Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
Spywares : méthodes d'infestation - comment un spyware arrive dans mon ordinateur ?
La plupart des spywares (le terme de Spyware étant devenu un nom commun désignant, pour le public, toutes les formes de malveillances) sont contenus dans les logiciels gratuits (les "freewares"), les logiciels payants dits "sharewares", les logiciels "sponsorisés" par de la publicité embarquée (présence de bandeaux publicitaires dans la fenêtre du logiciel) ou sur le bureau de l'ordinateur et qui subsistent après désinstallation du logiciel (implantation de codes de "sponsors", généralement des d'"adwares" ou "publigiciels" ou "barres d'outils" (qui sont toutes de réels spywares) par l'installeur piégé du logiciel ou le téléchargeur piégé du logiciel).
Les mécanismes publicitaires peuvent être utilisés pour faire pénétrer des malveillances dans les ordinateurs, en exploitant des failles de sécurité ou par tout autres moyens globalement appelés " Drive-by download ".
Les principaux Spywares sont simultanément de type adwares et sont (ce travail remonte à 2000 / 2007 et la liste des noms de spywares d'aujourd'hui serait autre, mais le principe reste de même) :
Le fonctionnement sous privilèges administratifs
Internet est la source de la quasi-totalité des attaques et de l'insécurité. Vous ne devez ni surfer sur le Web, ni consulter vos e-mail ni accéder sous quelque forme que ce soit (messagerie instantanée, P2P etc. ...) à l'Internet lorsque vous êtes en mode Administrateur.
On le répète sans cesse et on le redit encore une fois |
Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update). Chaque application que vous lancez hérite des droits du compte qui lance cette application. Si vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie ou voler vos données ou les compromettre. |
Les parasites les plus dangereux s'installent et fonctionnent correctement à cause de vous ! Parce que vous êtes allé sur le Net ou avez consulté vos e-mail sous votre compte Administrateur. Ils n'auraient rien pu faire, ou bien moins, si vous étiez allé sur le Net avec un compte d'utilisateur normal. Les crapules du Net n'ont pas besoin d'implanter un RootKit si vous leur donnez le mode Administrateur ! Lire le papier de Symantec (Norton Antivirus) à propos de w32.beagle.av@mm (archive).
Si vous êtes connecté en mode restreint, toutes les applications que vous lancez ont des droits restreints. Avec des droits restreints, il ne serait pas possible à un parasite de :
Créer des fichiers dans le répertoire system32
Tuer des processus
Désactiver le pare-feu Windows
Télécharger et écrire des fichiers dans le répertoire system32
Détruire des valeurs du Registre Windows dans HKLM
Toutes ces tentatives auraient échoué si l'utilisateur utilisant son client de messagerie (OutLook etc. ...) ou son navigateur (Internet Explorer, etc.) ne s'était pas connecté avec son compte administrateur.
Aucun usage quotidien de Windows ne justifie le mode Administrateur (sauf pour de très rares personnes dont vous ne faites probablement pas partie). Aucune application liée à l'Internet (communiquante), comme les navigateurs, les messageries instantanées, les clients de messagerie, les clients de P2P etc. ... ne devrait jamais être lancée dans un contexte "Administrateur".
Vous disposez, par défaut, de 4 profils de travail avec Windows XP. Créez un compte dans le profil "utilisateurs" et travaillez sous ce compte. N'exploitez votre compte dans le profil "administrateur" qu'exeptionnellement.
Administrateur
Ont un droit d'accès illimité à l'ordinateur
Utilisateurs avec pouvoirs - ( Power User )
Possèdent quelques droits administratif sur une machine comme partager des fichiers, installer des imprimantes locales, changer la date et l'heure du système. Ils possèdent des pouvoirs étendus pour accéder aux fichiers dans les répertoires système.
Utilisateurs - (Users)
Ils possèdent des droits limités et suffisants pour utiliser des applications autorisées etc. ... Ils ne peuvent effectuer des changements, accidentels ou volontaires, dans le système, ne peuvent ouvrir un port dans le pare-feu, ne peuvent lancer un service (ni en arrêter un).
Invités
Droits restreints par rapport aux droits "Utilisateurs".
Que faire pour les irréductibles du contexte inutile et dangereux "Administrateur" ?
Utiliser "DropMyRights" !
DropMyRights permet de lancer certaines applications choisies dans un contexte de droits réduits bien que l'utilisateur soit identifié en tant qu'Administrateur.
Par les supports comme les cd-rom
Les mêmes programmes et utilitaires que ceux téléchargés sur Internet se retrouvent diffusés sur les Cd-Rom joints à beaucoup de revues informatiques et contiennent les mêmes lots de spywares.
Les outils même de navigation sur ces Cd-Rom offerts dans la presse écrite (oui, votre revue préférée est vendue dans tous les sens du terme !!!) Par exemple ceux trouvés dans certaines presses informatique, installent eux-mêmes un espion, avant même que vous n'ayez fait quoi que ce soit (boycottez définitivement ces journaux et inhiber le démarrage automatique des Cd-Rom pour aller vous balader dessus simplement avec l'explorateur).
Exemples :
La totalité des logiciels de download (accélérateurs de téléchargement) contiennent un ou plusieurs espions, dont les biens connus :
Go!zilla (espion Aureate / Radiate)
GetRight (espion Aureate / Radiate)
Smartdownload d'AOL/Netscape - plainte déposée le 30 juin 2000 - condamnation d'AOL/Netscape le 13 juin 2003.
Les logiciels de compression / décompression de données comme
PkZip (espion Timesink / Conducent)
Les logiciels de partage de ressources (peer to peer) comme
Bearshare (espion ClickTillUWin ou OnFlow selon les versions)
KaZaA comporte une quantité incroyable de spywares. C'est pratiquement une vitrine de l'art des spywares, ils y sont presque tous !!! Voir notre test Les spywares de KaZaA.
La plupart des économiseurs d'écran sont des spywares camouflés.
Tous les sites pornos en installent. Vous voulez vraiment la liste ? (j'ai entendu "oui" au fond de la salle, près de la fenêtre et du radiateur ?) La liste hosts de Stephen Martin en recence plus de 42.000 et on estime qu'il y en a plus de 70.000 accessibles sur le Net.
Certains logiciels antivirus gratuits !!! Un comble.
Certains jeux et sites de jeux
Même de grands noms commerciaux comme
Laplink FTP 2 (espion Aureate / Radiate)
Copernic
Microsoft (Alexa)
Netscape (Alexa)
Des navigateurs Internet
NeoPlanet (espion "FlySwat")
Internet Explorer depuis la version 5.0 (sur la base de l'espion Alexa related info)
Netscape depuis la version 4.6 (sur la base de l'espion Alexa related info)
Etc.
Des outils d'aide à la navigation
Alexa (sa fonctionnalité "related info" qui, en sus, est incorporée dans tous les navigateurs Internet Explorer de Microsoft depuis la version 5.0 et est à la base de la fonctionnalité "Netscape's Smart Browsing" avec "Site Information" et "Related Links" depuis Netscape version 4.6.
les BHO (Browser Helper Objects)
Etc.
Etc.
Etc.
Etc.
|
|