Questions-réponses sur les malwares : épisode 6

J’aimerais savoir quel bénéfices peuvent tirer les auteurs de malwares du fait de créer des programmes malveillants tels que Stuxnet, ciblant des processus industriels ? – Question posée par Chani

Les malwares ne sont pas uniquement destinés à gagner de l’argent facilement en exploitant la naïveté des internautes, ils sont également utilisés activement afin d’empêcher d’autres personnes de gagner de l’argent ou de ralentir certains projets industriels. Stuxnet n’est qu’un exemple de malware employé pour porter atteinte à des processus (une approche également présente dans les attaques de type DDoS). À en juger par la façon dont le malware a été conçu, le ver Stuxnet était destiné à saboter un programme nucléaire. Ce que ses créateurs avaient en tête demeure incertain, mais je suis sûr qu’ils avaient leur raison et qu’un gain financier était en jeu.

 

Qu’est-ce que l’empoisonnement de cache des moteurs de recherche ? Comment cela affecte-t-il les utilisateurs ? – Question posée par Jeet

Je pense que vous souhaitez savoir ce qu’est l’empoisonnement des moteurs de recherche (Search Engine Poisoning) et l’empoisonnement du cache DNS. Il s’agit de techniques complexes utilisées par les cybercriminels pour tromper les utilisateurs et les rediriger sur une autre page Web que celle souhaitée ; ces 2 approches sont toutefois radicalement différentes.

·         L’empoisonnement des moteurs de recherche, est une technique qui consiste à améliorer le positionnement d’une page via des techniques de black hat SEO, afin que celle-ci s’affiche parmi les premières pages de résultats d’un moteur de recherche. La page Web est habituellement placée sur un site piraté et optimisée afin de figurer parmi les premiers résultats de recherche, généralement liées aux événements internationaux (tels que les compétitions sportives, les événements mondains, les catastrophes naturelles ou les fêtes). Pour qu’une page arrive en première position, ces escrocs emploient différentes techniques telles que les pages satellites et le cloaking, en proposant de nombreux liens vers la page sur des sites Web qu’ils ont piratés ou sur des blogs gratuits faisant partie de « fermes » de liens. Une fois que l’utilisateur se retrouve sur cette page, suite à un clic ou à un résultat de recherche « empoisonné », il téléchargera probablement un malware à son insu, ou un exploit s’exécutera via son navigateur.

·         L’empoisonnement du cache DNS est un peu plus complexe et consiste à compromettre les données du cache DNS du réseau d’une entreprise. Afin d’expliquer au mieux le fonctionnement du cache DNS, je commencerai par présenter brièvement les principes de base de la résolution DNS. Les serveurs DNS sont chargés d’établir une correspondance entre des noms de domaines lisibles par l’homme tels que malwarecity.fr et un identifiant destiné à l’ordinateur appelé « adresse IP » (par exemple, le DNS traduit malwarecity.fr en 62.75.216.60). Certaines organisations, dont votre fournisseur d’accès à Internet, disposent de leurs propres serveurs DNS qui améliorent généralement le temps de résolution en mettant en cache des adresses IP associées aux routes les plus fréquemment utilisées. Ainsi, les serveurs DNS d’un FAI veilleront à ce que toutes les adresses associées aux réseaux sociaux, aux services de messagerie et aux autres ressources utilisées soient déjà résolues et mises en cache. Lorsqu’un utilisateur saisit dans le navigateur une URL qui n’a pas encore été mise en cache, le serveur DNS local tente de résoudre la requête à l’aide d’un serveur de noms autoritaire. Si un attaquant parvient à spoofer la réponse comme provenant d’un serveur de noms autoritaire, le serveur de noms local associera dans le cache une ressource à une adresse IP différente (une adresse IP contrôlée par l’attaquant). Toutes les requêtes suivantes provenant des clients connectés à ce réseau seront associées à l’IP mise en cache, ce qui signifie qu’une attaque par empoisonnement du cache DNS pourrait avoir des effets dévastateurs sur l’ensemble des utilisateurs du réseau, avec des attaques parmi lesquelles : du phishing, la distribution de malwares et la redirection vers des publicités à grande échelle. L’empoisonnement du cache DNS affectant tous les utilisateurs, quel que soit leur navigateur ou leur système d’exploitation, son impact dépasse notre imagination.

