ils ne pas signaler sa présence ?
Les objets introduits dans les ordinateurs avec KaZaA relèvent de la piraterie ou des parasites (virus, etc.). La présence de KaZaA sur une machine est une faille de sécurité majeure et relègue tous les outils anti-trojans (51) ne signalant pas sa présence au rang de gadgets à usage domestique. La présence de contenus piratés met le propriétaire (l'employeur…) hors la loi et l'expose aux poursuites prévues.
KaZaA écrit, en toutes lettres, sur son site à http://www.kazaa.com/us/privacy/spyware.htm :
« KaZaA Media Desktop contains banner advertising and the option to install other third-party applications in order to remain free to the user. »
« KaZaA Media Desktop contient des bannières publicitaires et la possibilité d'installer d'autres applications tierces afin de rester gratuit pour l'utilisateur. »
KaZaA dispose de la capacité de télécharger (downloader) et installer des applications sans notre consentement, sans que nous sachions de quoi il retourne et sans que nous puissions nous y opposer. KaZaA est donc un downloadeur (pas au sens du P2P, mais de bundleware) avec ses paquets cadeaux (bundle) et doit être éradiqué.
l'adware (37) et spyware (38) Gain (2) de Claria (ex Gator (3))
Il s'agit du plus important adware et spyware au monde. Moult fois dénoncée sous son nom d'origine, Gator (3), la société a été obligée de changer de nom (Claria - Clara Corporation) pour tenter de se refaire une virginité avec les mêmes logiciels et le même réseau.
La déclaration de KaZaA, « NO SPYWARE », est mensongère.
l'adware (37) et spyware (38) MyWay SearchBar :
Alias MyWay Toolbar, My SpeedBar, MyWay Search Bar, MyWay myBar, MyWay toolbar.
C'est une barre d'outils (Toolbars) qui s'installe en tant que BHO (Browser Helper Object) (32) dans Internet Explorer pour de mauvaises raisons et, analysant vos mots clés, établit votre profil et vous inonde de bannières publicitaires (33), pop-up (34), publicités contextuelles (35) et pratique la publicité intrusive (36).
Ils déclarent ne collecter aucune information lorsque nous n'utilisons pas leur service, mais ne disent pas un mot de ce qu'ils collectent et de ce qu'ils en font lorsque nous utilisons leur service.
La déclaration de KaZaA, « NO SPYWARE », est mensongère.
l'adware (37) et spyware (38) TOPicks
Alias Spyware/Altnet.
Cet adware est implanté par Altnet, en même temps que son zombificateur. Il s'implante sous forme de BHO (Browser Helper Object) (32) dans Internet Explorer. Il analyse en temps réel (« real time ») (27) les contenus vus durant votre navigation sur le Web pour vous profiler et orienter vos recherches vers des sites particulièrement ciblés (pas au sens de vos intérêts, mais au sens de leurs intérêts, en fonction des relations commerciales qu'ils ont signées avec ces sites).
La déclaration de KaZaA, « NO SPYWARE », est mensongère.
Un réseau de P2P privé et sécurisé, caché dans le réseau FastTrack, utilise nos ressources (disques, mémoire RAM, bande passante, puissance de calcul, etc.) d'utilisateurs de KaZaA pour le profit commercial de Brillant Digital. La manière dont l'existence de cette zombification de nos machines est portée à notre connaissance est particulièrement floue. Le fait que nos machines ne soient plus qu'un pion d'un immense réseau commercial privé mondial est complètement occulté.
Nota : le composant Altnet Topsearch n'est plus caché à l'intérieur de la visionneuse de Brillant Digital, mais est désormais incorporé dans KaZaA.
Altnet – Brillant Digital (P2P Networking), c'est la gestion des droits numériques (DRM). Tout l'espionnage au profit des majors peut être attendu de cet outil :
l'adware (37), Spyware (38), KeyLogger (39) et Trojan (40) Twain-Tech est également connu sous divers noms :
Adware/MultiMPP [Panda], Adware/Twain-Tech [Panda], Trojan.Win32.Keyhost.e, Twain-Tech adware, Win32/Spy.BiSpy.C trojan [Eset]
Twain-Tech s'installe en BHO (Browser Helper Object) dans Internet Explorer. Il s'exécute en mode furtif et affiche des publicités, parfois des publicités intrusives (36).
PestPatrol classe Twain-Tech dans les familles des KeyLogger et des chevaux de Troie.
La déclaration de KaZaA, « NO SPYWARE », est mensongère.
Cydoor (1) revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour sont infestés par ses outils grâce auxquels il annonce fièrement diffuser plusieurs billions de publicités par mois dans le monde.
Cydoor collecte des données de tracking et des données démographiques (Genre, âge, centres d'intérêt, statut marital, salaire, code postal, pays, niveau d'éducation...).
La déclaration de KaZaA, « NO SPYWARE », est mensongère.
l'adwareAdDestroyer est également connu sous divers noms :
Adware.AdDestroyer [Symantec], VirtualBouncer, etc.
l'adwareAdDestroyer se connecte silencieusement à l'Internet après chaque redémarrage de votre ordinateur, sans votre consentement et sans que vous en ayez connaissance.
l'adwareAdDestroyer reste résident en tâche de fond sans votre permission lorsque vous quittez votre navigateur.
l'adwareAdDestroyer affiche des publicités en pop-up ou pop-under même hors connexion.
l'adwareAdDestroyer ne dispose d'aucune procédure de désinstallation dans Ajout/Suppression de programmes » ou ailleurs.
Sur les machines sous un système d'exploitation Microsoft et dont le système de fichiers est NTFS, KaZaA cache une petite chaîne de caractères de 26 octets, probablement un identificateur unique de type GUID (43) ou une clé de licence de sa version payante (sans publicité) dans un emplacement particulièrement discret. l'existence des ADS, chez Microsoft, est quasiment inconnue. Cette ADS est attachée à kazaa_setup.exe (kazaa_setup.exe :zone.identifier).
Les encyclopédies |
---|