Vous êtes sur la page 1sur 19

2me trimestre 2010

Techniques des enregistreurs de frappe daujourdhui


LES DROGUES AUDITIVES, DU PIPEAU ? UN TOURNANT PRENDRE

LA FORCE DE FRAPPE DES ESPIONS

La fraude sur Internet est de plus en plus ingnieuse Comment mieux lutter contre les programmes criminels

UBIQUIT : LE REVERS DE LA MDAILLE

Les solutions aux vulnrabilits des logiciels Adobe


AVIS DEXPERT
PRINCIPAUX RISQUES DE MENACES POUR 2010 : prsence accrue, complexit renforce

SECUREVIEW
SOMMAIRE ACTUALITS
Avances et tendances dans la scurit informatique 4-7

DITO
Cher lecteur, Cest avec un immense plaisir que je vous prsente le premier numro de SECUREVIEW, magazine indpendant consacr tous les domaines de la scurit informatique. Nous esprons que vous le trouverez intressant et instructif, et nous sommes impatients de recevoir vos ractions. La section Actualits, au dbut de notre magazine, vous prsentera les dernires tendances et les dcouvertes prometteuses dans le domaine de la scurit informatique. Elle comprendra galement des rapports sur les dernires confrences et expositions, dont la plupart dfiniront les orientations du secteur pour lanne venir. Dans ce numro, notre article la une est consacr au vol de donnes personnelles par le biais denregistreurs de frappe, grave sujet qui intressera particulirement les professionnels. Dans les numros suivants, nous nous efforcerons de dfendre les intrts de tous les utilisateurs en proposant des analyses dtailles sur les sujets les plus brlants du secteur. Dans notre section Analyse, des experts et journalistes de renom vous prsenteront les rsultats de leurs recherches dans le domaine de la scurit numrique ; ils se pencheront sur les sujets de dbat du moment et proposeront des solutions aux problmes de scurit informatique que lon rencontre si souvent sur le terrain. Le savoir-faire technologique est trs important dans le domaine de la scurit informatique. Cest pourquoi la section Technologie de chaque numro voquera les solutions qui nous semblent le plus intressantes et qui, selon nous, ont le plus fortement influenc le march de la scurit informatique dans les dernires annes. Nous vous prsentons galement une section Prvisions, qui, selon toute esprance, attirera un trs large public. En conclusion, dans notre section Interview, nous mettrons les experts du secteur sur la sellette et les interrogerons sur des questions de scurit informatiques pineuses. Nous esprons que les sujets traits dans ce premier numro de notre magazine vous intresseront et surtout, si vous travaillez dans ce secteur, que vous vous voudrez bien partager votre savoir et exprience avec nos lecteurs : nous sommes toujours prts accueillir de nouveaux auteurs. Vos efforts seront rcompenss et les articles intressants seront publis ! Veuillez nous crire ladresse editorial@secureviewmag.com, pour nous faire part de vos ractions, soumettre un article, ou nous dire quels sont les thmes que vous aimeriez nous voir traiter. Rendez-vous au prochain numro ! Alexander Ivanyuk

DOSSIER
Infosecurity Europe : nos correspondants Londres vous prsentent les derniers dveloppements

8-9

Alexander Ivanyuk

Rdacteur en chef

LA UNE
La force de frappe des espions : tout ce quil faut savoir sur les techniques des enregistreurs de frappe daujourdhui 10-15

ANALYSE
Les drogues auditives, du pipeau ? Actualit de la fraude sur Internet 16-19 Universalit : le revers de la mdaille. Des logiciels Adobe vulnrables

20-23

Un tournant prendre La lutte contre les programmes criminels 24-27

TECHNOLOGIE
mi-chemin entre noir et blanc : la technologie des listes blanches 28-31

PRVISIONS
Prsence accrue, complexit renforce : panorama des menaces pour 2010 32-34

ENTRETIEN
Rootkits, le dfi : Complexit des menaces actuelles et venir, par Vyacheslav Rusakov 36

SECUREVIEW Magazine 2me Trimestre 2010

Rdacteur en chef : Alexander Ivanyuk Rdaction : Darya Skilyazhneva Conception : Svetlana Shatalova, Roman Mironov

Contenu ditorial : editorial@secureviewmag.com http:// www.secureviewmag.com

Assistants de production : Rano Kravchenko, Ryan Naraine

Les opinions exprimes dans ce magazine sont celles des auteurs et ne refltent pas ncessairement celles de la Rdaction.

ACTUALITS
CHIFFREMENT CODAGE SCURIT MOBILE

ACTUALITS

Le DES 56 bits pulvris Les 25 erreurs


Pico Computing, socit base Seattle, tat de Washington, dclare avoir battu tous les records de vitesse de dcryptage du DES 56 bits. La socit dit avoir atteint un rythme denviron 280 milliards de cls par seconde avec un seul serveur acclration matrielle. La plateforme FPGA mise en place pour cette dmonstration reposait sur 11 cartes Pico EX-Series et tient dans un seul serveur 4U du commerce. Lalgorithme de dchiffrement DES massivement parallle a utilis des mthodes de force brute pour analyser la totalit de lespace de cls DES 56 bits. Il a procd au dcryptage itratif de plusieurs blocs de donnes de taille fixe afin de trouver les cls convertir en codes ASCII. Il sagit dune technique couramment employe pour retrouver les cls de dossiers crypts contenant des types de donnes connus. Les cls candidates identifies par cette mthode sont alors testes de manire plus approfondie, ce qui permet de trouver la bonne. La norme DES (Data Encryption Standard, norme de chiffrement des donnes) 56 bits est considre comme obsolte depuis quelle a t remplace par les mthodes plus rcentes et plus fiables que propose la norme AES (Advanced Encryption Standard, norme de chiffrement avance). Nanmoins, DES continue de jouer un rle important dans la recherche cryptographique, ainsi que dans le dveloppement et le contrle des algorithmes de chiffrement par bloc.
La Common Weakness Enumeration (liste des vulnrabilits courantes) labore par MITRE, organisation but non lucratif, comprend la liste 2010 des 25 erreurs de programmation les plus

de programmation les plus dangereuses


dangereuses. Cette liste est dresse par plus de 50 experts issus dorganisations de renom telles que le SANS Institute, RSA, Red Hat Sun, Microsoft, etc.

Android non scuris


Des scientifiques israliens de luniversit de Ben-Gurion se sont penchs sur la future plateforme logicielle Android de Google. Ils ont ainsi identifi les menaces principales, les vulnrabilits, les outils de protection existants et les solutions de scurit correspondantes. Avec lajout de services Internet intgrs, les priphriques mobiles deviennent plus sensibles aux dommages causs par divers types de programmes malveillants. Le risque est dautant plus grand que, en tant que tlphones intelligents, les appareils Android devront grer les donnes personnelles et remplir des fonctions informatiques : leur utilisateur est ainsi expos toutes les attaques qui menacent les utilisateurs de PC. Google Android est un logiciel complet pour appareils de communication mobile. La plateforme Android comprend un systme dexploitation, un logiciel intermdiaire et un ensemble dapplications fondamentales. Ltude montre que les mcanismes de scurit intgrs Android couvrent un grand nombre de menaces. Google sest appuy sur linterface POSIX (Portable Operating System Interface), qui attribue un nom dutilisateur chaque application pour empcher les divers programmes de se contaminer entre eux. tant dfinies comme des utilisateurs diffrents, les applications ne peuvent pas accder aux fichiers des autres programmes ; de plus, la consommation processeur du noyau slectionne est rpartie de manire quitable par dfaut. Le mcanisme doctroi dautorisations, qui impose des restrictions sur les oprations permises une application donne, vient renforcer la scurit. Enfin, la signature des applications joue elle aussi un rle important dans ce domaine. Les auteurs ont galement pass en revue les autres mcanismes de scurit envisageables pour les appareils de type Android : portage de SELinux vers Android et activation dune politique de scurit, activation dun pare-feu fond sur Netfilter avec un systme de dtection dintrusions reposant sur la dtection danomalies (appel Andromaly), etc. Malgr toutes ces mesures, les scientifiques ont identifi cinq

Tableau 1. Les 25 erreurs de programmation les plus dangereuses, rpertories par SANS et MITRE 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Non-conservation de la structure des pages Web (utilisation de scripts intersites) Mauvais nettoyage dlments spciaux utiliss pour une commande SQL (injection SQL) Copie dans le tampon sans contrle de la taille de lentre (Classic Buffer Overflow) Falsification de demande intersite (Cross-site request forgery, CSRF) Mauvais contrle daccs (autorisation) Dcision relative la scurit, fonde sur des donnes dentre non approuves Limitation errone dun chemin daccs un rpertoire restreint (Path Traversal) Absence de restrictions au tlchargement de fichiers dangereux Mauvais nettoyage dlments spciaux utiliss dans une commande dOS (OS Command Injection) Absence de chiffrement des donnes sensibles Utilisation dinformations dauthentification codes en dur Accs au tampon avec une valeur de longueur incorrecte Mauvais contrle des noms de fichiers pour la directive include/require dans un programme PHP (PHP File Inclusion) Validation errone dun index de tableau Mauvaise recherche de conditions inhabituelles ou exceptionnelles Divulgation dinformations dans un message derreur Dpassement ou bouclage dentier (Integer overflow or wraparound) Calcul incorrect de la taille du tampon Absence dauthentification pour une fonction critique Tlchargement de code sans contrle dintgrit Octroi erron dautorisations pour les ressources critiques Affectation de ressources sans limites Redirection dURL vers un site non approuv ( Open Redirect ) Utilisation dun algorithme de chiffrement dcrypt ou dangereux Situation de concurrence

Source: www.picocomputing.com

Le puzzle, nouveau modle de scurit


Des scientifiques sud-corens, amricains et indiens ont invent un nouveau modle de scurisation des transferts de donnes sur les rseaux informatiques. La mthode de scurit la plus couramment utilise pour viter que les donnes ne tombent entre les mains de personnes malintentionnes est le chiffrement. Toutefois, vu la complexit des calculs associs, sa mise en uvre sur un rseau se caractrise par un cot lev. Le principe du modle propos consiste fractionner les donnes transfrer en un grand nombre

de petites parties. En assemblant nouveau ces parties, on retrouve le contenu original des donnes, mais uniquement si les donnes sont regroupes dune certaine manire (comme pour les pices dun puzzle). Le destinataire des donnes est le seul connatre la mthode de reconstitution de lensemble. Un utilisateur non autoris qui intercepterait les fragments de message naurait pas assez dinformations pour assembler correctement les lments de la communication et ne pourrait donc pas lire le message.

grandes menaces prendre en compte. Le principal problme de scurit soulev rside dans le fait quAndroid est une plateforme open source, dont le code source a t publi aprs la mise sur le march des premiers appareils Android. Cette dmarche majore le risque didentification de vulnrabilits dans les composants de bas niveau (par exemple, le noyau Linux, les bibliothques ou la machine virtuelle Dalvik). En outre, plusieurs vulnrabilits du mcanisme de permission dAndroid ont t dtectes, do un fort accroissement du risque dinfection par un programme malveillant. Les chercheurs ont propos plusieurs mcanismes de scurit susceptibles de rduire ces menaces. Il est trs important dintgrer un mcanisme capable dempcher les ventuels dommages que pourrait occasionner une attaque de la couche du noyau Linux (systme de contrle daccs SELinux, par exemple). De mme, il faudrait amliorer la protection pour renforcer le mcanisme dautorisation dAndroid et reprer tout usage abusif des permissions octroyes. Les points suivants de

la liste de priorits dresse par les auteurs portaient sur les outils SELinux, un pare-feu, le systme de dtection dintrusion, la vrification de code et lanalyse statique automatises, ainsi que sur les solutions de contrle daccs en fonction du contexte. Quant au chiffrement des donnes et au systme dautorisations slectives dAndroid, ils ont t placs plus bas dans la liste des priorits.

Source: http://arxiv.org/ftp/arxiv/papers/0912/0912.5101.pdf

MENACES

AVIS DEXPERT

Attaques par dni de service distribu : le problme persiste


Du point de vue des rseaux de zombies et des attaques par dni de service, lanne 2009 a t fertile. Ayant rcemment valu les donnes sur les attaques par dni de service distribu en 2009, recueillies par une centaine de leurs clients FAI, les analystes de Arbor Networks ont remarqu que plus de 20 000 attaques dpassaient 1 Gbit/s de trafic, prs de 3 000 dentre elles atteignant 10 Gbit/s. Cela reprsente un trafic considrable, surtout quand on sait qu un grand nombre, voire la plupart, des entreprises utilisent toujours des connexions Internet 1 Gbit/s ou de vitesse infrieure , comme le souligne Danny McPherson de Arbor. Aujourdhui, seule une minorit dentreprises et de proprits en ligne tient compte des attaques par dni de service distribues dans ses processus de planification et de gestion des risques. En dautres termes, si elles remuent ciel et terre pour faire reconnatre priodiquement leur conformit en matire dintgrit et de confidentialit des donnes, les autres ngligent souvent le troisime pilier, cest--dire la disponibilit. Cette tendance sexplique peut-tre par la place donne aux auditeurs et aux listes de contrles plutt statiques et quantifiables parfois utilises pour limiter les risques lis aux vulnrabilits les plus courantes. Malheureusement, un manque de prvoyance ou une prparation insuffisante exposent les utilisateurs de frustrantes attaques par dni de service distribu, que ne prvoient que ceux qui en ont t victimes au moins une fois. La plupart des organisations de taille moyenne disposent dun plan complet pour faire face aux pannes rseau provoques par des catastrophes naturelles. Mais beaucoup dentre elles ne sauraient sans doute pas comment ragir si elles taient la cible dune importante attaque par dni de service distribu. Cependant, comme le montrent les donnes recueillies par Arbor, les attaques par dni de service distribu ne sont plus aussi rares quelles ltaient, et il vaut peut-tre mieux rpartir les rles et les tches avant quune attaque ne survienne, plutt quaprs.

Source: http://arxiv.org/ftp/arxiv/papers/1002/1002.4530.pdf Les plus graves erreurs de programmation pouvant rendre les logiciels vulnrables sont classes par ordre dimportance. Toutes les failles releves sont dangereuses, car elles permettent souvent aux pirates informatiques de prendre le contrle total dun logiciel, de voler des donnes ou dempcher un logiciel de fonctionner. Source: http://cwe.mitre.org/top25/ Lutilisation de scripts intersites (XSS), linjection SQL et le dpassement de tampon sont considres comme les pires erreurs rpertories. Ce classement fournit galement une description technique dtaille des failles, des exemples de code avec les modes de piratage associs, ainsi que des mthodes de prvention et de matrise des erreurs.

Source: http://threatpost.com/en_us/blogs/large-ddos-attacks-still-serious-problem-011110

Dennis Fisher vangliste technologique pour la succursale amricaine de Kaspersky Lab.

4 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

|5

ACTUALITS
MENACES DE SCURIT RSEAUX DE zOMBIES

ACTUALITS

Les dangers du cloud


La Cloud Security Alliance, organisme but non lucratif, vient de publier un rapport qui dcrit les principales menaces de scurit pesant sur le cloud computing. On appelle le cloud computing un type de systme distribu dans lequel toutes les ressources informatiques sont fournies sous la forme de services Internet. Alors que cette technologie attire de plus en plus de monde, les dlinquants sen servent pour mieux atteindre leurs buts : nuire au plus grand nombre dutilisateurs possible et viter dtre reprs. Particuliers et professionnels doivent donc mieux comprendre les risques lis ladoption du cloud computing. Les auteurs du rapport ont identifi les sept menaces suivantes : 1. Utilisation abusive et malveillante du cloud computing Les fournisseurs dIaaS (Infrastructure as a Service) font croire leurs clients quils disposeront dune capacit de calcul, de rseau et de stockage illimite et que le processus dinscription simplifi permettra toute personne munie dune carte de crdit valide de sinscrire et dutiliser aussitt les services du cloud computing. Certains fournisseurs proposent mme des priodes dessai limit gratuites. Forts de lanonymat relatif quoffrent ces modles dinscription et dutilisation, les auteurs de spams, de code malveillant et autres dlinquants peuvent agir en bnficiant dune certaine impunit. 2. Scurisation insuffisante des interfaces de programmation des applications Les fournisseurs de services du cloud proposent un ensemble dAPI dont les clients se servent pour grer et interagir avec les services en cloud. Lapprovisionnement, la gestion, lorchestration et le contrle sont tous raliss par le biais de ces interfaces. La scurit et la disponibilit des services du cloud classiques dpendent de la scurit de ces API de base. 3. Prsence d espions Cette menace est plus srieuse pour les consommateurs de services en cloud, cause de la convergence des services informatiques et des clients dans un mme domaine de gestion, et du manque gnral de transparence ct fournisseur. 4. Partage des vulnrabilits technologiques Les fournisseurs de services du cloud partagent leur infrastructure pour proposer des fonctions adaptables . Or, les composants sous-jacents de linfrastructure sont rarement conus pour assurer un bon isolement dans

Waledac fils du Botnet Storm revient cher


Au cours dune mission secrte destine en savoir plus sur la taille et la porte de Waledac, fils du tristement clbre Botnet Storm, des chercheurs allemands ont dcouvert que le botnet de spam tait bien plus grand et plus efficace que ce quon croyait. Lquipe, compose de chercheurs des universits de Mannheim et de Vienne, a eu laudace dinfiltrer le botnet Waledac du 6 aot au 1er septembre de lanne dernire grce un botnet Waledac clon quelle a cr et auquel elle a attribu le nom de code Walowdac . Ils ont ainsi dcouvert que Waledac envoyait au moins 55 000 bots par jour, avec un total de 390 000 bots, bien plus que les 20 000 et quelques bots que lon

avait estims prcdemment. Les chercheurs ont galement pu valuer les taux de russite des diverses campagnes de spam menes par Waledac et observer de prs les fonctionnalits rcentes de Waledac, comme sa capacit voler des donnes dauthentification sur des machines infectes par des bots. Daprs le rapport (PDF) des scientifiques allemands sur cette exprience, leurs recherches leur ont permis destimer que Waledac

pouvait envoyer en thorie plus de 1,5 milliards de courriers indsirables par jour, au bas mot. Ils ont remarqu que Waledac modifiait ses variantes de programmes malveillants environ toutes les deux semaines et que les tats-Unis accueillaient la majorit des bots et rpteurs, avec 17,34% des bots de spam et 19,5% des rpteurs. Ils ont galement dcouvert quenviron 90% des bots Waledac provenaient de machines XP 32 bits.

une architecture mutualise. Pour pallier ce dfaut, un hyperviseur de virtualisation gre laccs entre les systmes dexploitation et les ressources informatiques physiques. Toutefois, mme les hyperviseurs prsentent des dfauts permettant aux systmes dexploitation dobtenir un niveau de contrle inadquat sur la plateforme sous-jacente. 5. Perte de donnes/fuites Le risque de perte de donnes augmente dans le cloud. titre dexemple, on peut citer linsuffisance de lauthentification, des contrles dautorisationoudaudit,lesproblmes dexploitation et le manque de fiabilit du centre de donnes. 6. Piratage de compte, de service et de trafic Les solutions cloud constituent un nouveau risque. Si un pirate parvient accder vos informations dauthentification dans le cloud, il pourra manipuler vos donnes,

espionner vos activits et vos transactions, renvoyer de fausses informations et renvoyer vos clients vers des sites illgitimes. Il pourra mme se servir de vos instances de compte ou de service comme dun nouveau tremplin et tirer parti de votre rputation pour lancer de nouvelles attaques. 7. Profil de risque inconnu Le cloud computing vise, entre autres, limiter la quantit de matriel et de logiciels acheter et entretenir pour donner aux entreprises la possibilit de se concentrer sur leur cur de mtier. Si elle prsente dindniables avantages financiers et oprationnels, ces derniers sont nanmoins reconsidrer la lumire des problmes de scurit, dautant que les groupes les plus actifs, quant au dveloppement du cloud computing, sont souvent susceptibles de ngliger les questions de scurit.