 

Pouvez-vous expliquer en quoi consiste « l’analyse comportementale » ? – Question posée par Jeet

L’analyse comportementale se réfère à une analyse qui n’étudie pas le code lui-même, mais observe un comportement afin de déterminer si celui-ci est susceptible d’être dangereux. BitDefender dispose actuellement de deux types de technologies basées sur le comportement, appelées B-HAVE et BD-AVC. On peut comparer B-HAVE à un « bac à sable » dans lequel les applications sont exécutées. Les résultats de l’exécution sont ensuite analysés et considérés comme étant ou non malveillants. B-HAVE effectue cette évaluation avant que l’application ne soit lancée sur l’ordinateur. Si une application est détectée comme étant potentiellement malveillante, son accès est bloqué. Et, puisque nous parlons de B-HAVE, vous serez peut-être intéressés de savoir que BitDefender est le premier antivirus au monde à avoir inclus ce type de technologie.

La seconde technologie intégrée à BitDefender est BD-AVC, BitDefender Active Virus Control : une solution innovante qui analyse les applications en temps réel et attribue des scores en fonction de leur interaction avec le système. Quand ces applications essaient d’écrire dans certaines zones du système d’exploitation, telles que le Registre ou le dossier Système, elles obtiennent un score plus élevé. Lorsque ce score atteint un certain niveau, l’application est arrêtée automatiquement avant qu’elle ne puisse endommager l’ordinateur.

 

Quelle est la différence entre un pare-feu matériel (comme dans les routeurs) et un pare-feu logiciel ? Et quel est le meilleur type de pare-feu ? – Question posée par Jeet

Les pare-feu matériels sont généralement présents dans les routeurs des particuliers ainsi que dans l’équipement réseau des entreprises. Ces appareils fonctionnent à un bas niveau de la pile du protocole TCP/IP, c’est-à-dire au niveau du réseau. Les paquets sont filtrés par inspection de leurs en-têtes (les segments contenant des informations sur la source, la destination et le numéro de port). Après cette brève inspection, le pare-feu matériel dépose ou transfère un paquet conformément à l’ensemble des règles définies par l’administrateur du pare-feu.

Les pare-feu logiciels sont habituellement déployés dans des réseaux domestiques directement sur l’ordinateur hôte. Ils sont faciles à installer, sont prêts à l’emploi et nécessitent peu de connaissances en informatique. Par exemple, le module pare-feu de BitDefender intégré à Internet Security et Total Security peut détecter automatiquement si l’ordinateur est connecté à un réseau public ou privé et adopter les mesures appropriées, telles que refuser l’accès aux dossiers partagés, masquer l’ordinateur sur le réseau ou empêcher d’autres ordinateurs du réseau d’effectuer des scan de ports sur la machine protégée. Au-delà de cela, le pare-feu peut détecter automatiquement si une application est ou non légitime et lui autoriser ou non l’accès à Internet.

Pour ce qui est de savoir lequel est le mieux, mon conseil est de toujours compléter un pare-feu matériel avec un pare-feu logiciel. Les pare-feu matériels sont efficaces pour contrer les attaques DDoS mais ils ne filtrent pas le trafic et ne protègent pas non plus contre les virus, les vers et les chevaux de Troie contrairement à certains pare-feu logiciels. Signalons également le fait qu’un pare-feu logiciel protège le client (la station de travail installée dessus) alors que le pare-feu matériel protège l’ensemble du réseau.  

 

Pouvez-vous expliquer en quoi consistent l’usurpation d’adresse MAC et l’usurpation d’adresse IP ?

L’adresse MAC (Media Access Control) est un identifiant unique utilisé afin que l’équipement du réseau puisse remettre correctement des packages de données à un segment du réseau (veuillez noter que dans ce segment de réseau les ordinateurs sont identifiés à partir de leur adresse MAC plutôt qu’à partir de leur IP).

Par défaut, toutes les cartes réseau contiennent une adresse MAC codée en dur et qui est unique. Chaque fournisseur de carte réseau dispose de son propre code fabricant (les trois premières paires de lettres et de chiffres) et numéro de série (les trois autres paires de lettres et de chiffres). De cette façon, deux fabricants ne peuvent pas émettre la même adresse MAC pour deux cartes différentes. Les adresses MAC peuvent toutefois être modifiées via un logiciel, au niveau du système d’exploitation.

