Enjeux de la sécurité informatique
Transcription
Enjeux de la sécurité informatique
Logiciels malveillants Jean-Marc Robert Génie logiciel et des TI Plan de présentation Introduction Listes des logiciels malveillants Définitions et principales caractéristiques Virus – détails Ver – détails Logiciel espion – détails Conclusions Jean-Marc Robert, ETS Logiciels malveillants - A11 2 Introduction Les logiciels malveillants viennent sous diverses formes. Certains se reproduisent. Certains détruisent des informations. Certains volent des informations. Certains dorment jusqu’au moment propice. … Ils exploitent Les vulnérabilités logicielles La naïveté des usagers La fenêtre d’opportunité entre la découverte d’une vulnérabilité et la disponibilité du correctif. Directement ou indirectement. … Jean-Marc Robert, ETS Logiciels malveillants - A11 3 Listes des logiciels malveillants Virus Ver Mailers – Mass-Mailer worms Jean-Marc Robert, ETS Logiciels malveillants - A11 Vers existant en une seule copie Keylogger, PasswordStealing Permet notamment de « flooder » Logiciel espion (Spyware) Logiciel publicitaire (Adware) Premier rudiment d’un logici8el malveillant Rabbit Porte dérobée (Backdoor) Rootkit Ordinateur zombie – bots Germs Bombe logique Cheval de Troie Souvent via un cheval de Troie Dropper, Injector Injecteur de virus (1ière génération) 4 Virus Programme malveillant dont l'exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement est activé, qui se recopie au sein d'autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour lesquelles il a été conçu. Principales caractéristiques Se reproduisant grâce à une vulnérabilité logicielle ou avec l’aide des usagers. Se propageant au sein de l’ordinateur infecté. Nécessitant un programme hôte à infecter. Les plus célèbres: ILoveyou, Melissa, … Jean-Marc Robert, ETS Logiciels malveillants - A11 5 Virus – Autopsie Un mécanisme d’infection Un moyen de déclenchement (trigger) Comment le virus se reproduit-il et se propage-t-il? Comment le virus décide-t-il d’exécuter sa charge utilite? Une charge utile (payload) Qu’est-ce que fait le virus, autrement que de se reproduire et de se propager? Jean-Marc Robert, ETS Logiciels malveillants - A11 6 Virus – Environnement Les virus sont généralement développés en fonction de la plateforme Architecture de l’ordinateur Microprocesseur Système d’exploitation Système de fichier (DOS, FAT, NTFS, …) Format de fichier Interpréteur Version Macro Microsoft, VisualBasic Shell UNIX/Linux JScript, Python, TCL, PHP, Perl, … Vulnérabilités logicielles … Jean-Marc Robert, ETS Logiciels malveillants - A11 7 Ver Programme malveillant, autonome et parasite, capable de se reproduire par lui-même. Principales caractéristiques Se reproduisant généralement automatiquement grâce à une vulnérabilité logicielle. Se propageant par le réseau vers d’autres ordinateurs vulnérables. Exception les Mass-Mailer Worms ou simplement les Mass-Mailers nécessitant l’aide des usagers – fichier exécutable déclenché par l’usager et utilisant le client courriel. Certains auteurs présentent les vers comme des virus réseau. Ne nécessitant pas de programme hôte à infecter. Les plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, … Jean-Marc Robert, ETS Logiciels malveillants - A11 8 Ver – Autopsie Un mécanisme d’infection Un moyen de déclenchement (trigger) Comment le ver se reproduit-il et se propage-t-il? Comment le ver décide-t-il d’exécuter sa charge utile? Une charge utile (payload) Qu’est-ce que fait le ver, autrement que de se reproduire et de se propager? Jean-Marc Robert, ETS Logiciels malveillants - A11 9 Classifications des vers Selon le moyen de déclenchement de l’infection Automatique Usager Selon le moyen de propagation Courrier – Mass-mailer worms Messagerie instantanée Réseau poste-à-poste (peer-to-peer) Balayage – connexion TCP Aléatoire Localisé (p.e. 30% aléatoire, 40% réseau, 30% sous-réseau) Liste de distribution Topologique (information du réseau est obtenu de l’ordinateur infecté) Jean-Marc Robert, ETS Logiciels malveillants - A11 10 Bombe logique Programme malveillant à déclenchement différé, activé soit à une date déterminée par son concepteur, soit lorsqu'une condition