Source: http://www.darkreading.com/security/vulnerabilities/showArticle. jhtml?articleID=222200371

Passage au http
Daprs les estimations de Team Cymru Research, le nombre de botnets contrls via le http a doubl au cours des six derniers mois. Selon les chercheurs amricains, cette tendance est lie au grand nombre de kits prts lemploi pour les cyber-attaques. De plus, les interfaces conviviales ont une part non ngligeable de responsabilit, puisquelles permettent ceux qui nont ni comptences ni connaissances en informatique de crer des botnets http. Daprs les rsultats de leurs

recherches, le nombre de botnets exploitant le trafic IRC na pas chang. La plupart de leurs centres de commande et de contrle sont situs aux tats-Unis et en Europe occidentale. Hormis les tatsUnis, de nombreux propritaires de botnets http profitent des

services dhbergement fournis par le Brsil, la Russie ou la Chine. Ils misent sur le fait que, vu leur situation financire et leur dveloppement conomique rapide, ces pays nont pas les ressources ncessaires pour lutter contre la cybercriminalit.

Source: http://www.team-cymru.org/ReadingRoom/Whitepapers/2010/ developing-botnets.pdf

CYBER-MENACES

AVIS DEXPERT

Solution aux fraudes bancaires sur Internet


Ces derniers mois, on a pu lire plus dun article sur les chevaux de Troie bancaires qui vident les comptes en ligne de petites entreprises aux tats-Unis. Cest en 2007 que les chevaux de Troie bancaires MitE ont atteint leur plus haut niveau de perfectionnement . Ces chevaux de Troie, extrmement sophistiqus, exploitent les dfaillances propres aux banques dans la mise en uvre de lauthentification deux facteurs. En effet, les banques sont encore nombreuses ne pas utiliser dauthentification deux facteurs dans leurs transactions et, pour celles qui le font, il sagit dune authentification trs facile pirater. Pour la scurit des oprations bancaires en ligne, une authentification multifacteur est indispensable. Le code dauthentification doit tre reu ou gnr sur un appareil non connect celui qui effectue la transaction. Lidal serait que non seulement le code dautorisation de la transaction, mais galement le mot de passe de connexion au site de la banque soient gnrs dynamiquement. Il est important de se rappeler que les oprations de connexion et dapprobation des transactions ncessitent chacune un algorithme de rponse cryptographique diffrent. La solution cet norme problme est en fait assez simple. Il suffit dintgrer le numro de compte bancaire destinataire au processus dauthentification, puis de lenvoyer par SMS ou de le demander au moment de lauthentification, si lon utilise un bon. Lutilisateur sait o largent est cens aller. Ce quil faut galement garder lesprit, cest que depuis 20062007, les choses ont bien chang. Le programme malveillant lambda est aujourdhui bien plus labor. Le form grabbing (mthode de capture des donnes), par exemple, est plutt banal. Autre exemple, le fait que Microsoft a d crer un correctif pour rsoudre des problmes engendrs par le trs moderne rootkit TDSS. En dautres termes, nous avons besoin de systmes en ligne capables de rsister des programmes malveillants trs performants. Or, ltat de la banque en ligne rappelle celui dInternet : bien des banques ont nglig les mesures de scurit qui simposaient lorsquelles ont labor leurs oprations en ligne. Elles se sont dabord concentres sur laspect pratique. Internet a t cr pratiquement selon les mmes principes. Je pense quil est infiniment plus simple de rsoudre le problme des oprations bancaires en ligne que de corriger les dfauts fondamentaux de linfrastructure dInternet.

Source: http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

RSEAUX SOCIAUX

Communication risque
Un groupe international de chercheurs a prouv quil tait possible de connatre lidentit dun nombre considrable dutilisateurs de sites de rseaux sociaux bien connus. Toute technologie qui autorise lidentification dutilisateurs de sites de rseaux sociaux, ainsi que la collecte de donnes permettant de connatre leurs habitudes et de prvoir leur comportement, peut tre utilise dans le but de nuire. Ces donnes peuvent par exemple rvler les habitudes sexuelles dun utilisateur ou exposer quelquun au chantage. Mais si cette menace est connue de tous, aucune action na rellement t entreprise pour y parer. Les chercheurs ont montr la possibilit dune telle attaque en identifiant un utilisateur qui naviguait simplement sur Internet. Un pirate peut rechercher, dans lhistorique de navigation de sa victime, une URL rvlant que celle-ci est membre dun groupe de rseau social. Ces informations, ajoutes celles collectes antrieurement, permettent didentifier nimporte quel utilisateur dun rseau social si celui-ci visite le site Internet du pirate informatique. Bien souvent,

cela permet au pirate qui gre le site malveillant didentifier chacun de ses visiteurs grce au nom quils utilisent sur leur profil de rseau social.

Ce type de piratage ne demande pas beaucoup defforts et peut toucher des millions dutilisateurs de rseaux sociaux qui sont membres de groupes.

Source: http://www.iseclab.org/papers/sonda-TR.pdf

Source: http://threatpost.com/en_us/blogs/heres-how-fix-online-banking-fraud-022510

Roel Schouwenberg chercheur en antivirus au sein de lquipe internationale de recherche et danalyse de Kaspersky Lab.
2me trimestre 2010 SECUREVIEW

6 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

|7

ACTUALITS
MENACES DE SCURIT

ACTUALITS
RSEAUX SOCIAUX
de rseaux sociaux se soucient bien plus dtendre leurs parts de march que de protger leurs utilisateurs contre la cybercriminalit. Il semble donc paradoxal que la plupart des personnes interroges (13 % de plus que lanne dernire) autorisent leurs employs se rendre sur Facebook depuis leur lieu de travail sans quaucune restriction ne soit impose. Les experts soutiennent que mme si LinkedIn (rseau social permettant ses utilisateurs de rechercher des contacts professionnels intressants) nest pas considr comme un danger direct pour les entreprises, les informations personnelles publies sur ce serveur pourraient constituer une mine dor pour les cyber-dlinquants. En effet, tant essentiellement utilis par des professionnels, LinkedIn pourrait facilement devenir une sorte de rpertoire des ressources en personnel des entreprises et fournir de prcieuses informations aux pirates.

Les mots de passe


Plus un mot de passe est court et simple, plus il est sensible aux attaques lmentaires, qui utilisent des mthodes de force brute. Il compromet ainsi la scurit des donnes utilisateur, alors que les pirates informatiques adoptent des techniques de dchiffrement de mots de passe de plus en plus sophistiques. Pourtant, les utilisateurs continuent de choisir des mots de passe trs vulnrables. LImperva Application Defense Center (centre de dfense des applications dImperva) a analys la rsistance des mots de passe dun grand nombre dutilisateurs. Il a publi les rsultats de cette tude dans son rapport Consumer Password Worst Practices (les pires habitudes de mot de passe des consommateurs). Les principales conclusions du rapport sont les suivantes : Environ 30 % des utilisateurs ont choisi des mots de passe vulnrables de longueur infrieure ou gale six caractres. Prs de 60 % des utilisateurs ont choisi leur mot de passe dans un ensemble limit de caractres alphanumriques. Prs de 50 % des utilisateurs ont choisi des noms, des mots courants, des termes argotiques ou des mots de passe de structure facile deviner, comme des suites de chiffres ou des touches de clavier

Expansion des dangers de lInternet


Daprs un sondage ralis par Sophos, la quantit de spams et de messages nuisibles sur les rseaux sociaux a augment de 70 % au cours des 12 derniers mois. la fin de lanne, plus de 500 organisations avaient particip au sondage. Quelques 57 % des utilisateurs professionnels ont dit avoir reu des spams alors quils visitaient des sites de rseaux sociaux, 36 % ont signal des programmes nuisibles et 30 % ont t victimes dattaques
Quelques recommandations lintention des administrateurs : 1. Appliquez une politique de mot de passe fort (si vous leur laissez le choix, les utilisateurs choisiront trs probablement un mot de passe vulnrable). 2. Vrifiez que les mots de passe ne sont pas transmis en texte clair. Utilisez toujours https pour les identifiants de connexion. Assurez-vous que les mots de passe ne sont pas stocks en texte clair. Chiffrez toujours les mots de passe avant de les stocker dans une base de donnes. 3. Utilisez des mcanismes anti-force brute efficaces pour dtecter et contrer les attaques contre les identifiants de connexion. Les attaques par force brute seront alors trop longues pour avoir un effet quelconque, mme sur les mots de passe les plus courts. Vous devez, autant que possible, freiner les activits des pirates par force brute, grce des CAPTCHA par exemple, des demandes de calcul, etc. 4. Appliquez une politique de changement de mot de passe. Commencez appliquer la politique soit date prdfinie, soit ds quun danger est suspect. 5. Autorisez et encouragez les phrases de passe, plutt que les mots de passe. Quoique plus longues, les phrases peuvent tre plus faciles mmoriser. En outre, les caractres supplmentaires les rendent plus difficiles dchiffrer.

vulnrables toujours trs priss

adjacentes. Exemple : 123456 , 12345 , 123456789 ou encore Motdepasse . Quelques recommandations lintention des utilisateurs : 1. Choisissez un mot de passe fort pour les sites qui stockent les informations personnelles les plus importantes. Bruce Schneier est de bon conseil. Voici sa recommandation : Prenez une phrase et transformez-la en un mot de passe. Par exemple, This little piggy went to market (ce petit cochon est all au march) pourrait donner tlpWENT2m. Ce mot de passe de neuf caractres ne figurera dans aucun dictionnaire. 2. Utilisez un mot de passe diffrent pour chaque site, mme ceux dont la confidentialit nest pas un problme. Pour vous aider mmoriser les mots de passe, nous vous recommandons nouveau de suivre le conseil de Bruce Schneier : Si vous narrivez pas vous souvenir de vos mots de passe, crivez-les sur un bout de papier que vous glisserez dans votre portefeuille. Mais ncrivez que la phrase, ou mieux encore, un indice qui vous aidera vous souvenir de votre phrase . 3. Ne confiez jamais vos mots de passe importants (courrier lectronique, oprations bancaires, informations mdicales, etc.) une tierce personne.

dhameonnage. Parmi les personnes interroges, 72 % affirment tre conscientes quune utilisation irresponsable des rseaux sociaux par les employs peut compromettre la scurit dune entreprise, 60 % des critiques tant diriges vers Facebook. Il est vident que, de tous les sites de rseaux sociaux disponibles en Occident, cest Facebook qui runit le plus grand nombre de membres. Daprs Sophos, la plupart des administrateurs de sites

Source: http://www.sophos.com/pressoffice/news/articles/2010/02/ security-report-2010.html

CONTRLE DES PROGRAMMES MALVEILLANTS

Vers des contrles plus efficaces


Avez-vous dj dclench une fausse alerte en tlchargeant un fichier sur un site Internet comme VirusTotal ? Il arrive que non pas un, mais plusieurs analyseurs dtectent le fichier. Cela aboutit une situation absurde : les utilisateurs se font tout de suite une mauvaise image des produits qui ne dtectent pas ce fichier, parce quils ne comprennent pas quil sagit simplement dun faux positif. Malheureusement, ce type de problme affecte beaucoup de tests antivirus, en particulier des tests statiques la demande, lors desquels des centaines de milliers dchantillons peuvent tre analyss. En effet, la validation dun si grand nombre dchantillons demande tant de ressources que la plupart des testeurs contrlent seulement une partie des fichiers quils utilisent. Dpendant en large part des bons rsultats de leurs tests, les socits dantivirus ont mis en place un systme de dtection multianalyseur. Les fournisseurs dantivirus, y compris Kaspersky Lab, scannent les fichiers suspects en utilisant les analyseurs des uns et des autres depuis de longues annes : il est videmment utile de connatre les rsultats trouvs par les autres fournisseurs dantivirus. Un magazine informatique allemand a ralis une exprience dans ce sens et en a publi les rsultats lors dune confrence sur la scurit en octobre dernier. Les responsables de lexprience ont cr un fichier propre, puis nous ont demand dy ajouter une fausse dtection avant de le tlcharger sur VirusTotal. Quelques mois plus tard, ce fichier tait dtect par plus de 20 analyseurs sur VirusTotal. lissue de cette prsentation, les reprsentants de plusieurs fournisseurs dantivirus reconnaissaient quil fallait faire quelque chose. Mais la dtection multianalyseur nest que le symptme, et non la cause : la source du problme rside dans la mthodologie de test elle-mme. Cest en partie dans le but damliorer les mthodologies dessai quun certain nombre de socits dantivirus (dont Kaspersky Lab), de chercheurs et de testeurs indpendants ont fond lAMTSO (Anti-Malware Testing Standards Organization, organisme de normalisation des tests anti-programmes malveillants), il y a deux ans de cela. Nous avons dcid dillustrer ce problme lors de notre rcente tourne de presse Moscou, o nous avons accueilli des journalistes venus du monde entier. Lobjectif tait, bien sr, de faire ressortir les effets nfastes des tests statiques la demande bon march. Nous avons procd comme le magazine informatique allemand lavait fait lanne dernire, mais avec un plus grand nombre dchantillons. Nous avons cr 20 fichiers propres et ajout une fausse dtection 10 dentre eux. Les jours suivants, nous avons tlcharg nouveau lensemble des 20 fichiers sur VirusTotal pour voir ce qui se passerait. Dix jours plus tard, pas moins de 14 autres socits dantivirus dtectaient tous nos fichiers modifis (mais pas malveillants) ; dans certains cas, la fausse dtection tait probablement le rsultat dune heuristique agressive, mais lutilisation danalyses multiples a manifestement influenc certains rsultats. Nous avons transmis tous les chantillons utiliss aux journalistes afin quils puissent juger par eux-mmes. Maintenant, que faire ? La bonne nouvelle, cest quau cours de ces derniers mois, certains testeurs ont dj commenc tudier de nouvelles mthodologies de test. Plutt que deffectuer des analyses statiques la demande, ils sefforcent de tester toute la chane dlments de dtection : module anti-spam, protection dans le nuage, dtection partir de la signature, mulation, analyse en temps rel base sur le comportement, etc. En fin de compte, ce sont bien sr les magazines qui dcident ou non dappliquer ce type de test et dabandonner les approches dsutes. Si nous renonons aux tests statiques la demande et leurs innombrables chantillons invalids, la copie de classements en sera considrablement rduite, les

AVIS DEXPERT

rsultats des tests seront plus proches de la ralit (mme si les taux de dtection de 99,x % disparaissent) et cela bnficiera tout le monde : la presse, aux utilisateurs et nous aussi, bien sr.

Source: http://www.imperva.com/docs/WP_Consumer_Password_Worst_ Practices.pdf

CERTIFICATS NUMRIQUES

Bientt la fin des mille et un mots de passe ?


Le gouvernement franais a propos une initiative visant remplacer tous les mots de passe dutilisateurs par un seul certificat numrique qui donnerait accs tous les services Internet du pays. Daprs les auteurs du projet, lintroduction dun identifiant universel, ou IdeNum , pourrait sonner le glas des mille et une combinaisons de chiffres, de lettres et de symboles que chacun sefforce de mmoriser et qui sont censes scuriser nos donnes lorsque nous naviguons sur Internet. Selon les statistiques fournies par Trusteer, 73 % des personnes interroges ont avou utiliser le mot de passe de leur banque pour accder dautres services en ligne. Lintgration dun systme dIdeNum simplifierait le processus dautorisation pour les utilisateurs des ressources (prives ou publiques) participant ce programme, et les formulaires en ligne serait automatiquement remplis. Lidentifiant universel pourrait tre conserv sur un priphrique autonome, comme une carte mmoire, une carte puce ou une carte SIM. ce jour, plus de 20 institutions

nationales, dont lAssociation franaise des banques, la Fdration franaise des compagnies dassurance et la Poste, se sont dclares prtes participer cette tude. Un prototype du systme dauthentification doit tre prsent dici le milieu de lanne, suivi de lintroduction dun systme totalement oprationnel en 2011. La dure de vie dun certificat numrique sera probablement limite entre trois et cinq ans. Il ne fait aucun doute que la ralisation dun projet aussi complexe demandera beaucoup de moyens et de ressources financires.

En effet, le systme dauthentification doit non seulement certifier lidentit des utilisateurs, mais aussi garantir la scurit des donnes, problme de plus en plus important depuis lapparition des chevaux de Troie bancaires. Ces chevaux de Troie sont capables dintercepter des transactions en temps rel et de modifier des informations sans quaucun participant ne sen aperoive. Protger les certificats numriques contre le vol reprsente donc un srieux dfi. Cette cl du paradis deviendra srement le Graal des chasseurs du Net en qute de largent des internautes imprudents.

Magnus Kalkuhl analyste de virus pour lquipe internationale de recherche et danalyse de Kaspersky Lab.