Carte réseau externe (USB) avec une adresse MAC spoofée.

 

Les utilisateurs peuvent décider de modifier les adresses MAC attribuées par le fabricant pour différentes raisons, y compris pour des défaillances matérielles. Par exemple, certains FAI peuvent permettre uniquement les connexions provenant d’ordinateurs autorisés. Lorsqu’une carte réseau doit être remplacée, l’utilisateur peut « cloner » l’adresse MAC de l’ancienne carte sur la nouvelle afin d’assurer la continuité du service. Cela s’applique également aux routeurs des PME. Dans ce cas, cloner l’adresse MAC n’est absolument pas nuisible puisque l’identification par adresse MAC est uniquement disponible dans le même segment du réseau local. Cependant, dans de nombreux cas, les routeurs et les points d’accès  utilisent des listes de contrôle d’accès basées sur les adresses MAC pour autoriser les clients à se connecter à des réseaux sans fil.

L’usurpation d’adresse IPest un autre type d’attaque qui consiste à modifier des paquets de données afin de changer l’adresse IP source. Le spoofing d’adresse IP est généralement effectuée pour se faire passer pour un autre ordinateur, afin que celui-ci reçoive une réponse qui ne lui était pas destinée. Imaginez la situation suivante : j’envoie une requête à un serveur, mais modifie mon IP afin d’indiquer celle de l’ordinateur de mon collègue. Le serveur répond avec un nombre d’octets puis envoie les données à l’ordinateur de mon collègue et non à moi (l’initiateur), puisque l’en-tête du paquet indique que la requête provient de lui. Si je parviens à reproduire cette situation plusieurs fois en une brève période, mon collègue sera victime d’une attaque par déni de service.

 

Certains logiciels affirment vous permettre d’envoyer un e-mail à partir de l’adresse de votre choix, comment fonctionnent-ils et, surtout, comment puis-je éviter de recevoir du spam ? – Question posée par Jeet

Ce type d’applications est composé d’agents de messagerie qui permettent à l’utilisateur de définir ses propres serveurs SMTP pour envoyer des e-mails. Envoyer un e-mail en se faisant passer pour un autre utilisateur est facile, il suffit de modifier les en-têtes d’e-mails. Je n’entrerai pas dans les détails en raison de la nature sensible du sujet mais, si vous avez accès à un serveur SMTP, vous pouvez facilement spécifier à la main l’identité de l’expéditeur dans une session Telnet. Vous pouvez bien sûr automatiser le processus, mais c’est un autre sujet. Sachez que modifier un en-tête est extrêmement simple. Il est par contre plus difficile de modifier le serveur SMTP de l’expéditeur et son adresse IP.

Le spam est omniprésent et vous finirez forcément par recevoir des messages non sollicités. Pour protéger votre vie privée, ne publiez jamais votre adresse e-mail en ligne, car les robots spammeurs pourraient la recueillir et l’ajouter à la base de données. Veillez à ne pas utiliser votre e-mail professionnel à des fins personnelles et choisissez avec soin les listes de diffusion auxquelles vous vous abonnez en ligne. Utilisez un filtre antispam si vous consultez vos e-mails à partir d’une application cliente, ce filtre détectera automatiquement le courrier indésirable et le traitera en conséquence, en l’empêchant d’atteindre votre boîte de réception et de vous faire perdre du temps ou, pire encore, de vous infecter.

 

Quel est l’intérêt pour les créateurs de malwares de concevoir des programmes malveillants ? – Question posée par Miami SEO Company

Les malwares étaient à l’origine conçus à des fins ludiques ou pour démontrer le talent de leur créateur. Ils sont désormais utilisés pour générer des profits ou à titre de « sanction ». Si la plupart des malwares essaient de faire gagner de l’argent à leur créateur, en profitant des utilisateurs naïfs, en vidant leurs comptes en banque ou en les incitant à acheter des logiciels inutiles (tels que de faux antivirus ou des applications de pronostics pour les paris sportifs), les malwares sont parfois utilisés comme outils de  chantage (par exemple, pour lancer des attaques DDoS contre des personnes/organisations ciblées).