particulière se trouve vérifiée, ou un ensemble de conditions réunies, et qui, dès lors, produit l'action malveillante pour laquelle il a été conçu Principales caractéristiques Ne se reproduisant pas. Nécessitant un programme hôte à infecter. Jean-Marc Robert, ETS Logiciels malveillants - A11 11 Cheval de Troie Programme malveillant qui, dissimulé à l'intérieur d'un autre programme en apparence inoffensif (par exemple un jeu ou un utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur. Principales caractéristiques Ne se reproduisant pas. Nécessitant un programme hôte à infecter. Toutefois, il est possible d’avoir un cheval de Troie dont la seule utilité soit malveillante. Au quel cas, il n’y a pas vraiment de programme hôte. Les plus célèbres: Sub7, Back Orifice, … Jean-Marc Robert, ETS Logiciels malveillants - A11 12 Ordinateur zombie Ordinateur personnel infecté et contrôlé à distance par un pirate malveillant, qui sert de relais, à l'insu de son propriétaire, pour envoyer massivement du pourriel ou pour lancer anonymement des attaques par déni de service. Principales caractéristiques Sous-classe des chevaux de Troie Un réseau de zombies ou bots est appelé un botnet Jean-Marc Robert, ETS Logiciels malveillants - A11 13 Logiciel espion (spyware) Tout logiciel qui contient un programme-espion et qui emploie en arrière-plan la connexion Internet de l'utilisateur pour recueillir et transmettre, à son insu et sans sa permission, des données personnelles, notamment sur ses intérêts et ses habitudes de navigation, à une régie publicitaire. Principales caractéristiques Ne se reproduisant pas. Ne nécessitant pas de programme hôte à infecter. Jean-Marc Robert, ETS Logiciels malveillants - A11 14 Logiciel espion (spyware) – Autopsie Un mécanisme d’infection Ne se propage pas automatiquement. Ingénierie sociale Installé avec un logiciel populaire (p.ex. Kazaa), un outil shareware, un faux anti-spyware. Vulnérabilités Visiter une page web malicieuse exploitant une vulnérabilité du fureteur. Recevoir un courriel contenant une page HTML avec un script malveillant. Jean-Marc Robert, ETS Logiciels malveillants - A11 15 Logiciel publicitaire (adware) Logiciel gratuit, offert en version complète, mais affichant, lors de son utilisation, des annonces publicitaires menant à des sites commerciaux, qui sont renouvelées à chaque nouvelle connexion à Internet. Principales caractéristiques Ne se reproduisant pas. Ne nécessitant pas de programme hôte à infecter. Jean-Marc Robert, ETS Logiciels malveillants - A11 16 Logiciel publicitaire (adware) – Autopsie Une charge utile (payload) Affiche des fenêtres publicitaires (pop-up) Vole les informations personnelles Toute information contenue dans l’ordinateur infecté. Enregistre les habitudes de navigation web Adresse, numéro d’assurance social, numéros de carte de crédit, information bancaire, … Information marketing Déroute certaines requêtes HTTP vers des sites commerciaux … Jean-Marc Robert, ETS Logiciels malveillants - A11 17 D’autres logiciels malveillants Scareware est un faux logiciel de sécurité, comme un antivirus ou un anti-spyware. Ce type de logiciel malveillant signale des menaces qui en réalité n’existent pas dans le but d’effrayer l’utilisateur et de l’inciter à acheter un produit antivirus fictif en affichant à l’écran de fausses alertes au virus. Rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Jean-Marc Robert, ETS Logiciels malveillants - A11 18 Conclusions Bien comprendre le comportement des divers logiciels malveillants est essentiel afin de Déterminer les menaces qu’ils représentent et d’évaluer les risques correspondants. Déterminer l’efficacité des divers moyens de protection. Antivirus Systèmes de détection d’intrusion Basés sur des signatures Basés sur des comportements anormaux Sensibilisation Jean-Marc Robert, ETS Logiciels malveillants - A11 19 Terminologie et définitions Les définitions en italique ainsi que les termes français proviennent de grand dictionnaire terminologique de l’Office de la langue française du Québec. (http://www.oqlf.gouv.qc.ca/ressources/gdt.html) Jean-Marc Robert, ETS Logiciels malveillants - A11 20 Références Jean-Marc Robert, ETS Logiciels malveillants - A11 21