Source: http://countermeasures.trendmicro.eu/french-government-to-bidadieu-to-online-passwords/

Source: http://threatpost.com/en_us/blogs/way-better-malware-testing-020110

8 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

|9

DOSSIER | Infosecurity Europe 2010

Infosecurity Europe 2010 |

DOSSIER
suivante, assure par Marc Kirby et Sean Hanna, a probablement constitu le moment le plus amusant et le plus intressant du salon Infosecurity Europe 2010. Eugene Kaspersky, PDG de Kaspersky Labs, a galement pris la parole pour partager sa vision de lavenir des technologies de linformation. Selon lui, le smartphone aura le monopole, et tout le monde en aura un. Kaspersky, entr au panthon de linformatique au cours dInfosecurity 2010, a dclar avec nergie que le monde assisterait un formidable dveloppement des quipements et des logiciels pour smartphones. Je pense que les smartphones auront bientt assez de puissance et de mmoire pour accueillir nos donnes personnelles, mais aussi des films, des photos et dautres types de documents , a-t-il dclar, avant de poursuivre : Nous naurons plus lusage des ordinateurs. Pour quoi faire ? Tout ce dont nous avons besoin cest un clavier, un cran et une connexion rseau. Une telle rvolution se traduirait par une forte hausse du nombre dattaques contre les appareils mobiles. Ceux-ci sont toutefois beaucoup plus faciles protger grce linfrastructure centralise du fournisseur. Comme en tmoigne le nombre toujours croissant de visiteurs et dexposants, Infosecurity Europe va dans la bonne direction. Selon Claire Sellick, cet vnement doit son succs grandissant une prise de conscience dans les entreprises : elles ralisent que la scurit informatique est aujourdhui une condition essentielle la mise en place de nouveaux produits et services rentables. Les vnements comme celui-ci, qui permettent rencontres et changes entre les fournisseurs et les clients, sont sans aucun doute lavenir du secteur informatique. Sellick a annonc que 82 pour cent des stands disponibles pour Infosecurity Europe 2011 avaient dj t rservs.

La scurit perce le nuage de cendres


Malgr la paralysie de lespace arien europen suite lruption du volcan islandais, le salon Infosecurity Europe 2010 a attir une foule immense de visiteurs. Les principaux thmes abords cette anne taient la perte de donnes, la scurit dans le nuage informatique et le Web 2.0. Beaucoup de stands dexposition ont t trs apprcis, mais ce qui semble avoir attir autant de monde, cest surtout les divers ateliers et prsentations couvrant tous les domaines, depuis les dernires technologies du secteur jusqu la stratgie commerciale.
Par

David Smith, commissaire adjoint lInformation Commissioners Office, pendant son discours dintroduction

Elmar Trk

Elmar Trk travaille dans les technologies de linformation depuis 1989. Il est devenu auteur et journaliste technique en 1993, pendant ses tudes dingnieur lectricien Munich et Kempten en Allemagne. Depuis, il a crit des centaines darticles pour pratiquement tous les grands magazines allemands sur linformatique et les rseaux. Elmar Trk est spcialis dans les problmes de stockage et de scurit informatique. Il possde de solides connaissances dans le domaine des serveurs et matrise bien les questions de virtualisation. Rdacteur en chef de la revue Infodienst IT-Grundschutz, il participe la prise de dcision finale concernant les nouveaux articles paratre dans les catalogues ITGrundschutz de lOffice fdral de la scurit des technologies de linformation

Lissue de ce match-l ne faisait aucun doute : Infosecurity Europe : 1 ; nuage de cendres : 0. Malgr les perturbations dans lespace arien europen, la plus grande manifestation britannique consacre la scurit, qui fte cette anne son 15e anniversaire, a attir un nombre record dexposants et de visiteurs. Prs de 12 500 enthousiastes sont venus profiter des offres prsentes par les 324 exposants. Beaucoup de visiteurs ont rpondu lappel des nombreux intervenants clbres et respects, venus prononcer un discours dintroduction ou animer des ateliers, et des socits qui ont choisi ce salon pour prsenter leurs actualits marquantes. Parmi elles, Symantec a annonc lachat de la socit de chiffrement PGP et GuardianEdge pour la modique somme de 370 millions de dollars amricains. Deux confrences en particulier ont retenu lattention du public : celle du groupe Pricewaterhouse Coopers (PwC), consacre aux rsultats de son tude sur la perte des donnes, et celle o David Smith, commissaire adjoint lICO (Information Commissioners Office, lquivalent britannique de la Cnil), a dclar que des pnalits plus lourdes seraient appliques en cas de perte de donnes des clients.

DEUX VENEMENTS EN UN EXPOSITION ET CONFRENCES

Comme leur habitude, les organisateurs dInfosecurity 2010 ont propos deux vnements en un. Le hall dexposition central servait de lieu de rendez-vous aux socits exposantes ; des box y avaient t installs pour permettre aux visiteurs et aux reprsentants des entreprises de sentretenir lcart de la cohue et du bruit, un agencement trs apprci des exposants comme des visiteurs. Nina Malchus, directrice de ldition chez SecuMedia et habitue de ce salon a donn son impression sur le hall dexposition : le hall est un endroit trs anim et fait une forte impression sur le visiteur. Il y a normment voir, tudier et tester, mais si lon a toute la journe devant soi, on peut arriver faire le tour de tous les stands. David Tomlinson, directeur general de Data Encryption Systems a galement t impressionn. Nous avons reu la visite dun grand nombre de visiteurs qui souhaitaient rellement travailler avec nous.

Ce salon est lendroit idal pour rencontrer de nouveaux clients. Les analystes ont dailleurs confirm ce sentiment. En tant quanalyste, je pense quInfosecurity Europe est lvnement le plus important de lanne , a dclar Nigel Stanley, responsable de la scurit informatique chez Bloor Research. Cest l que lon rencontre les fabricants et que lon se tient inform des dernires tendances du secteur. Pour moi, ce nest vraiment pas une perte de temps. Si le salon attire autant de visiteurs et de fabricants, cest la fois grce au professionnalisme de Claire Sellick, responsable vnementiel pour Infosecurity Europe, et cause de la forte aggravation des menaces dans le domaine de la scurit informatique. Aprs plusieurs annes de calme relatif, les entreprises britanniques doivent aujourdhui faire face une dferlante de cyber-attaques, dont limpact est estim plus de 10 milliards de livres sterling par an. Cela montre quel point de la gestion de la scurit informatique est importante , conclut Sellick.

le nombre de grandes entreprises victimes dun incident de scurit ou dune perte de donnes atteignait le pourcentage inquitant de 92 %. Daprs cette tude, A Survey of Information Security Breaches (tude sur les infractions la scurit informatique), les cyber-dlinquants sorganisent en fonction des domaines dactivit et le secteur a par consquent besoin de moyens de protection appropris. Pourtant, de nombreuses entreprises restent tristement vulnrables ou sont mal prpares combattre les menaces qui psent sur elles. Pour de nombreux visiteurs dInfosecurity 2010, les ateliers proposs reprsentaient llment le plus intressant du salon. Les organisateurs avaient structur lvnement en trois parties : les discours dintroduction, la stratgie commerciale et la technologie. Les prsentations sur la stratgie commerciale ont reu des loges unanimes. Leur dure, limite 45 minutes, convenait parfaitement aux visiteurs qui souhaitaient recueillir autant dinformations que possible dans un court laps de temps. Le public a normment apprci de voir que les sessions navaient pas t sacrifies sur lautel du marketing et des ventes. Lintervention de Ian Mann sur lingnierie sociale a t particulirement applaudie. Lauteur de Hacking the Human a cit plusieurs anecdotes amusantes afin dexpliquer en quoi lanimal humain assis devant un cran reprsente la plus grosse menace pour la scurit de la plupart des entreprises.

EUGNE kASPERSkY ENTRE AU PANTHON DE L'INFORMATIQUE


Le discours Cyber Warfare - War Stories from the Front Lines (Cyber-guerre : rcits dun intervenant du front) a galement t chaleureusement applaudi. en juger par les longues files dattente qui se formaient devant lentre, il tait vident quun vnement spcial allait avoir lieu. La prsentation

LA PERTE DE DONNES, POINT DE MIRE DU DISCOURS D'OUVERTURE


Dans son discours douverture, David Smith, commissaire adjoint lInformation Commissioners Office, a dress le constat suivant : En un peu plus de deux ans, 960 dclarations de perte de donnes ont t enregistres, soit une moyenne de 30 par mois , a-t-il indiqu. Daprs les informations qui lui ont t communiques, le NHS (National Health Service, service de sant national du Royaume-Uni) tait responsable denviron 30 pour cent des donnes perdues. Selon David Smith, il est trs probable que dans un trs proche avenir, le signalement des pertes de donnes aux autorits deviendra une obligation lgale au RoyaumeUni . Mme des recherches menes par Pricewaterhouse Coopers ne laissent rien prsager de trs optimiste. Lanne dernire,

RE

Earls Court: The Place to be for Infosecurity Europe 2010

Une manne de produits et dinformations : les participants prsentent leurs nouveauts dans le hall dexposition

10 SECUREVIEW 2nd quarter 2010 10 SECUREVIEW 2me trimestre 2010

||

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 11

LA UNE | Enregistreurs de frappe

Enregistreurs de frappe |

LA UNE
ENREGISTREUR DE FRAPPE LOGICIELS
En rgle gnrale, les enregistreurs de frappe logiciels se chargent sur un PC, puis surveillent tranquillement les saisies au clavier tout en effectuant une srie de tches complmentaires pour viter dtre dtects, transfrer les protocoles et donnes recueillis, etc. Il existe un grand nombre denregistreurs de frappe commerciaux gratuits, ainsi que des sites de catalogues spcialiss prsentant les rsultats dessais denregistreurs de frappe et leurs descriptions. Vous trouverez un parfait exemple de ces ressources ladresse : http://www.keylogger.org

La force de frappe des espions


Les cyber-dlinquants cherchent surveiller ce quun utilisateur de PC fait sur son ordinateur, principalement pour lespionner et voler ses mots de passe. Mais ce contrle peut aussi avoir des avantages : aider un utilisateur dans une tche lgitime comme la gestion de la productivit du personnel ou protger une entreprise contre la divulgation dinformations. On le sait depuis longtemps, loffre sadapte toujours la demande ; aussi le march regorge-t-il de technologies despionnage, tant gratuites que payantes. Ici, lessentiel de la demande concerne les enregistreurs de frappe.
SpyAgent permet de contrler presque tout ce que les utilisateurs font sur leur ordinateur.

Par

Oleg zaitsev

Spcialiste technologique Kaspersky Lab

Oleg a rejoint Kaspersky Lab en 2007 en tant que dveloppeur au sein du groupe spcialis dans lanalyse des cybermenaces complexes. Pass au rang de spcialiste technologique en novembre 2008, il mne des recherches concernant les nouvelles technologies de dtection et dsinfection, lanalyse et la dsinfection de systmes distants, ainsi que lanalyse du comportement des programmes malveillants.

Les enregistreurs de frappe sont apparus il y a trs longtemps. Du temps de MS DOS, la fin des annes 80 et au dbut des annes 90, on trouvait abondance de programmes de ce type, pour la plupart crits en assembleur et utilisant linterruption INT9h ainsi que la capture INT16h. Avec le dveloppement et la commercialisation de Windows, on a galement assist lessor des enregistreurs de frappe Windows. Leur cration a t facilite par lexistence dun mcanisme de capture dvnement clavier standard, intgr linterface Windows, permettant de gnrer des enregistreurs de frappe trs simples : trente cinquante lignes de code peine. De plus, des fonctions Windows comme le multitche ou les interfaces dapplication multifentres ont largi le champ daction des espions. Pour simplifier les analyses de protocole, les espions numriques doivent aujourdhui dterminer quelle fentre et quelle application appartient une entre. Ils peuvent suivre les activits dun utilisateur sur Internet, pister des conversations de messagerie instantane, faire des captures dcran et parfois mme, activer le microphone ainsi que la webcam linsu de lutilisateur. Il serait donc plus juste de dcrire la majorit des enregistreurs de frappe actuels comme des enregistreurs universels ou des espions universels. Enfin, il est noter que la plupart dentre eux dissimulent habilement leur prsence, souvent laide de technologies de rootkit.

PRINCIPE ET CHAMP DACTION


Le but premier dun enregistreur de frappe est denregistrer secrtement toutes les frappes dun utilisateur. Les informations releves sont gnralement en rapport avec ce qui se passe dans la fentre active. Cest un aspect important pour lanalyse de protocole, puisquun utilisateur

de Windows passe souvent dune fentre une autre. Il faut galement garder en mmoire, lorsque lon travaille sur du texte avec les applications daujourdhui, que lon peut se servir du blocnotes de Windows. Un enregistreur de frappe doit ainsi suivre la trace du contenu du bloc-notes et lintgrer dans le protocole lorsquune commande coller est dtecte. Le protocole capt au cours dune session denregistrement de frappe doit alors tre analys, soit automatiquement, soit par la personne qui a install lenregistreur de frappe afin de retrouver les donnes souhaites. Cette analyse concerne le plus souvent les mots de passe, les identifiants de connexion de compte ou de carte de crdit, ou des comportements spcifiques comme la saisie de donnes dans le champ rserv un mot de passe ou sur un formulaire dun site Internet donn. Statistiquement, les enregistreurs de frappe sont habituellement utiliss comme suit : domicile, les parents sen servent pour espionner leurs enfants, les poux pour sespionner entre eux, etc. Nous parlons ici dordinateurs personnels, o il est relativement facile dinstaller un enregistreur de frappe et danalyser son protocole. Dans le contexte professionnel, les enregistreurs de frappe peuvent tre utiliss diverses fins : Un membre du personnel peut sen servir pour espionner ses collgues leur insu. Dans le pire des cas, cest un membre du service informatique qui installe un enregistreur de frappe sur les ordinateurs des utilisateurs et accde ensuite sans difficult aux donnes enregistres. Le service charg de la scurit peut installer des enregistreurs de frappe afin despionner les utilisateurs dans plusieurs buts : dtecter une

mauvaise utilisation de PC, collecter les donnes denqutes internes, surveiller la correspondance et le trafic de messagerie instantane des utilisateurs, etc. Install sur le systme dun concurrent, un enregistreur de frappe peut tre utilis dans une optique despionnage. Les agences de dtectives privs, les services spciaux et les organisations criminelles peuvent avoir recours aux enregistreurs de frappe pour espionner les utilisateurs. Les enregistreurs peuvent tre intgrs des programmes malveillants et servir dtecter des mots de passe, des numros de carte de crdit ou dautres informations importantes. Ce type de programme peut fonctionner automatiquement et ne sactiver que lorsque certaines applications Windows ou certains sites Internet sont ouverts. Entre les mains dun cyber-dlinquant, un enregistreur de frappe reprsente une relle menace pour lutilisateur, puisquil permet dobtenir ses mots de passe, donc daccder illgalement sa messagerie lectronique, ses profils de rseaux sociaux et ses comptes bancaires en ligne.

Trojan-Dropper et Trojan-Downloader. Tout le monde le sait, beaucoup de modles de chevaux de Troie possdent une fonction denregistreur de frappe intgre qui permet despionner les utilisateurs, le plus souvent pour obtenir mots de passe et numros de carte de crdit. 2. Espionnage des utilisateurs. ce stade, lenregistreur de frappe doit avant tout chapper la dtection ; plusieurs mthodes le lui permettent. 3. Transfert des donnes collectes au cyber-dlinquant. Ce processus est grandement simplifi lorsque le dlinquant a accs au PC cible. Si ce nest pas le cas, les enregistreurs de frappe du commerce proposent nanmoins des options trs diverses. Les donnes peuvent tre envoyes par courrier lectronique, transfres sur un rseau ou tlcharges depuis un serveur FTP.

Ce type denregistreur de frappe est le plus simple de tous ; il attribue un certain nombre de fonctions API aux applications pour interroger les touches du clavier. Par exemple, la fonction GetAsyncKeyState indique si la touche nomme est enfonce ou relche et la fonction GetKeyboardState renvoie une suite de 256 lments dcrivant ltat de chaque touche du clavier, mais ne fonctionne quavec les applications de linterface utilisateur. Cette mthode, trs simple, ne peut pas tre dtecte, car aucune DLL nest intgre et aucun matriel nest install. Cependant, pour de meilleurs rsultats, elle exige un systme dinterrogation rapide lanant au moins 10 20 requtes par seconde afin de ne rater aucune donne Parade : il nest pas trs difficile de dtecter linterrogation cyclique elle-mme. Le problme est plutt de savoir si cest un enregistreur de frappe ou un programme lgitime (jeu sur ordinateur, par exemple) qui a lanc cette interrogation. En gnral, la

Enregistreurs de frappe oprant selon le principe du cycle dinterrogation

LE CYCLE DE VIE DUN ENREGISTREUR DE FRAPPE


Comme pour tout logiciel espion, le cycle de vie dun enregistreur de frappe comporte trois grands stades : 1. Pntration du systme. Cette opration peut tre manuelle ; cest gnralement le cas avec les enregistreurs de frappe du commerce. Elle ncessite alors un accs local ou distant au PC. Une autre option consiste installer un enregistreur de frappe au moyen d'un programme tel que

Les programmes antivirus, tels que Kaspersky Internet Security 2010, ragissent de faon claire et non quivoque aux interrogations cycliques de la fentre cache

12 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 13

LA UNE | Enregistreurs de frappe


rgle retenue est la suivante : si une fentre dapplication est ouverte, visible et reste la cible de saisie, linterrogation est considre comme lgitime. Si la fentre est rduite ou quune autre fentre dapplication devient la cible de saisie, ce comportement est considr comme suspect et, dans la plupart des cas, sera automatiquement bloqu.

Enregistreurs de frappe |

LA UNE

Enregistreurs de frappe professionnels

Lutilisation dun mcanisme de pigeage (hook) est considre comme la mthode classique pour crer des logiciels despionnage de claviers ; cette dmarche, bien documente, nest cependant adquate que pour les applications dinterface utilisateur. Grce aux piges, lenregistreur na pas besoin de suivre les frappes : il surveille les messages traits dans les fentres des autres applications dinterface. Le code crochet doit tre insr dans une DLL, les crochets tant installs et retirs laide de fonctions API, SetWindowsHookEx pour linstallation et UnhookWindowsHookEx pour le retrait. Avec la fonction SetWindowsHookEx, le type de message est dfini comme lun des paramtres pour lesquels le gestionnaire de crochets devrait tre appel ; plus prcisment, WH_KEYBOARD est dsign pour lenregistrement des vnements clavier et WH_MOUSE pour les vnements souris. Le crochet peut tre install pour un flux en particulier ou pour tous les flux du systme. Dun point de vue technique, le crochet

Enregistreurs de frappe oprant selon le principe du pige

Le principe de fonctionnement des enregistreurs de frappe en mode utilisateur est assez simple.

est enregistr, puis, lorsque lapplication dinterface reoit le premier message qui remplit les conditions dactivation du crochet, la DLL contenant le code crochet est charge dans lespace dadresse du processus. Le code crochet reoit alors tous les privilges. Parade : linstallation du crochet est facile dtecter et peut tre bloque laide dun analyseur comportemental ; il nest pas non plus difficile dtudier le comportement du code crochet et sa raction une saisie au clavier. La grande difficult consiste distinguer un enregistreur de frappe dun programme lgitime, comme un slecteur de disposition de clavier.

Relativement rares, ces outils comptent parmi les programmes despionnage de clavier les plus dangereux. Leur principe de fonctionnement repose sur leur capacit capturer tout ensemble de fonctions responsable du traitement dun message ou dun texte saisi. Dans le

Enregistreurs de frappe de type rootkit

cas le plus simple, le procd repose sur linterception des fonctions GetMessage, PeekMessage et TranslateMessage de la bibliothque User32.dll, qui permettent de contrler tous les messages reus par les applications dinterface. Ces enregistreurs de frappe constituent une menace particulirement grave, car linterception peut se faire de plusieurs manires et lensemble des fonctions captures nest pas connu lavance. Une capture cible est possible lorsque le code de capture sinsre uniquement dans certaines applications et dans certaines circonstances (par exemple, lorsquune fentre de saisie de mot de passe est affiche). Autre point qui rend les enregistreurs de frappe de type rootkit particulirement dangereux, les claviers virtuels ne fournissent aucune protection contre ces programmes malveillants Parade : lintgration de code de capture est une action risques et, en tout cas, suspecte. Cest pourquoi les programmes antivirus peuvent la dtecter et la neutraliser la phase de pntration et lors du contrle heuristique, par exemple pendant lmulation pralable au lancement.

Les enregistreurs de frappe matriels ne sont pas difficiles fabriquer.

Lanalyseur AVZ est capable de dcrire en dtail le comportement dun enregistrement de frappe.

Ce type de logiciel espion repose sur trois principes : Installation dun filtre de pilote de clavier. La mthode dcriture de ces pilotes est bien documente. Par exemple, on peut trouver des informations utiles dans le DDK (Driver Development Kit, kit de dveloppement de pilotes) sur le site Web de Microsoft (ID darticle : 176417), ainsi quun exemple, Ctrl2Cap, ladresse http://www.sysinternals.com. Une fois charg, le logiciel espion se connecte la pile du pilote de clavier grce aux fonctions IoCreateDevice et IoAttachDevice. Ce quil faut retenir ici, cest que le filtre de pilote nenregistre pas les paquets IRP (I/O Request Packets, paquets de requte dentre/sortie) contenant des donnes relatives aux frappes, mais ceux qui demandent les donnes du pilote Kdbclass. Les informations sur les

Enregistreurs de frappe en mode noyau

frappes sont disponibles lorsque le pilote Kbdclass a fini de traiter lIRP et transmis les donnes demandes au tampon correspondant. Le filtre de lenregistreur de frappe installe sa propre procdure darrt pour chaque IRP de type IRP_MJ_ READ. Pour ce faire, lenregistreur utilise la fonction API IoSetCompletionRoutine. Lors de la procdure darrt, lenregistreur de frappe analyse les donnes reues, puis les intgre dans le protocole ou les transfre au composant de mode utilisateur pour analyse et enregistrement supplmentaires. Remplacement du pilote de clavier systme par celui de lenregistreur de frappe. Utilisation des technologies de rootkit. Cette dmarche, quivalente un enregistreur de frappe de type rootkit en mode utilisateur, permet dintercepter les fonctions PeekMessage dans win32k. sys en recherchant et en modifiant leurs adresses dans la table systme KeServiceDescriptorTableShadow. Parade : les enregistreurs de frappe en mode noyau sont plus difficiles contrer, car une application qui a install son propre pilote peut contrler le systme. Il reste nanmoins possible de rsister ce type dattaque. Les programmes antivirus peuvent au moins bloquer linstallation de pilotes non identifis, surtout sil sagit dune installation cache. En outre, il est possible danalyser les interceptions (pour dtecter les enregistreurs de frappe de type rootkit) ainsi que la chane de filtres de pilote du pilote de clavier.

E N R E G I S T R E U R S DE FRAPPE MATRIELS
Un enregistreur de frappe matriel est un appareil qui enregistre les informations relatives aux frappes ; il ne dpend daucune installation de logiciel. Le plus gros problme, avec les enregistreurs de frappe matriels, cest quils chappent la dtection par les antivirus et les solutions anti-enregistreurs de frappe. De plus, certains types denregistreurs de frappe matriels nont mme pas besoin dtre physiquement relis au PC. Selon leur mode de fonctionnement et dacquisition dinformations, les enregistreurs de frappe matriels se classent dans plusieurs catgories Ces enregistreurs de frappe sont souvent connects au cble dinterface clavier. Ils sont universels et, en principe, se connectent sans manipulation des cbles. Ces enregistreurs de frappe se prsentent en gnral sous la forme dappareils miniatures munis dun connecteur dentre PS/2 ou USB pour la connexion au clavier et dun connecteur de sortie pour la connexion au PC. Compte tenu de leur petite taille, ils sont souvent camoufls en objets familiers lutilisateur, comme un filtre antiparasite lectromagntique ou un convertisseur quelconque. Leur avantage rside dans le fait que la connexion ne demande vraiment que quelques secondes et que mme un employ non qualifi, un technicien de surface par exemple, peut y procder. Ces enregistreurs de frappe stockent les donnes

Les enregistreurs de frappe professionnels occupent une place part. Gnralement quips dun systme dinstallation centralise automatique et de gestion en ligne, ils peuvent tre intgrs au contrleur de domaine et aux dossiers du personnel. Avec un enregistreur sur le serveur de gestion, la transmission des donnes peut se faire en temps rel. Le contrleur de lenregistreur, la base de donnes qui recueille les ventuels rsultats et les outils danalyse ncessaires ltude des donnes collectes sont galement placs sur le serveur. Lanalyse consiste gnralement dans la recherche de mots de passe, dexpressions et de donnes dentre sur la frquence et la densit de dtection des chantillons concerns. Ce type denregistreur de frappe prsente un intrt supplmentaire : il peut ragir des comportements spcifiques. Par exemple, la saisie des donnes comptables dune socit dans une fentre SAP R3 ouverte sera considre comme une action normale, tandis que la saisie de ces mmes donnes dans une fentre ICQ entranera une raction immdiate du systme, qui prviendra les services de scurit de lentreprise. enregistres dans leur mmoire flash interne (il sagit de la solution classique, avec une capacit mmoire comprise entre 2 Mo et quelques Go) ou transfrent les donnes par radio, via une liaison Wi-Fi ou Bluetooth par exemple. Point important, ils contiennent parfois des programmes personnaliss, pour effectuer des enregistrements audio,

Connexion au clavier

Exemples denregistreurs de frappe matriels de commerce

14 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 15

LA UNE | Enregistreurs de frappe


par exemple. Ces enregistreurs de frappe sont directement aliments par le PC. Aujourdhui, les enregistreurs de frappe matriels cotent entre 200 et 400 $ en moyenne. Quelques entreprises les produisent en srie. Certains enregistreurs de frappe sinstallent dans le clavier ou le bloc systme. Ces appareils sont plus difficiles dtecter, mais, bien sr, plus difficiles poser. Ils se montent gnralement de la mme manire que les enregistreurs de frappe classiques, mais dans le clavier et non sur son cble. Vous pouvez utiliser un modle denregistreur de frappe spcialement conu pour tre intgr ou fabriquer vous-mme un enregistreur lmentaire, comme illustr ladresse http://www.keelog.com/diy.html (modle utilisant une puce AT89C2051). Grce cette puce et avec quelques notions lmentaires dlectronique, fabriquer son propre enregistreur de frappe est un jeu denfant. En outre, certaines socits fabriquent des claviers avec enregistreur de frappe intgr, impossibles distinguer des claviers ordinaires (pour plus dinformations, visitez le site http://www. keelog.com/usb_hardware_keylog ger. html). Parade : il est trs difficile de se protger contre les enregistreurs de frappe matriels, car ils sont presque indtectables par des moyens logiciels. Nous disons presque , parce que les enregistreurs de frappe matriels contiennent des composants logiciels qui interagissent avec le matriel. Quant au reste, les mesures de protection possibles sont assez sommaires : placer des tiquettes ou des sceaux le long des joints dassemblage du corps du clavier, poser des autocollants sur les points de connexion des cbles au bloc systme et sceller le bloc lui-mme. Il est alors ncessaire de tenir un journal des tiquettes et de contrler rgulirement ces dernires. des informations de trs grande valeur, lorsquil est impossible de recourir aux solutions matrielles proposes dans le commerce. Fondamentalement, ils capturent le rayonnement lectromagntique secondaire mis par les claviers et leurs cbles. Le principal problme rside dans la faiblesse du rayonnement secondaire, difficile capter longue distance. La tche se complique encore si la pice contient plusieurs ordinateurs quips de claviers identiques. Pourtant, des articles rapportant linterception de donnes une distance comprise entre 10 et 20 mtres ou retraant la mise au point dappareils adapts paraissent priodiquement dans la presse populaire. Larticle http:// lasecwww.epfl.ch/keyboard/ contient mme une dmonstration filme du processus. Parade : en matire de rayonnements lectromagntiques secondaires et de courants dinduction (Secondary Electromagnetic Radiation and Induction, SERI), les mthodes de protection sont bien connues. Le blindage et la mise la terre rduisent considrablement les niveaux de SERI, et des brouilleurs spciaux compliquent fortement la tche des cyber-dlinquants qui tentent dintercepter et didentifier des informations utiles. Une autre mthode bien connue et plus simple consiste capturer et analyser le bruit produit par les touches. Des chercheurs de lUniversit de Berkeley (Californie) ont men de vastes recherches dans ce domaine et ont montr, en 2005, quil tait possible de reconnatre 60 90 % des frappes grce des techniques classiques denregistrement du son. Parade : dans ce cas, le meilleur moyen de se protger est de sensibiliser les employs aux risques et de leur expliquer quil est prfrable de ne pas saisir son mot de passe proximit dun tlphone portable allum. Cette mthode se rpand de plus en plus cause des camras portables actuels, elle reprsente peine une ou deux journes de travail pour un tudiant moyen (dautant quon trouve un grand nombre de codes sources complets sur Internet). Par consquent, la dtection des signatures des enregistreurs de frappe maison ne produira que des rsultats partiels. Un enregistreur de frappe nest pas un programme malveillant proprement parler. Ce peut tre une application commerciale avec contrat de licence et programme dinstallation, auquel cas sa dtection nest pas entirement garantie (surtout sil sagit dun produit dentreprise). En revanche, lanalyse heuristique base sur lmulation de donnes ou lanalyse comportementale nest pas concerne par les inconvnients ci-dessus. On appelle clavier virtuel une application (autonome ou intgre une solution de protection) conue pour se substituer au clavier. On appuie sur les touches dun clavier virtuel laide dune souris. Lutilisation dun clavier virtuel permet en principe dchapper aux enregistreurs de frappe matriels, puisque le clavier classique nest pas utilis. Par contre, elle ne protge pas des enregistreurs de frappe logiciels et autres mesures despionnage comme la ralisation de captures dcran. Toutefois, les claviers virtuels antivirus ou anti-enregistreurs de frappe dclenchent un certain nombre dautres mesures prventives : blocage des piges et des captures dcran, entre autres. Le type et la porte des mesures prventives proposes dpendent du produit. Un gestionnaire de mots de passe est une application qui hberge une base de donnes des identifiants de connexion dun utilisateur. En rgle gnrale, la base de donnes est crypte, et un mot de passe matre uniquement connu de lutilisateur est ncessaire pour y accder et en dcrypter le contenu. Un mcanisme dautorisation biomtrique ou une cl USB peuvent galement faire office de mot de passe. Lintrt des gestionnaires de mots de passe rside dans le fait quils librent de lobligation de saisir manuellement chacun des mots de passe : ces derniers ne peuvent donc pas tre intercepts par un enregistreur de frappe matriel ou logiciel.

Enregistreurs de frappe |

LA UNE

Le clavier virtuel de Kaspersky Internet Security 2010 empche les captures dcran.

Un stylo espion avec camra vido et magntophone incorpors, conu pour trois heures denregistrement continu, peut tre fortuitement dpos sur le bureau directorial dans une socit soumise lespionnage industriel.

qui ne sont pas plus grands quune bote dallumettes et peuvent prendre la forme de nombreux objets : montres, stylos, briquets, paquets de cigarettes, alarmes de voiture, chanes de verrouillage, agendas lectroniques et autres petits appareils qui nattirent pas particulirement lattention. Le dlinquant peut oublier lune de ces camras sur un bureau et revenir le chercher quelques heures plus tard. Il y a encore quelques annes, on ne pouvait voir ce type dappareils que dans les films despionnage ; aujourdhui, ils sont disponibles dans le commerce. On les trouve donc couramment entre les mains des cyber-dlinquants. Les prix schelonnent entre 100 et 400 $. Ces appareils sont surtout utiliss dans les entreprises, univers plus expos lespionnage commercial. Parade : la meilleure parade consiste former les employs et interdire tout appareil non autoris sur les bureaux, notamment proximit des crans et claviers, en insistant tout particulirement sur les appareils oublis par des visiteurs distraits..

Clavier virtuel

Gestionnaire de mots de passe

MESURES DE PROTECTION
Comme nous lavons indiqu, les enregistreurs de frappe sont divers, chaque type ayant ses propres dangers. Passons maintenant aux grandes mthodes qui permettent de lutter contre tous les types denregistreurs de frappe. Pour de meilleurs rsultats, il est conseill de combiner ces mthodes. Une solution antivirus comporte au moins deux lignes de protection : la dtection de signatures et lanalyse heuristique du comportement de lapplication. La dtection de signatures est relativement inefficace, essentiellement pour les deux grandes raisons suivantes : La conception dun enregistreur de frappe standard est extrmement simple ;

Plus originaux que les autres, ces enregistreurs de frappe servent recueillir

Enregistreurs de frappe sans connexion au clavier

Observation clandestine des entres

Antivirus

Un enregistreur de frappe peut tre install dans un clavier sans quil soit possible de le reprer.

Pour plus de scurit, il est possible de complter les mesures de protection ci-dessus par les moyens suivants : Tables de codes. Une table de codes est en fait un tableau ordinaire, qui peut

Interdiction des mots de passe et codes PIN habituels

tre stock sous forme dimage ou sur papier et qui contient X fois Y cellules. Les valeurs X et Y sont en gnral comprises entre 10 et 16 (toutes les combinaisons tant possibles). On gnre une table sur un serveur et on en envoie une copie imprimable lutilisateur ( moins quune sortie papier ne soit envoye en recommand). Lors du processus dautorisation, lutilisateur est invit saisir le contenu de certaines cellules choisies au hasard par le serveur. Ce processus peut remplacer le mot de passe ou sy ajouter. Comme on peut voir, linterception dune combinaison spcifique permettra dapprendre la valeur de deux ou trois cellules parmi les cent et quelques qui existent ; la session dautorisation suivante, la demande portera sur dautres cellules. Or, lenregistreur de frappe est incapable de retrouver la place des cellules demandes. Les dlinquants ne pourront donc pas identifier les cellules impliques sans recourir la capture dcran. Lavantage de cette mthode rside dans sa simplicit. Le systme de transfert des paiements russe, Yandex Money, utilise une technologie similaire. Mots de passe usage unique. Cette mthode se rapproche de la prcdente, mais dans ce cas, lutilisateur reoit un tableau de mots de passe usage unique, supprims mesure quils sont utiliss. La mthode fonctionne aussi en sens inverse, lorsque lutilisateur retire le film protecteur opaque de la liste de mots de passe imprims sur une carte. Cette mthode limine tout risque dinterception dun mot de passe au moyen dun enregistreur de frappe. Cependant, le nombre de mots de passe est limit et il faut demander une nouvelle liste au bout dun certain temps. Gnrateur de mots de passe. On utilise un jeton lectronique pour crer des mots de passe qui ne sont pas rpts, selon un algorithme spcifique. On estime que lalgorithme et la cl secrte quil renferme ne peuvent pas tre dchiffrs partir de quelques mots de passe intercepts. Autorisation deux facteurs (par exemple, avec un priphrique eToken). Dans ce cas, le vol du mot de passe

nengendre aucun risque, puisquil nest daucune utilit sans le code correspondant. Et la rciproque est vraie : leToken ne sert rien sans le mot de passe.

CONCLUSION
Nous avons donc vu les grands principes des outils despionnage de clavier logiciels et matriels. Pour conclure, il convient de signaler que ce domaine volue pratiquement tous les jours. Il y a deux ou trois ans, les enregistreurs de frappe matriels taient considrs comme des merveilles de la technologie. Aujourdhui, on en trouve un grand nombre de modles diffrents (depuis le modle 32 Ko lmentaire jusquaux appareils tlcommande, dots de plusieurs giga-octets de mmoire) dans le commerce. Il est trs probable que le march des enregistreurs de frappe matriels continuera de se dvelopper et que, dans un proche avenir, nous verrons apparatre une toute nouvelle gnration despions logiciels-matriels qui nauront mme pas besoin daccder lordinateur de la victime. RE

Claviers sans fil : un avantage pour lutilisateur ou un bon tuyau pour lespion ?

Les dveloppeurs dappareils sans fil utilisent gnralement une interface standard de transmission des donnes (le plus souvent Bluetooth) ou leur propre systme de connexion sans fil, en intgrant au clavier un metteur-rcepteur connect au port USB ou PS/2. Dans un cas comme dans lautre, des informations sur les touches actionnes sont diffuses, et les cyber-dlinquants peuvent les intercepter. Malheureusement, les algorithmes de protection utiliss dans ces circonstances ne garantissent pas toujours la scurit. On pouvait donc deviner que des renifleurs radio et des enregistreurs de frappe sans fil taient ltude, dautant quun exemple de solution de ce type est disponible gratuitement ladresse http://www.remote-exploit.org/Keykeriki. html.

16 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 17

ANALYSE | Fraude Internet

Fraude Internet | ANALYSE

Les drogues auditives, du pipeau ?


Quelque chose vous fait peur ? Vous avez des espoirs et des rves ? Vous souffrez de complexes ? Vous tes dun naturel curieux ? Si vous rpondez Oui lune de ces questions, vous pouvez tre la cible de soi-disant ingnieurs sociaux . Ces ingnieurs sociaux , grce leur excellente connaissance des failles psychologiques humaines, arrivent obtenir des utilisateurs trop confiants les informations de connexion leurs comptes de rseaux sociaux, laccs leur PC ou le partage bien involontaire de leur carte de crdit. En outre, l ingnierie sociale permet de placer habilement des publicits pour des produits dont les auteurs de spams tireront une excellente source de revenus.
Les fraudeurs nont pas lsin sur les moyens pour crer des publicits attrayantes et agrables pour leurs sites Web.

Par

Maria Namestnikova
Analyste anti-spam Kaspersky Lab

Entre chez Kaspersky Lab en aot 2008 comme assistante analyste antispam, Maria est ensuite devenue analyste antispam en titre. Elle est essentiellement charge de lanalyse des spams en allemand. Elle tablit chaque mois un rapport danalyse des spams et participe aux nombreux projets de sensibilisation mis en place par Kaspersky Lab.

En 2009, les ingnieurs sociaux ont mis leurs talents douteux au service de la promotion dune invention extrmement intressante : les drogues auditives . Pour tre plus prcis, ils avaient commenc un peu plus tt, en inventant le concept, puis en crant des sites Web pour appuyer leurs vises. Mais que sont donc ces drogues auditives ? Vous trouverez la rponse cette question sur tous les sites Web qui en vendent. Daprs lun de ces sites, les drogues auditives sont des fichiers qui, lcoute, imitent les effets des drogues classiques, stimulent la libido ou modifient ltat ou lhumeur de lauditeur grce leffet binaural. On appelle effet binaural la capacit des humains ou des animaux localiser un objet partir des sons qui en manent. Cette capacit tient simplement au fait que nous possdons tous deux rcepteurs audio : nos oreilles. Bref, que nous disent ces charlatans ? Que les effets des drogues classiques peuvent tre synthtiss partir de sons. Pour expliquer de manire parfaitement scientifique le fonctionnement de ces drogues auditives, certains sites Web voquent les battements binauraux ou ondes binaurales , dont le principe, comme lexplique lun des sites, est un peu plus complexe que celui des rythmes classiques : Les battements binauraux se composent de deux sons de frquence lgrement diffrente. Les deux sons sont mis sparment, un pour chaque oreille. Ainsi, ils donnent limpression de se former lintrieur mme de la tte de lauditeur. Sans entrer dans les dtails, il est fort possible que ces rythmes soient effectivement utiliss dans les drogues auditives. Mais certainement pas de faon aussi simpliste

FONDEMENT SCIENTIFIQUE

Les recherches ralises montrent que les battements binauraux ne permettent absolument pas de synchroniser les ondes du cerveau. Cest pourtant ce que prtendent les auteurs des sites Web, et cest, selon eux, ce qui provoquerait les diffrentes sensations que lutilisateur est cens prouver. Leur effet apaisant est connu depuis longtemps dj ; il est notamment utilis dans les musiques qui accompagnent les exercices de mditation. En fait, cette raction est surtout due au caractre rptitif du battement binaural. Chacun sait, par exemple, que lon sendort facilement au son dun train qui roule : la rptition dun battement binaural produit le mme effet. En revanche, il reste savoir si et comment des battements binauraux monotones peuvent avoir un effet sur la sexualit, comme le prtendent les sites de vente. Maintenant que nous avons vu le sens vritable du mot binaural , voyons comment les produits nous sont prsents : Les drogues auditives ne sont pas nocives pour la sant et nengendrent aucun phnomne daccoutumance. En revanche, elles ont un effet physique relaxant et apportent les mmes sensations que les drogues classiques, sans aucun de leurs effets secondaires nfastes. En gnral, cest lide que lon se fait de lutilisation des battements binauraux dans la musique de mditation, elle aussi tant cense avoir une influence positive sur le corps. Ce qui est moins clair, en revanche, cest la faon dont un son de synthse est cens vous laisser un sentiment d optimisme et de bien-tre , comme les drogues classiques. De plus, les sites Web nous promettent des hallucinations auditives et visuelles. Ce nest un secret pour personne, les hallucinations ne sont pas un signe de bonne sant mentale. Alors, les drogues auditives peuvent-elles provoquer des

problmes psychologiques ? Dailleurs, que penser de lavertissement, donn sur ces sites Web, qui indique : Il est dconseill aux personnes atteintes de problmes psychologiques dcouter des ondes binaurales qui pourraient aggraver leur tat ? Bref, un effet relaxant, nocif pour lesprit... voil qui est trange

PROTOTYPE AMRICAIN

Les sites Web qui proposent des drogues auditives expliquent que les drogues auditives ne sont apparues que trs rcemment en Russie. Elles ont t mises au point par des scientifiques amricains et la demande est trs forte sur le march local . Une affirmation contestable, puisque les tats-Unis nont jamais entendu parler de ces produits, du moins sous la forme sous laquelle ils sont commercialiss en Russie. une exception prs : en 1980, aux tats-Unis, le Monroe Institute a effectivement contribu populariser les ondes binaurales, prsentes comme un moyen dinfluer de faon positive sur la psych humaine. Cet institut a vendu des dizaines de milliers denregistrements et a encourag la production de disques et de gnrateurs de signaux prtendument binauraux, censs synchroniser les ondes du cerveau. Cest au plus fort de cette mode des rythmes binauraux aux tats-Unis que fut cr un programme spcial, I-Doser, prcurseur des drogues auditives au format MP3 . I-Doser reposait sur le principe des battements binauraux et tait cens produire un effet analogue celui des

drogues auditives : gnrer des sensations, des tats desprit, des motions semblables ceux provoqus par diffrentes drogues chimiques. Bien entendu, les rythmes I-Doser taient vendus en ligne, mais le programme lui-mme tait gratuit et tlchargeable avec quelques mlodies. Le programme a acquis une certaine popularit aux tats-Unis et dans certains pays dEurope, sans susciter lengouement espr par ses crateurs. Labsence de campagne de promotion grande chelle a t pour beaucoup dans cet insuccs. Sans compter que la quasi-totalit des utilisateurs qui ont essay le programme se sont plaints de labsence totale deffet : pas mme un petit mal de tte ! Si la popularit du nouveau produit a vite dclin aux tats-Unis et en Europe, les ingnieurs sociaux nont pas pour autant abandonn lide.

vente de drogues auditives, le produit tait n en Italie. Les consignes dutilisation des fichiers taient, le plus souvent, trs proches de la version russe ( mettez votre casque, fermez les yeux, dtendez-vous ), mais le principe de fonctionnement tait peut-tre un peu plus dtaill. Le premier prix, pour une dose , tait denviron trois dollars. Mais comme de nombreux utilisateurs plaaient les fichiers quils avaient achets sur leur blog, ils taient ensuite tlchargeables gratuitement. Dun ct, cela a permis une expansion rapide des drogues auditives parmi les utilisateurs corens et chinois. Dun autre ct, lessentiel des informations disponibles sur Internet ntaient pas caractre commercial, mais consistaient plutt en avis de personnes qui avaient fait lexprience du nouveau produit. Et lenthousiasme est retomb aussi vite quil tait apparu : ds lt, lorsque la vague des drogues auditives a atteint la Russie, les Chinois avaient dj compris quil sagissait juste dun nouveau moyen pour dlester les internautes de leur argent. Du jour au lendemain, journaux et blogs se sont dsintresss de la question.

EXPANSION VERS LEST

Dans un premier temps, nos professionnels de larnaque se sont intresss lOrient, notamment la Core et la Chine, o les drogues auditives sont apparues vers la fin 2008 et le dbut 2009. Dans ces pays, les ingnieurs sociaux ont copi le concept gnral de I-Doser, proposant le tlchargement payant de fichiers audio couter laide de programmes spciaux. Plus tard, les choses se sont considrablement simplifies pour les sites asiatiques avec lmergence des drogues auditives dans un format extrmement rpandu, le format MP3. Daprs les sites chinois et corens de

En juin, lorsque les drogues auditives ont t lances sur lInternet russe, les vendeurs ont dabord opr par leur mthode habituelle, en envoyant des quantits de spams par le biais des programmes de messagerie instantane, des rseaux sociaux et du courrier lectronique. Ces messages ont continu de circuler pendant toute lanne, mais leffet de la premire vague de spams a t tel quen une semaine, aucune publicit ntait plus ncessaire : le bouche--oreille avait commenc fonctionner. Ainsi, ds le 1er juin, les profils de la blogosphre du moteur de recherche russe Yandex contenaient dj au total 94 mentions de drogues auditives, de drogues sonores et de drogues lectroniques. Et tous les sites Web de vente de narcotiques regorgeaient de commentaires de soi-disant clients qui avaient dj expriment leurs effets. Comme il se doit, ces commentaires ntaient pas juste positifs, mais franchement enthousiastes. Dans certains cas cependant, les auteurs du site avaient exagr et les commentaires frisaient linvraisemblance. Pour couronner le tout, de nombreux utilisateurs fantmes intervenaient sur des forums de discussion, ou craient des blogs o ils ajoutaient des tas damis pour partager la prtendue euphorie ressentie grce la marijuana lectronique. Dans
2me trimestre 2010 SECUREVIEW

ARRIVE EN RUSSIE

18 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

| 19

ANALYSE | Fraude Internet


chats, ctait le sujet la mode. Malheureusement, il semble que les barons de la drogue lectronique avaient surtout pris les adolescents pour cible. Et on sait combien il est facile de persuader des ados dessayer des nouveauts, mme contre lavis de leurs parents. Dites des jeunes qui viennent dentrer dans lge ingrat que fumer, cest cool, et vous pouvez tre sr que la moiti de lcole va chercher fumer une cigarette en cachette des professeurs. Tout a, pour prouver aux autres quils sont cool ! On a observ le mme phnomne pour les drogues auditives. Volont des ingnieurs ou fruit du hasard, je lignore, lessentiel de leur public en Russie tait compos de jeunes de 13 16 ans. Ces adolescents essayaient les drogues auditives juste pour pouvoir arriver lcole avec lair dun toxicomane averti et parler de leur exprience sensationnelle . Sur les forums de discussion dadolescents, certains employaient un autre terme parfaitement idoine : autosuggestion . Cest l aussi une faille exploite par les ingnieurs sociaux . Car beaucoup de ces toxicomanes patents dune quinzaine dannes taient rellement convaincus que ce quils coutaient leur faisait de leffet. Ils se persuadaient davoir prouv toutes les sensations que, leur ide, on devait ressentir aprs avoir pris une drogue plus classique. Bref, en coutant des rythmes binauraux monotones, ils parvenaient seulement sexciter, voire se surexciter, au lieu de se calmer et se dtendre. Mais les travers humains que constituent le dsir dapparatre comme quelquun de cool et lattrait du fruit dfendu ne sont pas lapanage des adolescents. Sans compter que beaucoup de gens, en entendant les mots drogues auditives , ont d tre piqus par la curiosit et le dsir dexprimenter quelque chose de nouveau. Nous pouvons dire sans craindre de nous tromper que les ingnieurs sociaux ont bnfici dun large public prt payer pour dcouvrir ces miracles de la science . Et si la mise en avant darguments pseudoscientifiques a aid les criminels, ce nest pas un hasard : ctait leffet recherch. Les collgiens, les tudiants et les utilisateurs Internet lambda nont pas t les seuls gober lappt : des journalistes, y compris dans de grands journaux dinformation et magazines danalyse sur le Web, y ont galement mordu. Il est intressant de noter que la majorit de ces publications, notamment au cours des deux premiers mois, nont pas tent de comprendre la nature profonde du phnomne, ni dexpliquer leurs lecteurs la ralit des drogues auditives. La plupart des articles publis en juillet et en aot reprenaient les informations fournies par les sites de vente de drogues lectroniques. Quant aux critiques dutilisateurs publies dans ces magazines, il sagissait gnralement d appts grossiers que, comme dhabitude, les ingnieurs sociaux avaient eux-mmes posts sur lInternet russe. Le seul commentaire sur les risques, prsent aux lecteurs, tait que les drogues auditives ne pouvaient pas tre plus dangereuses que les drogues chimiques habituelles. Les premiers articles qui ont amen le public penser que ces drogues ntaient quun attrapenigaud ont paru bien plus tard, la fin de lt, aprs la publication, le 27 aot, dun article intitul Attention ! Un nouveau type de fraude sur le site Web du Ministre de lIntrieur. Hlas, cette date, le nouveau type de fraude navait plus rien de nouveau et beaucoup de gens ont t difficiles convaincre. Quelques mois aprs son apparition sur le Web russe, le miracle attirait lattention des autorits de certaines rgions. Le 23 septembre 2009, Saint-Ptersbourg, les drogues auditives taient traites presque de la mme manire que la pornographie et la vente aux mineurs tait interdite. Comme lannonait le journal Kommersant-SPB (n 177 (4232) du 24 septembre 2009), la commercialisation de ces produits est strictement interdite dans un rayon de 150 mtres autour des tablissements

Fraude Internet | ANALYSE


effet sur les sites lectroniques que dans les articles imprims. Comme pour les drogues auditives, les sites Web prtendaient que lhypnose audio provoquait un tat de conscience modifi, qui permettait, entre autres, de se dtendre aprs une longue journe de travail ou de stimuler la libido. Parmi les nombreux sites Web qui proposent diffrentes mthodes pour renforcer le plaisir sexuel, on en trouve facilement qui vendent une version auditive du Viagra . Des critiques trs honorables, rdiges par des personnes qui exaltent le pouvoir de lhypnose, paraissent depuis longtemps sur de nombreux sites et pages Web, et plus encore sur les sites de vente de produits d hypnose audio .

dadmettre finalement gagner 20 60 dollars par jour . Le succs tait tel que les cyber-dlinquants taient prts y mettre des montagnes dargent, pendant que les journalistes, les parlementaires et les simples utilisateurs senlisaient dans des querelles idologiques sur le caractre nocif ou non des drogues auditives.

Certains spams russes, sans jamais mentionner le produit dans le texte, contenaient un lien sur lequel les utilisateurs taient invits cliquer.

Le programme I-Doser tait mme disponible sous la forme dune application iPhone

ce dferlement de publicit, lorsquun authentique utilisateur laissait un message pour dire Jai pay, jai tlcharg une dose, je lai coute et je nen ai absolument rien tir ou Mis part une migraine, a ne ma rien apport , personne nen tenait compte, si ce nest quelques amis de lutilisateur du. Au pire des cas, mme ces amis balayaient la critique dun revers de main : Cest normal, ce nest pas tonnant. Certaines personnes y sont sensibles, dautres non. Dans leurs instructions, les fournisseurs indiquaient quil suffisait, pour prouver la sensation, dun lecteur, dun casque stro et dun tlphone mobile. Mais voyons Pourquoi un tlphone mobile ? Pour payer, bien entendu ! Pour recevoir une piste narcotique, lutilisateur envoie un SMS un numro quatre ou cinq chiffres, reoit un code et le saisit dans le champ prvu. Cette faon de procder na rien dinhabituel en Russie.

denseignement et daccueil des enfants, y compris les lyces et les universits. Mais limportance accorde au sujet dans la presse a fait le jeu des dealers. Les titres alarmistes des journaux en ligne et des articles danalyse indpendants nont eu dautre effet que dattirer encore davantage lattention des curieux. Les ingnieurs sociaux eux-mmes ont aliment la polmique pour faire connatre leurs produits. Danger : des drogues auditives tlchargeables gratuitement ! , Les drogues auditives sont nocives pour le cerveau et Les drogues auditives au format MP3 sont dangereuses , claironnait un article sur un site de blog bien connu. Mais ce mme article poursuivait en disant que les drogues auditives taient cool et fournissait des liens vers des sites o chacun pouvait se faire sa propre opinion.

DES POCHES BIEN REMPLIES


Nous ne le savons que trop bien, les drogues auditives ont t un grand succs pour les ingnieurs sociaux . videmment, derrire le bruit et les doutes sur le caractre efficace ou non et nocif ou non de ces drogues, se cache tout simplement lappt du gain. La prolifration, cette poque, de sites Web conus sur le mme modle reflte seulement lactivit des programmes de partenariat. On le sait, nombre de participants ces programmes, loin de dissimuler leurs activits, partagent ouvertement avec tout un chacun leurs impressions sur leur association. Ainsi, cest sur le blog dun programme de partenariat quest parue linformation suivante, au milieu du mois de juillet. En ce qui concerne les drogues auditives, tant quelles taient nouvelles, a valait le coup ! Jai test il y a un mois et trs rapidement, je suis arriv 100 000 roubles par jour ! Lauteur dcrit ensuite en dtail les outils utiliss pour la promotion et les sites Web utiliss, avant

lautomne 2009, en grande partie cause de la rcession, la fivre tait retombe. Le moment tait venu pour les ingnieurs sociaux de prsenter leur prochaine grande nouveaut, qui se devait dtre encore plus exceptionnelle que la prcdente. Pousss par le dsir de vite se remplir les poches, ils nont pas perdu de temps. Une petite modification leur dernire arnaque russie, et ils ont prsent l hypnose audio . Et pour tre bien certains que tout le monde tait au courant de leur dernire invention, ils ont envoy une multitude de spams par tous les moyens possibles. Trs vite, il tait devenu impossible de passer ct des drogues auditives. Et pourtant, on pouvait dj faire une recherche sur Google et trouver des sites Web qui proposaient au tlchargement des fichiers vido censs agir sur le subconscient, cette fois grce l hypnose audio . Notez que le nom est un peu plus compliqu. Les ingnieurs sociaux insistent depuis longtemps sur la nature pseudo-scientifique de leurs inventions . Avec lhypnose audio, ils ont fait un pas de plus, la prtendant meilleure et la rendant plus attractive que les bonnes vieilles drogues auditives. Un expos des principes, truff de termes scientifiques, fait aussi bon

UNE NOUVEAUT ?

CONCLUSION
Quoi quils fassent, il nest pas du tout certain que les ingnieurs sociaux renouvellent leur succs pass. La publicit pour le nouveau produit a commenc au dbut du mois de mars et, jusqu prsent, les mass mdia lectroniques comme les communauts Internet ne sy sont gure intresss. Lenvoi en masse de spams serait-il moins efficace que par le pass et les ingnieurs sociaux auraient-ils mal organis leur nouvelle escroquerie ? Dabord, ces derniers mois, beaucoup de gens ont commenc se rendre compte que les paiements par envoi dun SMS un numro court taient synonymes darnaque. Ensuite, l hypnose audio ne propose finalement rien de nouveau. Enfin, la ressemblance entre les sites Web renforce la dfiance des utilisateurs, sans parler de lexpression drogues sres , trop souvent perue comme contradictoire.
RE

Finalement, quel fut en Russie le succs rel des drogues auditives sur Internet ? Il fut, il faut le dire, crasant. Quelques semaines seulement aprs leur apparition, tous les jeunes de la communaut Internet amateurs de nouveauts en avaient entendu parler. Ceux qui en avaient fait lexprience livraient leur avis d expert un public avide de savoir. Dautres, quoique tents, reculaient par crainte pour leur sant. Un troisime groupe, enfin, tait par principe contre les drogues en gnral et notamment contre les drogues auditives. Les personnes qui entendaient pour la premire fois lexpression drogues auditives se faisaient de plus en plus rares. Dans les blogs, les forums et les
20 SECUREVIEW 2me trimestre 2010

DIFFICILE DE COMPRENDRE LES RUSSES...

La presse chinoise sest vite empare du sujet des drogues auditives.

Hypnose audio : une nouvelle invention lintention des gogos

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 21

ANALYSE | Des logiciels Adobe vulnrables

Des logiciels Adobe vulnrables |

ANALYSE

Universalit : le revers de la mdaille


Il y a trois ans, Microsoft Office tait la cible favorite des pirates dsireux dattaquer un systme. Dsormais, ce sont les produits Adobe qui sont dans le collimateur.

Par

Robert Lemos

Robert Lemos est un journaliste technologique spcialis dans la scurit informatique, la cybercriminalit et les problmes des grandes entreprises. Avec plus de 13 ans de mtier, il compte parmi les vtrans ! Robert Lemos a travaill huit ans comme rdacteur salari pour ZDNet News et comme rdacteur en chef chez CNET News. com, propritaire de ZDNet depuis 2000. Davril 2005 aot 2009, il a t chroniqueur pour un site dinformation sur la scurit appartenant Symantec Corp., SecurityFocus. Journaliste indpendant, il crivait chaque jour un article dinvestigation sur le thme des incidents de scurit, du code malveillant, des vulnrabilits et de la cyber-dlinquance.

Lorsque Charlie Miller, consultant spcialis en scurit, a dcid de sintresser aux vulnrabilits des types de fichiers les plus rpandus, le format PDF sest impos comme une vidence. Adobe Reader est install sur environ 90 % des ordinateurs , explique-t-il. Ce programme est universellement utilis, mais a toujours prsent des problmes de scurit, et cest pour cela quil mintresse. Charlie Miller a dcouvert quun script tout bte qui teste diffrentes combinaisons dentres de fichiers PDF peut provoquer de nombreux blocages exploitables par les pirates dans Adobe Reader et dans Preview, la visionneuse de documents PDF dApple. Le consultant principal dIndependent Security Evaluators nest pas le seul sintresser au

sujet. Une semaine aprs la prsentation de Charlie Miller, le chercheur Didier Stevens a signal quil tait possible de modifier le message davertissement affich par la commande de lancement dapplications externes depuis les programmes Adobe Reader et Acrobat. Cette faille rend possible lexcution dapplications malveillantes depuis un mme fichier PDF, avec un message davertissement dulcor. Le lendemain, Jeremy Conway, chercheur et chef de produit chez NitroSecurity, montrait comment copier le fichier excutable incorpor dun fichier PDF un autre avec Adobe Reader, une voie royale pour les vers PDF. Cest la cible rve, si vous voulez faire des dgts , dclare Jeremy Conway. Je nen connais pas dautres qui soient aussi faciles atteindre quAcrobat

Reader. Bienvenue dans le monde dAdobe ! La popularit du format de document portable a fait dAdobe Reader et Adobe Acrobat les principales cibles des chercheurs et des pirates lafft des moindres failles exploitables dans les applications. Lautre plateforme omniprsente dAdobe, Flash, intresse galement les pirates la recherche de victimes accessibles via le Web. En gnral, les attaques visent soit le navigateur, soit une extension courante de celui-ci, comme Flash Player. Dans cette catgorie, Flash figure en tte de liste , indique Michael Sutton, viceprsident charg de la recherche pour la socit de scurit sur le Web Zscaler. Lintrt des pirates reprsente clairement un gros problme pour Adobe. Lan dernier, Adobe Acrobat et Adobe Reader sont devenus la cible numro 1 des chasseurs de failles dans les formats de fichiers. Si les pirates et les chercheurs ont intensifi leur recherche sur Microsoft Office en 2006, le nombre de vulnrabilits dcouvertes dans les formats Office a commenc dcliner en 2008. Dsormais, Adobe Acrobat et Adobe Reader sont les principales cibles vises. Lan dernier, les chercheurs ont dcel 48 vulnrabilits dans Acrobat et 38 dans Reader. Dans Office, le nombre de problmes de scurit avait t ramen 35. Cette tendance semble devoir se maintenir cette anne : davantage de failles devraient apparatre dans les deux produits dAdobe, et moins dans Microsoft Office.

Vulnerabilities Disclosed
60

45

Microsoft O ce Adobe Acrobat Adobe Reader Adobe Flash Player

30

15

2004

2005

2006

2007

2008

2009

Donnes statistiques de la base de donnes nationales sur les vulnrabilits

TAT DE SIGE
Les chercheurs ne sont pas les seuls sintresser davantage aux produits Adobe. Selon lditeur dantivirus F Secure, les courriers malveillants qui utilisent le format Adobe PDF reprsentent, pour le dbut de lanne 2010, 61 % des attaques cibles. Et dans lensemble, les attaques cibles devraient doubler cette anne, dclare Sean Sullivan, conseiller en scurit auprs du laboratoire nordamricain de la socit. Nous assistons une hausse du pourcentage dattaques qui passent par des fichiers PDF, mais aussi, plus gnralement, une multiplication des attaques , indique-t-il. Les pirates ont galement la plateforme Adobe Flash en ligne de mire. Au second semestre 2008, lune des vulnrabilits de Flash Player a t la faille de scurit la plus exploite dans les navigateurs, selon le Rapport Microsoft sur les donnes de scurit. Au premier semestre 2009

Adobe a cr une page Web contenant des informations importantes sur les failles de scurit de certaines versions de ses produits et solutions.

(dernires donnes disponibles), la tendance sest poursuivie, puisque 17,5 % des attaques passant par les navigateurs exploitaient une faille dAdobe Flash Player. Mais cela na rien de surprenant. Ces dix dernires annes, les chercheurs ont cess de traquer les faiblesses des systmes dexploitation pour sintresser essentiellement celles des applications, plus faciles dceler. prsent, les applications reprsentent la grande majorit des vulnrabilits , dclarait Threatpost Jeff Williams, responsable principal du centre de protection contre les programmes malveillants chez Microsoft. Avec ce regain dattention, les produits Adobe et leur processus de dveloppement sont dsormais sous le feu des projecteurs. Il y a une dizaine dannes, cest Microsoft qui se trouvait dans cette situation. En 2001, la double menace des vers Code Red et Nimda, qui exploitaient une poigne de failles dans les produits Microsoft, a pouss la socit crer le Programme de protection technologique stratgique et a dcid le PDG Bill Gates inflchir la marche du mastodonte Microsoft vers davantage de scurit. Depuis lors, la socit na jamais eu loccasion de revenir sur sa rsolution. En 2003, lexpansion de Slammer a conduit Microsoft sengager amliorer la qualit de ses correctifs et simplifier ses processus de mise jour automatique. Deux mois plus tard, le virus MSBlast infectait des millions de PC sous Windows, poussant Microsoft axer le Service Pack Windows XP suivant sur la scurit. Dans cet apprentissage, Microsoft a pris de lavance sur les autres fournisseurs ,

dclare Michael Sutton, de Zscaler. Adobe est sans conteste dans la mme dmarche. L aussi, parce la socit na pas eu le choix. Lide que Reader et Flash ne sont pas srs nuit sa rputation.

RACTIVIT OU PROACTIVIT
Pour Adobe, cest lanne 2008 qui a marqu un tournant. Alors que les chercheurs et les pirates la recherche de failles continuaient de concentrer leurs efforts sur les formats de fichiers Microsoft et les applications Office, le nombre de vulnrabilits dceles dans Acrobat et Reader atteignait des sommets. Il tait temps pour Adobe de revoir entirement son approche de la scurit. En aot 2008, la socit engageait Brad Arkin, ancien directeur de Symantec et d@Stake, pour diriger les efforts de scurisation de ses produits. En dcembre, elle ouvrait le dialogue avec la communaut de la scurit par le biais dune dclaration, sobrement intitule We care , qui tmoignait de sa proccupation. Trs clairement, la communaut de la scurit tient Adobe sous le feu de ses projecteurs , dclarait alors sur son blog Peleus Uhley, chercheur spcialiste de la scurit chez Adobe. Face ce regain dattention, Adobe a, tout au long de lanne passe, fait des investissements prventifs dans des outils de scurit interne et externe pour mieux protger ses clients. Ainsi, prs de la moiti des salaris de la socit ont particip un programme de certification sur la scurit qui garantit une bonne comprhension des principes lmentaires de la programmation
2me trimestre 2010 SECUREVIEW

22 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

| 23

ANALYSE | Des logiciels Adobe vulnrables


bureau non grs. Depuis le correctif trimestriel davril, la socit installe automatiquement un grand nombre de mises jour. Nous avons vu que beaucoup de gens ninstallaient pas immdiatement la mise jour, prolongeant ainsi leur fentre de vulnrabilit , explique Brad Arkin chez Adobe. Selon lui, lancien programme de mise jour demandait lapplication des correctifs au pire moment : La mise niveau tait propose aux utilisateurs alors quils taient en plein travail . Adobe nest pas le seul sattaquer aux problmes de scurit inhrents aux fichiers PDF. Foxit, qui dite des logiciels concurrents dAdobe Acrobat et Adobe Reader, a aussi fait de la scurit une priorit. En interne, Foxit sest fix des objectifs ambitieux : ragir un rapport de scurit en moins de sept jours et corriger le problme en deux semaines maximum. Selon le PDG de la socit, Eugene Xiong, les pirates et les chercheurs lanceront de nouvelles attaques contre la scurit du format. Pour lui, la plupart des gens pensent quun PDF est un document lectronique, une page numrise, alors que cest en fait une plateforme de programmation. Ils ne se rendent pas compte que le fichier peut incorporer une certaine logique. Pour certains chercheurs, une visionneuse allge ou en sandbox pourrait empcher lexploitation dun grand nombre de vulnrabilits. Cette dmarche permettrait de rsoudre diffrents problmes de scurit, en rduisant la surface dattaque de Reader et dAcrobat. Daprs Eugene Xiong, Foxit vrifie actuellement si cette mthode est susceptible fonctionner. Nous essayons de travailler avec la communaut de normalisation... pour distinguer les fonctions fiables de celles qui ne le sont pas et qui pourraient bientt avoir besoin dun traitement spcial , indique-t-il. Chez Adobe, Brad Arkin sait que les ingnieurs de la socit seront encore confronts pendant quelque temps des pirates dtermins, mais prvient que la multiplication des attaques cibles pourrait modifier le paysage des vulnrabilits. Les truands et le paysage des menaces vont continuer dvoluer, et les pirates suivront toujours les cibles , dclare-t-il. lavenir, il pourrait sagir dautres applications, ou des tlphones ou autres dispositifs mobiles. La leon tirer de tout cela, cest que nimporte quel dveloppeur de logiciels doit tenir compte des questions de scurit. RE

Blog de lquipe PSIRT (Adobe Product Security Incident Response Team). Cette page a t cre pour fournir aux utilisateurs des informations de scurit sur les produits Adobe.

scurise et des consquences des failles. Cette certification repose sur le mme systme que les ceintures de karat : huit heures pour une ceinture blanche et douze heures pour une ceinture verte. Les ceintures marron et noires sont rserves aux employs qui ont men des projets et des recherches plus pousss. Avec 100 projets majeurs et environ 200 en dveloppement, changer les mthodes des programmeurs qui rdigent le code ou celles des testeurs de lassurance qualit qui le contrlent nest pas chose facile , explique Brad Arkin. Nous voulons que tous programmeurs, responsables ou testeurs soient conscients des problmes. linstar du processus de conception et de codage de Microsoft, le Cycle de vie de dveloppement de la scurit, Adobe a lanc son propre programme dintgration de la scurit ses produits, le SPLC (Secure Product Lifecycle, cycle de vie de scurisation des produits). Diffrents moyens de mesure permettent de suivre les rsultats des revues de code et les progrs raliss par les quipes de produits Adobe vers llimination des vulnrabilits, avant de les transmettre lquipe dirigeante sous la forme dun tableau de bord. Pourtant, les rsultats des efforts dAdobe ne sont pas vidents. Si la socit possde ses propres outils de mesure internes, Charlie Miller, dISE, juge que la facilit avec laquelle il trouve des failles montre que le travail dAdobe ne porte gure ses fruits. Le conseiller en scurit affirme avoir trouv 33 failles potentiellement exploitables grce un
24 SECUREVIEW 2me trimestre 2010

processus de fuzzing relativement simple. Ce spcialiste prtend que depuis ses premires dcouvertes, Adobe a sorti deux mises jour qui ne corrigent que deux des problmes les moins importants. Si, dans ses tests, la socit obtient des rsultats largement suprieurs ceux du logiciel Apple Preview, Charlie Miller maintient quil lui reste encore beaucoup faire. Ce nest pas parce que quelquun est pire que vous que vous devez tre mauvais , assne-t-il.

PRIORIT AUX CORRECTIFS


Pour amliorer la scurit, Adobe combat aussi sur un autre front : le dlai entre la sortie dun correctif et son application par la majorit des utilisateurs. Daprs les donnes de la socit danalyse des vulnrabilits Qualys, au cours des six dernires annes, le temps dattente avant lapplication dun correctif du systme dexploitation est rest stable, prs de 30 jours. Mais pour Microsoft Office, Adobe Acrobat, Adobe Reader et Sun Java, lattente est beaucoup plus longue. Si, pour la moiti de la base installe dInternet Explorer, les correctifs sont appliqus en moins de deux semaines, il faut plus de six semaines en moyenne pour que la moiti des utilisateurs comblent les failles dAcrobat, selon la prsentation faite lan dernier par Qualys au Black Hat Security Briefings. Adobe a reconnu limportance du problme et a dcid de modifier son programme de mise jour de sorte que, par dfaut, il installe les correctifs de faon transparente sur les systmes de

Recherche et dtection automatique des postes clients. Automatisation des dploiements. Tableaux de bords, vnements et rapports dynamiques. Dsinstallation automatique dapplications incompatibles. Gestion SNMP. Gestion des postes mobiles (y compris Smartphones). Gestion optimise de la bande passante. Inventaire dapplications.
www.kaspersky.fr
1997-2010 Kaspersky Lab ZAO. Tous droits rservs. Les autres noms et marques dposs appartiennent leurs propritaires respectifs.

www.secureviewmag.com

1009_CPOS001_530x800-FGF

La nouvelle console dadministration de Kaspersky Lab

ANALYSE | Programmes criminels

Programmes criminels |

ANALYSE
informations du ZeuS Tracker Center, la mi-mars, plus de 50 % des programmes malveillants diffuss par le botnet ZBot/ Zeus navaient pas t dtects. Cela signifie que lattaque avait russi. Lorsque les utilisateurs ont enfin t protgs par leur diteur dantivirus, les cyber-dlinquants avaient dj obtenu toutes les informations dont ils avaient besoin.

Un tournant prendre

notre poque, est-il possible de mettre un terme la prolifration des logiciels malveillants qui attaquent le secteur des services financiers ? Le combat incessant des diteurs dantivirus contre ces programmes criminels, galement appels crimeware , est lune des questions les plus pineuses du moment. La protection des clients des services bancaires en ligne est un processus extrmement complexe et, lheure actuelle, les dlais de rponse des professionnels de la scurit informatique face aux attaques des cyber-dlinquants ne sont pas toujours aussi courts quon pourrait le souhaiter. Sans compter que les tablissements financiers ne sont pas forcment dsireux de collaborer ouvertement avec les diteurs de logiciels antivirus.
ATTAQUES DES CYBERCRIMINELS
Ces derniers temps, qui na pas entendu parler dune attaque russie, mene contre les clients dun tablissement financier par des cyberdlinquants ? La stratgie employe est bien rode : recherche dune victime idoine, introduction dun virus, acquisition des donnes de connexion son compte en ligne et enfin, vol de son argent. Les programmes de la famille ZBot-toolkit (ou ZeuS) comptent parmi les reprsentants les plus notoires de ce type dattaque. Ces logiciels malveillants ont t spcialement conus pour voler les donnes de connexion des utilisateurs, dans lintention expresse daccder ensuite leurs services bancaires en ligne. Lhistoire a commenc en 2009 et est loin dtre termine, personne ntant encore parvenu fermer le botnet ZeuS. Daprs les informations fournies par le Centre de suivi de ZeuS (Center for ZeuS Tracking, https:// zeustracker.abuse.ch), fin mars 2010, le rseau comptait plus de 1300 centres de contrle. Sur ces 1300 centres, plus de 700 sont rests actifs en permanence. Chaque centre contrle en moyenne entre vingt et cinquante mille ordinateurs zombies, ce qui donne une ide du nombre de victimes potentielles. Par ailleurs, les centres de contrle du botnet sont extrmement disperss gographiquement. Et cest cette dispersion gographique qui garantit la longvit du rseau. Comme la montr lexprience rcente, il ne suffit pas, pour dtruire

ETABLISSEMENTS FINANCIERS : PROTGER DES CLIENTS


Il arrive, lorsque les mises jour des antivirus sont particulirement en retard par rapport aux nouvelles menaces, que les tablissements financiers essaient de mettre en place et dappliquer leurs propres mthodes dauthentification des clients pour rduire les risques et mieux rsister aux tentatives des cyber-dlinquants. Ces derniers temps, il faut le reconnatre, de nombreux grands tablissements financiers ont adopt cette dmarche. Voici quelques-uns des moyens mis en uvre : Codes TAN (numro dautorisation de transaction : mot de passe usage unique permettant de confirmer une transaction) Claviers virtuels Association des clients une adresse IP fixe Questions et mots cls secrets Utilisation de cls matrielles pour renforcer lauthentification Systmes dauthentification biomtriques Nous ne nous arrterons pas sur les moyens utiliss par les cyber-dlinquants pour surmonter ces obstacles, mais il faut cependant savoir quils disposent de mthodes trs efficaces pour tromper les systmes en place. Bien entendu, les mesures prises par les tablissements financiers leur ont considrablement compliqu la tche, mais ce nest pas la solution tout. De nombreuses pertes continuent dtre signales, tout comme les rapports en provenance des guichets continuent daffluer. FDIC : au premier trimestre 2009, les socits amricaines ont perdu 120 millions de dollars (la quasi-totalit de ces pertes tant lies des codes malveillants) ; UK Cards Association : en 2009 au Royaume-Uni, les pertes des banques en ligne ont augment de 14 %, pour atteindre un total denviron 60 millions de livres sterling ; FBI : en 2009 aux tats-Unis, les cyberdlinquants ont drob plus dun demimilliard de dollars, soit deux fois plus quen 2008. Le tableau ci-dessous rpertorie les tablissements financiers particulirement
2me trimestre 2010 SECUREVIEW

Par

Yury Mashevsky

Directeur du groupe de dveloppement technologique stratgique chez Kaspersky Lab

De nombreux tablissement financiers, et plus particulirement bancaires, ont mis en place il y a dj longtemps des mesures supplmentaires dauthentification lectronique de leurs clients. Hlas, ces prcautions ne semblent pas arrter les cyber-dlinquants.

Yury Mashevsky a rejoint Kaspersky Lab en 2003 en tant quanalyste antivirus. En 2007, il a t nomm responsable du groupe Analyse et statistiques, spcialis dans ltablissement de statistiques permettant de visualiser lvolution des programmes malveillants

Rpartition gographique des centres de contrle du botnet ZBot/ZeuS. Informations reproduites avec laimable autorisation de ZeuS Tracker

un botnet, de fermer quelques-uns de ses sites dhbergement. Le 9 mars, alors quil surveillait le botnet avec laide de ZeuS Tracker, Roman Husse a not une baisse brutale du nombre de centres de contrle. Cette baisse concidait avec la dconnexion dun fournisseur daccs Internet du nom de Troyak. Le 11 mars, il ne restait plus que 104 centres de contrle. Mais deux jours plus tard, Troyak trouvait un nouveau fournisseur de tlservices et, le 13 mars, le nombre de centre de contrles tait nouveau de plus de 700. La victoire avait t de courte dure La famille de programmes malveillants ZeuS est loin dtre la seule bote outils conue pour voler les informations de connexion des usagers et obtenir laccs leurs comptes en ligne. Prenons lexemple de la bote outils Spy Eye, qui peut non seulement voler les donnes dont elle a besoin, mais aussi dtruire son concurrent ZBot/Zeus. Autrement dit, une vritable guerre des clans se droule sous notre nez ! Le botnet Mariposa, qui comptait environ 13 millions dordinateurs infects dissmins dans le monde entier, est un autre exemple

clatant. Mais ce botnet a t entirement dtruit par la police espagnole en dcembre 2009. Sur le panneau de commande du botnet Spy Eye, licne choisie par les cyberdlinquants pour reprsenter chaque utilisateur dun ordinateur infect tait un sac de dollars. Les botnets sont de vritables bouillons de culture qui permettent aux programmes malveillants financiers de se propager. Et ce sont ces programmes que les cyber-dlinquants prfrent utiliser pour voler largent des internautes. Les chiffres tmoignent sans quivoque de laugmentation massive du nombre de logiciels malveillants servant drober les donnes bancaires des clients. Ces chiffres montrent chaque trimestre, depuis leur apparition jusqu ce jour, une augmentation exponentielle du nombre de programmes criminels. Et la situation est encore aggrave par le fait que, dans une forte proportion, ces programmes ne sont pas dtectables par les antivirus de la plupart des diteurs au moment de leur apparition. Par exemple, daprs les

26 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

| 27

ANALYSE | Programmes criminels


viss par les cyber-dlinquants, daprs les donnes de Kaspersky Lab du premier trimestre 2010. Cette liste na pratiquement pas chang au cours des dernires annes. Daprs les donnes disponibles, prs de 1000 banques ont subi des attaques de ce type au cours des trois premiers mois de lanne 2010. De toute vidence, malgr la mise en place, par le secteur bancaire, de mesures supplmentaires pour protger les clients en ligne, les cyber-dlinquants trouvent sans cesse des moyens nouveaux, de plus en plus sophistiqus, pour mettre la main sur les informations des utilisateurs. demand par les banques : il sagirait de pouvoir accder des ressources appeles salles de crise . Situes sur le Web, ces salles sont accessibles aux entreprises clientes laide de donnes et de mots de passe de connexion personnaliss. Elles contiennent des informations pertinentes en quantit bien trop importante pour pouvoir tre transmises au client par courrier lectronique, par exemple des rapports et des articles danalyse concernant une socit ou une rgion, ou des rapports sur les sources des menaces susceptibles de viser les clients. Mais ces systmes de notification ne sont pas toujours utilisables, et ce pour plusieurs raisons : Certains clients de banques en ligne nont pas de programme antivirus install sur leur PC ; il est donc impossible de dresser une liste exhaustive des menaces existantes. Pour une analyse complte et centralise des informations, il faudrait que tous les utilisateurs de services bancaires en ligne aient install le mme antivirus, ce qui est impossible dans la pratique. Les tablissements financiers interdisent strictement lenvoi dinformations sur leurs clients des socits tierces, de crainte que des donnes de valeur ne se perdent ou que cela ne permette une intrusion dans le rseau de ltablissement. Tous ces obstacles compliquent la dtection des attaques cibles. Pour obtenir un aperu complet de lactivit des cyber-dlinquants dans le secteur bancaire, le mieux est dinstaurer une coopration directe entre les diteurs de logiciels antivirus et les tablissements financiers. Il est possible dintgrer une solution de dtection des programmes malveillants aux services de banque en ligne ct client, puisque cela ne ncessite aucune donne personnelle. Ce service pourrait tre intgr la stratgie de scurit et permettrait par la suite aux banques dconomiser sur lindemnisation des assurs et les pnalits. Les services des banques responsables de la scurit pourraient chapeauter les centres de donnes chargs de raliser lanalyse automatique prliminaire des menaces, et donc effectuer eux-mmes les analyses ncessaires. Les grands groupes financiers possdent dj des services informatiques de ce type. Comme ils contrlent toutes les donnes reues, ces services peuvent choisir

Programmes criminels |

ANALYSE
les procdures mises en place par ltat et en se conformant au droit international ? Et une banque brsilienne peut-elle en faire autant en Chine ? La rponse est vidente : dans les deux cas, il sagit dun non catgorique. Combattre les cyberdlinquants sans disposer de mcanismes de coopration efficaces avec les autorits comptentes des diffrents pays concerns est pour le moins problmatique. Dans ce combat, la victoire ne cesse de changer de camp. Ds lapparition de nouvelles technologies permettant de lutter contre la cyber-dlinquance, les pirates ragissent en dveloppant de nouveaux moyens de les contourner, et ainsi de suite.

QUELLES SOLUTIONS ?
notre poque, est-il possible de combattre les programmes criminels ? La rponse est oui. Les technologies voluent en permanence et les principaux diteurs dantivirus actuels ont des solutions capables de repousser les attaques des cyber-dlinquants. Dj, certains acteurs du march des antivirus utilisent les technologies issues du cloud computing, qui contribuent largement la dtection et au blocage des contenus malveillants, tout en limitant leurs sources de diffusion. Il

Augmentation spectaculaire du nombre de programmes malveillants utiliss pour drober les donnes financires des utilisateurs. Donnes reproduites avec laimable autorisation de Kaspersky Lab

sagit de technologies client-serveur qui permettent danalyser les mtadonnes contenant les informations relatives lactivit des logiciels malveillants sur les ordinateurs des utilisateurs. Mais ces mtadonnes ne peuvent tre envoyes quavec la permission de lutilisateur et ne contiennent aucune information confidentielle. Cette technique se distingue des mthodes de dtection des bases de donnes antivirus par la faon

Nom de la socit
Groupe Bradesco Groupe Banco Santander Banco do Brasil Citibank Banco Itau Caixa Banco de Sergipe Bank Of America Groupe bancaire ABN AMRO Banco Nossa Caixa Autres

Part de la socit dans le nombre total dattaques


6,65% 4,71% 3,92% 3,74% 3,33% 2,93% 2,84% 2,36% 2,28% 1,98% 65,27%

Top 10 des tablissements financiers viss par les cyber-attaques. Donnes reproduites avec laimable autorisation de Kaspersky Lab

danalyser lchantillon : le moteur antivirus doit suivre les rgles tablies, par exemple reconnatre les schmas comportementaux inhabituels. Lanalyse en ligne des mtadonnes reues simultanment de diffrents utilisateurs permet de dtecter les activits suspectes et de bloquer la menace identifie pour lempcher de se diffuser. En pratique, les utilisateurs de ces rseaux distribus peuvent tre protgs quelques minutes peine aprs lapparition dune menace. Do les avantages prsents par lapplication de mesures antivirus aux technologies du cloud computing : Dtection rapide, dans les minutes qui suivent lapparition dune menace (les bases de donnes antivirus doivent parfois attendre plusieurs heures entre deux mises jour) ; Nette augmentation du niveau de dtection des menaces grce lintgration doutils nouveaux et extrmement performants en plus des technologies existantes ; Outre la dtection et le blocage immdiats des menaces, possibilit den limiter la diffusion ; Enfin, le recours aux technologies du cloud computing permet de se faire une ide prcise de la situation globale : heure, lieu, origine de lattaque, nombre dutilisateurs touchs, nombre dutilisateurs protgs, etc. Et pour les tablissements financiers, quels sont les avantages ? Ces solutions peuvent signaler aux banques, automatiquement et en temps rel, lapparition de chaque nouvelle menace qui vise leurs clients. Lavertissement donn peut fournir des informations dtailles sur la menace et sur les moyens de la combattre. Un autre service est actuellement trs

les informations transmettre une socit antivirus pour analyse. Bien sr, la cration dun tel centre informatique au sein de la structure existante nest envisageable que si la socit concerne souhaite contrler la totalit des donnes reues. Cette solution conviendra surtout aux gros acteurs du march pour la raison indique prcdemment, savoir la ncessit de crer un service informatique interne charg de lanalyse des menaces extrieures. Les usagers des services de banque en ligne seraient immdiatement informs par les centres danalyse de lorigine des nouvelles menaces et des moyens de les neutraliser. Une coopration plus efficace entre les tablissements financiers et les diteurs dantivirus permettrait donc de faire dune pierre deux coups. Les tablissements financiers rduiraient les risques dincidents et les indemnisations qui en dcoulent, tandis que pour les diteurs dantivirus, cette coopration permettrait de neutraliser beaucoup plus efficacement les attaques cibles.

CONCLUSION
Nous nous sommes contents de dcrire quelques-unes des difficults auxquelles sont confronts les diteurs dantivirus et les tablissements financiers, dans leur combat contre des cyber-dlinquants dont le seul objectif est de voler largent des usagers de services bancaires en ligne. Une solution possible a t envisage. Outre son application lunivers des banques en ligne, cette solution pourrait aussi savrer efficace dans la dtection des menaces qui visent les joueurs en ligne, les utilisateurs de systmes dargent lectronique et les points d'change internet. Des attaques en fait bien plus frquentes que celles dont sont victimes les systmes de banque en ligne. Encore une fois, il faut absolument rappeler limportance du rle de ltat dans ce domaine. Sans son soutien, rien ne pourra jamais vraiment tre fait pour lutter contre la cyber-dlinquance. Le problme restera sans solution tant que des mcanismes efficaces et oprationnels permettant aux autorits comptentes de communiquer et de cooprer nauront pas t mis en place.
RE

RLE DE L'TAT
Jusqu prsent, nous nous sommes intresss deux des camps qui sopposent aux cyber-dlinquants : les socits dantivirus et les tablissements financiers. Mais il reste un acteur qui, malgr toutes les raisons quil aurait de simpliquer, est loin dintervenir suffisamment : ltat. Sans le soutien de ltat, les chances de lemporter sur les cyber-dlinquants sont bien minces. Si les pays ont des frontires, ce nest pas le cas dInternet, et cela donne aux cyber-dlinquants toute latitude pour agir leur guise. Par exemple, une banque corenne peut-elle rapidement fermer un hbergeur de programmes malveillants brsilien, en appliquant strictement toutes

Le soutien de ltat est indispensable dans la lutte contre le cyber-terrorisme. Dans certains pays, les autorits aident dj les tablissements financiers et autres organisations trouver des solutions ces problmes.

28 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 29

TECHNOLOGIE | Listes blanches

Listes blanches |

TECHNOLOGIE
AVIS DEXPERT Nikolay Grebennikov

mi-chemin entre noir et blanc


La mthode classique de protection des ordinateurs contre les menaces consiste tenir jour une liste noire des logiciels douteux et bloquer lexcution de tous les programmes qui figurent sur cette liste. Mais la protection apporte nest pas suffisante, cette mthode permettant uniquement de dtecter les programmes malveillants dj connus des analystes. Dans la ralit, les utilisateurs sont confronts un nombre toujours croissant de programmes malveillants. Les nouvelles versions sont si frquentes et si nombreuses que lactualisation des listes noires est devenue une tche extrmement complique, voire impossible. Mais ltablissement de listes blanches pourrait tre une solution.
Les listes blanches, qui rpertorient les ressources fiables, sont le complment idal des listes noires. Avec ce systme, loprateur du rseau, lditeur de logiciels ou lutilisateur cre et tient jour une liste contenant les informations relatives aux applications, sites Web, adresses mail, etc., connus et lgitimes. Cela permet didentifier tous les objets prsents sur lordinateur, par exemple tous les fichiers excutables dun systme, et, pour garantir la scurit, de marquer comme non valides et rejeter tous les objets qui ne figurent pas dans la liste. car il permet de rejeter tous les messages manant dadresses absentes de la liste. Mais ce systme a aussi ses inconvnients, car il alourdit la charge de travail des utilisateurs, qui doivent examiner manuellement tous les messages rejets pour rcuprer ceux qui ne sont pas des spams. De la mme faon, avec les listes blanches de domaines, les utilisateurs nont accs quaux sites Web de confiance, ce qui limite srieusement le nombre de ressources Internet dont ils peuvent bnficier.

Chief Technology Officer Kaspersky Lab

Par

Elmar Trk

La liste blanche fonctionne linsu de lutilisateur et ncessite seulement une connexion Internet.

Elmar Trk travaille dans les technologies de linformation depuis 1989. Il est devenu auteur et journaliste technique en 1993, pendant ses tudes dingnieur lectricien Munich et Kempten en Allemagne. Depuis, il a crit des centaines darticles pour pratiquement tous les grands magazines allemands sur linformatique et les rseaux. Elmar Trk est spcialis dans les problmes de stockage et de scurit informatique. Il possde de solides connaissances dans le domaine des serveurs et matrise bien les questions de virtualisation. Rdacteur en chef de la revue Infodienst IT-Grundschutz, il participe la prise de dcision finale concernant les nouveaux articles paratre dans les catalogues IT-Grundschutz de lOffice fdral de la scurit des technologies de linformation.

LAVENIR DES LISTES BLANCHES


Cela nempche pas les listes blanches dtre considres comme un outil de scurit efficace et de connatre une expansion rapide. Dans le domaine des programmes malveillants, elles permettent de contrler lactivit de programmes hostiles et non autoriss tout en laissant les coudes franches aux programmes qui ne prsentent aucun risque. Les antivirus qui utilisent des systmes de listes blanches classent les applications en fonction de leur fiabilit et, partir de l, leur accordent un accs plus ou moins large aux ressources systme. Pour diminuer lespace de stockage ncessaire, acclrer le processus de correspondance et dmontrer lintgrit dun objet, ils ont gnralement recours aux signatures numriques des ressources identifies (MD5, SHA-1, etc.). La vrification de la signature numrique permet de distinguer les objets en provenance dune source fiable, par exemple un diteur de logiciels srieux, des objets dangereux. En gnral, les diteurs de logiciels fournissent aux utilisateurs une signature numrique qui permet de vrifier que le logiciel provient bien du fournisseur indiqu et quil na pas t modifi en cours de route. Pour tre efficace, un rfrentiel des listes blanches des applications doit contenir un

AVANTAGES ET INCONVNIENTS
On peut utiliser une liste blanche pour bloquer lactivit de tous les objets qui ny figurent pas. Ainsi, le systme reste labri des objets dangereux inconnus des analystes. Grce aux listes blanches, les administrateurs informatiques peuvent dcider quels codes sont autoriss sexcuter sur leur poste de travail, ce qui leur permet de crer un espace de travail scuris entirement grable. Mais cette mthode ne peut gure tre utilise par tous, car elle bloquerait toutes les nouvelles versions de ressources parfaitement lgitimes qui nont pas encore t inscrites sur la liste blanche. Actuellement, les logiciels voluent en permanence avec lapparition de nouveaux programmes, de nouvelles versions, de correctifs et de mises jour. Internet prend vite de lampleur et il est impossible de tenir jour une liste blanche qui couvrirait la totalit dInternet et lensemble des logiciels srieux. Les socits et les organisations charges de la scurit ne peuvent pas tre au courant de chaque nouveau programme et site Web avant les dveloppeurs. Ltablissement de listes blanches contenant les adresses lectroniques autorises savre trs efficace pour bloquer les messages indsirables,

grand nombre dentres et tre stock dans un environnement parfaitement scuris. Pour lutilisateur, la gestion dune liste blanche est une tche gnralement fastidieuse et rbarbative. Cest pourquoi il est prfrable que les diteurs dantivirus grent, mettent jour et compltent eux-mmes le rfrentiel, ou quils utilisent un rfrentiel public valable. Il serait bon que les diteurs dantivirus et de logiciels cooprent pour crer des listes blanches mondiales vraiment reprsentatives. La liste blanche fonctionne linsu de lutilisateur et ncessite seulement une connexion Internet. Le systme de liste blanche peut tre mis en uvre sous la forme dune technologie de cloud computing, les donnes tant alors accessibles par le biais dun simple service Internet. Ensuite, les informations sur les derniers objets approuvs (programmes et sites Web) peuvent tre immdiatement rcupres par lutilisateur partir du serveur central, sans que des analyses locales qui absorberaient quantit de ressources soient

ncessaires. En ce moment, tant donn la frquence et le nombre de nouveaux programmes et sites Web qui apparaissent, mme une mise jour toutes les heures de la base de donnes de scurit installe sur les ordinateurs locaux ne suffit plus. Lutilisation du cloud computing pour grer les listes blanches rsout le problme, puisquelle permet un accs instantan une base de donnes en ligne centralise contenant les toutes dernires informations sur les objets approuvs. Inutile de consacrer du temps et des ressources lanalyse dun mme programme ou site sur chaque ordinateur local : il suffit de rcuprer les donnes pertinentes sur le serveur central. Les donnes rcupres sont toujours jour et prcises, car elles sont traites par des systmes experts extrmement puissants. Les systmes de listes blanches acclrent sensiblement les analyses antivirus, puisque les objets reconnus comme fiables en sont exclus. Ainsi, condition que les faux positifs soient rares, lutilisation de listes blanches est plus conviviale et permet de protger plus efficacement les utilisateurs que la seule dtection par contenu.

CONCLUSION
Professionnels ou particuliers, tous les utilisateurs ont besoin dtre labri des dernires menaces encore inconnues des spcialistes de la scurit. La meilleure solution consiste associer listes blanches, listes noires et analyses heuristiques. Les listes blanches permettent ltablissement dun environnement numrique scuris dans lequel tous les objets indsirables sont parfaitement contrls. Sans remplacer les listes noires classiques, elles les compltent parfaitement. RE

Face la prolifration des programmes malveillants sur les rseaux publics, Kaspersky Lab a mis en place un programme destin crer une base de connaissances sur tous les logiciels fiables

Aujourdhui, le nombre de sites Web qui abritent des programmes malveillants continue daugmenter de faon exponentielle. Pour contenir cette explosion, notre socit emploie de manire active tout un ventail de technologies efficaces. Lutilisation de listes blanches en est une. Le systme de listes blanches intgr aux solutions de Kaspersky Lab permet de classer les applications dans quatre catgories : Fiables, Faibles restrictions, Fortes restrictions, Non fiables. Les programmes fiables sont gnralement ceux qui figurent dans la liste blanche. Les applications qui entrent dans la catgorie Faibles ou Fortes restrictions ne sont pas considres comme malveillantes, mais leurs activits sont limites. Outre ces quatre groupes, il est possible de personnaliser le paramtrage de chacune des applications pour autoriser une opration, linterdire ou demander une intervention de lutilisateur. Outre les donnes de la liste blanche, le module de contrle des applications utilise des informations en provenance dautres sources, notamment la base de donnes des applications suspectes et loutil danalyse heuristique. Plutt que de bloquer tous les logiciels qui ne figurent pas dans la liste des programmes fiables, cela permet dadopter une dmarche plus quilibre et plus objective et garantit un niveau lev de dtection des programmes malveillants tout en limitant le nombre de faux positifs gnrs par les nouvelles versions des logiciels valides. Ainsi, la technologie avance de listes blanches intgre aux solutions de Kaspersky Lab va bien plus loin que le simple classement des logiciels dans les catgories noir ou blanc , et offre aux utilisateurs un outil beaucoup plus souple de contrle de lactivit des applications.

30 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 31

PRVISIONS | Principaux risques de menaces pour 2010

Principaux risques de menaces pour 2010 |

PRVISIONS

Prsence accrue, complexit renforce


Article by

Aleks Gostev

Spcialiste scurit en chef chez Kaspersky Lab

Lanne 2009 a marqu une tape aussi bien dans lhistoire des logiciels malveillants que dans celle de la cyber-dlinquance, avec un changement de cap marqu dans les deux cas. Cest l que sest joue lvolution venir. Le rfrentiel de Kaspersky Lab compte dsormais 33,9 millions de programmes malveillants. Mais questce qui nous attend en 2010 ?
En 2010, certains problmes et vnements risquent dtre mis en avant : les vecteurs dattaque vont voluer, le Web va perdre de limportance au profit des rseaux de partage de fichiers. Cest la dernire tape de lvolution : entre 2000 et 2005, les attaques passaient pas le courrier lectronique ; entre 2005 et 2006, Internet tait le principal vecteur de virus ; et entre 2006 et 2009, les attaques taient ralises depuis des sites Web (y compris les rseaux sociaux). En 2009, des fichiers malveillants diffuss depuis des sites Torrent ont provoqu des pidmies massives. Outre des menaces bien connues comme TDSS et Virut, les premires portes drobes pour Mac OS ont aussi t diffuses de cette faon. En 2010, les incidents impliquant des rseaux P2P devraient se multiplier de faon significative. Actuellement, seuls les gangs de malfaiteurs sont en concurrence pour le trafic des botnets. Mais des services parallles risquent fort de bientt apparatre sur ce march. Les programmes dits affilis permettent aux propritaires des botnets de rentabiliser leurs actifs, mme sils ne proposent pas de services frauduleux comme les spams, les attaques par dni de service ou la diffusion de programmes malveillants.

en complexit. Actuellement, il existe des menaces qui utilisent des techniques modernes dinfection de fichiers ainsi que les fonctionnalits des rootkits. Un grand nombre de solutions antivirus sont incapables de dsinfecter les systmes atteints par ces programmes. Dun ct, les technologies antivirus se dvelopperont pour empcher ds le dpart les menaces de pntrer dans un systme ; mais de lautre, les menaces capables dchapper aux solutions de scurit seront quasiment invulnrables.

FAUX ANTIVIRUS
Comme pour les chevaux de Troie dans les jeux, le nombre de fausses solutions antivirus devrait diminuer. Apparus en 2007, ces programmes lis aux grandes pidmies ont connu un pic en 2009. Le march des faux antivirus est maintenant satur et les profits engrangs par les cyber-dlinquants sont ngligeables. tant dans le collimateur des diteurs dantivirus et des organismes chargs de lapplication de la loi, ces solutions vreuses auront de plus en plus de mal survivre.

Aleks Gostev est spcialis dans tous les aspects de la scurit informatique, y compris les logiciels malveillants mobiles. Il est charg, entre autres, de dtecter et danalyser les nouveaux programmes malveillants.

Google Wave et les attaques menes par le biais de ce service seront sans aucun doute lun des grands problmes de lanne 2010

MENACES SUR LES RSEAUX SOCIAUX


Lvolution des menaces visant les sites de rseaux sociaux a t lune des tendances majeures de 2009. Lexplosion des rseaux sociaux a boulevers lventail de menaces auxquelles nous sommes confronts, ces rseaux tant devenus leur principal mode de transmission. Le scnario fonctionne toujours sur le mme modle : au dbut, il sagissait de spams. Est venue ensuite la recherche de vulnrabilits dans les rseaux sociaux, et prsent, nous assistons dans ces rseaux des attaques massives de virus et des attaques dhameonnage. Cette anne, plusieurs pidmies de virus ont affect Facebook, Twitter et dautres rseaux sociaux florissants. Actuellement, la croissance des menaces atteint un nouveau seuil, avec lautomatisation des attaques cibles contre les utilisateurs. Comme la croissance des rseaux sociaux se poursuit, les menaces qui leur sont associes continueront videmment de prolifrer. Le nombre et la complexit des menaces qui exploitent les plateformes du Web 2.0 continueront daller croissant. prsent, les rseaux sociaux ouvrent de nouvelles voies pour les attaques cibles automatiques contre les particuliers, et il leur sera trs difficile de se corriger : le matre mot de leur activit est la convivialit, pas la scurit.

SPAM
2009 a t une anne de crise financire et de nombreuses entreprises se sont trouves en difficult. Les auteurs de spams en ont galement ressenti les effets, avec une baisse significative des commandes en milieu danne. En revanche, la quantit de spams dans le trafic de courrier lectronique na pas diminu, les auteurs ayant chang de tactique et participant activement des programmes de partenariat. Pendant toute lanne, la quantit de spams dans le trafic de courrier lectronique a en quelque sorte servi de baromtre de la crise et nous a permis de prvoir lvolution des spams. Lanne 2010 devrait tre beaucoup plus calme pour ce secteur. La quantit de spams dans le trafic de courrier lectronique global devrait rester plus ou moins son niveau actuel ou un niveau trs lgrement suprieur. Les arnaques par SMS, extrmement rpandues en 2009, pourraient devenir plus rares en 2010, surtout si les oprateurs de tlphonie mobile sattaquent au problme. Mais tt ou tard, de nouvelles arnaques verront le jour. Certaines techniques, notamment le recours des fichiers audio ou vido dans les spams, ne devraient pas trop se dvelopper : dans ce cas, lquilibre entre la taille du message, la possibilit de contourner les filtres et la volont de rendre les messages plus attirants pour lutilisateur nest pas favorable aux auteurs de spams. Ceux-ci continueront de recourir des tactiques prouves. Il faut aussi sattendre ce que les auteurs de spams se servent des sites de rseaux sociaux, sur lesquels la quantit de spams risque fort daugmenter. RE

Stefan Tanase

PIDMIES
Comme avant, les vulnrabilits identifies par les pirates seront les principales sources dpidmies. Et cela sapplique aussi bien aux logiciels autres que Microsoft (Adobe, Apple) quau nouveau Windows 7. Il faut noter que depuis peu, les dveloppeurs font davantage defforts pour dtecter les erreurs dans leurs produits. Si aucune vulnrabilit srieuse nest identifie, lanne 2010 pourrait tre lune des plus calmes en termes de scurit.

Chercheur principal pour la rgion EEMOA chez Kaspersky Lab

GOOGLE WAVE
Google Wave et les attaques menes par le biais de ce service seront sans aucun doute lun des grands problmes de lanne 2010. Ces attaques devraient voluer selon le mode habituel, en commenant par des spams, puis des attaques dhameonnage, avant de passer lexploitation des vulnrabilits et la diffusion de programmes malveillants. La sortie de ChromeOS suscite galement beaucoup dintrt, mais il est peu probable que cette plateforme soit une cible importante pour les cyberdlinquants au cours de lanne venir.

LENJEU DU TRAFIC
De plus en plus, les cyber-dlinquants cherchent lgaliser leur activit, et Internet offre une multitude de possibilits pour gagner de largent en crant de gros volumes de trafic cibl. Ce trafic peut tre gnr partir de botnets.

Stefan Tanase est responsable de la surveillance du paysage local des menaces et est spcialis dans la scurit Internet, le malware 2.0 et les menaces visant les systmes de banque en ligne, notamment lhameonnage.

PROGRAMMES MALVEILLANTS
Les programmes malveillants gagneront encore

Darya Gudkova

Responsable du groupe danalyse anti-spam chez Kaspersky Lab

MOBILES ET PROGRAMMES MALVEILLANTS


Lanne 2010 sannonce difficile pour les plateformes iPhone et Android. Lapparition, en 2009, des premires menaces les visant montre que les cyberdlinquants commencent sintresser ces systmes et aux possibilits quils offrent. Si les seuls iPhones en danger sont ceux qui ont t "jailbreaks", ce nest pas le cas des Android, puisquil est possible dy installer des applications quelle quen soit la source. Lexpansion des tlphones Android en Chine, et le peu de surveillance des applications publies, risquent de conduire en 2010 de nombreux problmes de virus..

Darya Gudkova est charge de fournir des informations sur le paysage des spams, les tendances venir et les techniques denvoi en masse.

Informations reproduites avec laimable autorisation de Kaspersky Lab

32 SECUREVIEW 2me trimestre 2010

www.secureviewmag.com

www.secureviewmag.com

2me trimestre 2010 SECUREVIEW

| 33

ENTRETIEN | Complexit des menaces actuelles et venir

Ce nest certainement pas un hasard si le mot rootkit revient de plus en plus souvent dans les discussions sur les pidmies massives, les botnets ou les autres menaces particulirement srieuses pour la scurit informatique. De fait, ces logiciels malveillants sont actuellement considrs comme particulirement dangereux pour les utilisateurs de PC et comptent pour une large part dans les difficults rencontres par les diteurs dantivirus dans leur lutte contre les auteurs de malware.
Nous avons demand Vyacheslav Rusakov, spcialiste des logiciels au sein du groupe de recherche contre les programmes malveillants les plus complexes chez Kaspersky Lab, de nous indiquer comment les diteurs dantivirus traitent ce type de programme malveillant et quelles sont les perspectives immdiates.
SV : Depuis un an ou deux, on entend de plus en plus parler des menaces qui psent sur nos activits numriques du fait de programmes malveillants comme les rootkits. Le problme est-il vraiment si grave ? Quelles les sont les difficults rencontres par ceux qui luttent contre ces menaces ? V : Les programmes malveillants complexes ont toujours exist paralllement des formes plus simples. La majorit des programmes malveillants ne sont pas trs compliqus du point de vue technologique, et en cela les rootkits nont rien doriginal. En fait, il existe juste une poigne de rootkits vraiment complexes. Les types les plus courants se composent de pilotes lmentaires en mode noyau qui masquent ou limitent laccs aux fichiers systme et aux branches du registre, et qui occultent les activits frauduleuses du programme malveillant. Cest ce comportement qui rend difficiles la dtection et llimination du code malveillant du rootkit par certains produits antivirus. Mais pour la plupart des antivirus un peu plus performants, ces rootkits sont trs faciles dtecter, analyser et liminer. La situation se complique nettement si lon a faire des rootkits plus complexes. Heureusement, pour le moment il nen existe pas beaucoup, essentiellement parce que leur cration prsente de grandes difficults techniques. Mais ce sont ces rootkits qui sont intgrs aux programmes utiliss par les cyberdlinquants pour crer des rseaux de zombies grande chelle, et malheureusement, ils se diffusent trs rapidement. Les pirates prennent trs au srieux la cration de rootkits, ce qui complique trs vite la tche des analystes antivirus, ds la ralisation de lanalyse statique du programme malveillant. Pour corser le tout, les auteurs de rootkits ont recours lobscurcissement et au polymorphisme pour mieux cacher le caractre criminel du code excutable. Lorsquun rootkit est spcialement conu pour infecter les fichiers systme, les choses deviennent extrmement compliques, car il faut identifier le mode de fonctionnement de linfection par le virus avant dlaborer un algorithme capable de le neutraliser. Aprs lanalyse statique, lanalyste doit raliser
34 SECUREVIEW 2me trimestre 2010

Rootkits, le dfi

une analyse dynamique dans une zone de test spciale. Les rsultats de cette analyse doivent confirmer et complter les informations fournies par lanalyse statique. Ces informations seront ensuite utilises pour effectuer une dtection en mmoire et dsactiver le rootkit actif. Parfois, la dtection dun rootkit est lorigine du dveloppement dun ensemble de technologies entirement nouveau et original permettant de dtecter et de traiter les programmes malveillants SV : Quelles mthodes dtournes les cyber-dlinquants emploient-ils pour tenter dinfecter un systme ? V :Parmilesdernirestendances,laplusnotable consiste infecter les pilotes en mode noyau et le MBR. Ces rootkits cachent soigneusement leur prsence sur lordinateur de leur victime et sont extrmement rsistants. Kaspersky Lab a dvelopp ses propres mthodes et procdures pour dtecter et traiter les ordinateurs infects par ce type de menace. Concernant les rootkits particulirement dangereux que sont Bootkit et TDSS (TDL3), des technologies innovantes et extrmement spcialises ont t mises au point pour garantir la dtection de tous les rootkits qui, dans lavenir, auront des modes de fonctionnement similaires. SV : On entend des rumeurs sur les risques de voir des infections du BIOS commencer circuler. Quen pensez-vous ? Est-ce possible ? V : Malheureusement, ce sont plus que des rumeurs. Nous avons la preuve que ces technologies existent. Le BIOS de lordinateur est la base de lancement idale pour les rootkits. Avec cette mthode dinfection, le rootkit peut sactiver avant mme que le systme dexploitation ait pu se charger. En thorie, on pourrait tout fait voir apparatre des rootkits de ce type. Mais ils sont trs longs crer cause de la complexit de la technologie sous-jacente. Pour commencer, le BIOS doit tre reprogramm, ce qui est en soi une tche difficile puisquelle ncessite un accs local au PC ; ensuite, il ne faut pas oublier que le BIOS est diffrent selon le fabricant et quil ne peut donc pas exister de mthode universelle

dinfection. Je ne dis pas que ces difficults sont insurmontables, mais lheure actuelle cette solution est trs difficile mettre en uvre. Il nest pas vraiment possible de donner une rponse catgorique. Lavenir nous dira ce quil en est. Mais je peux vous assurer que si ce type de programme malveillant devait voir le jour, les laboratoires dantivirus qui manquent de personnel qualifi seraient en grande difficult. SV : Que se passerait-il si du code malveillant parvenait atteindre le firmware de diffrents composants ? Par exemple, des cartes rseau ou vido ? V: Pour moi, le plus vraisemblable serait que les vulnrabilits des pilotes qui desservent ces composants soient exploites. Mais si on regarde les choses depuis un autre angle, si le code malveillant est capable de prendre le contrle avec ce type dinfection, il faut prendre le risque trs au srieux. Noubliez pas que le principal objectif des cyber-dlinquants, cest de gagner de largent. Plus les mthodes utilises sont simples, moins ils ont de frais. Cest la raison pour laquelle les technologies complexes ne prendront le pas que lorsque les mthodes moins sophistiques seront devenues obsoltes et ne rapporteront plus. Jusque-l, seuls quelques chercheurs spcialiss continueront de satteler la question. SV : Est-il possible dexploiter les vulnrabilits du processeur pour crer des rootkits pratiquement indtectables ? Les diteurs dantivirus seraient-ils capables de combattre de telles menaces ? V : On peut faire des erreurs dans nimporte quel type de logiciel et le microcode du processeur ne fait pas exception. Mais je doute que, dans la pratique, il soit possible de les exploiter. En fait, dun point de vue technologique, il est trs difficile de tirer parti de vulnrabilits de ce type. Il faut tenir compte de toutes les difficults surmonter pour crer un outil dexploitation qui soit universel. Dans tous les cas, je suis certain que si une telle menace devait merger, les diteurs dantivirus sortiraient le grand jeu pour fournir leurs utilisateurs un produit jour capable de contrer cette menace. RE

www.secureviewmag.com

Kaspersky Lab France


Immeuble lEuropen - ZAC Rueil 2000 2, Rue Joseph MONIER - 92 500 Rueil Malmaison www.kaspersky.fr email : info@kaspersky.fr Tl. : 0825 888 612

Russie - Royaume Uni - France - Allemagne - Pologne - Chine - Benelux - USA - Japon - Core - Espagne - Italie - Malaisie Sude - Suisse - Autriche - Argentine - Canada - Brsil - Mexique - Ukraine - Kazakhstan Duba - Roumanie - Turquie - Australie - Hong-Kong - Inde