Enjeux de la sécurité informatique

Transcription

Logiciels malveillants
Jean-Marc Robert
Génie logiciel et des TI
Plan de présentation







Introduction
Listes des logiciels malveillants
Définitions et principales caractéristiques
Virus – détails
Ver – détails
Logiciel espion – détails
Conclusions
Jean-Marc Robert, ETS
Logiciels malveillants - A11
2
Introduction

Les logiciels malveillants viennent sous diverses formes.






Certains se reproduisent.
Certains détruisent des informations.
Certains volent des informations.
Certains dorment jusqu’au moment propice.
…
Ils exploitent

Les vulnérabilités logicielles


La naïveté des usagers


La fenêtre d’opportunité entre la découverte d’une vulnérabilité et la disponibilité du
correctif.
Directement ou indirectement.
…
3
Listes des logiciels malveillants


Virus
Ver





Mailers – Mass-Mailer worms





Vers existant en une seule
copie
Keylogger, PasswordStealing
Permet notamment de « flooder »
Logiciel espion (Spyware)
Logiciel publicitaire (Adware)
Premier rudiment d’un
logici8el malveillant
Rabbit

Porte dérobée (Backdoor)
Rootkit
Ordinateur zombie – bots

Germs

Bombe logique
Cheval de Troie



Souvent via un cheval de
Troie
Dropper, Injector

Injecteur de virus (1ière
génération)
4
Virus

Programme malveillant dont l'exécution est déclenchée lorsque
le vecteur auquel il a été attaché clandestinement est activé, qui
se recopie au sein d'autres programmes ou sur des zones
systèmes lui servant à leur tour de moyen de propagation, et qui
produit les actions malveillantes pour lesquelles il a été conçu.

Principales caractéristiques




Se reproduisant grâce à une vulnérabilité logicielle ou avec l’aide des
usagers.
Se propageant au sein de l’ordinateur infecté.
Nécessitant un programme hôte à infecter.
Les plus célèbres: ILoveyou, Melissa, …
5
Virus – Autopsie

Un mécanisme d’infection


Un moyen de déclenchement (trigger)


Comment le virus se reproduit-il et se propage-t-il?
Comment le virus décide-t-il d’exécuter sa charge utilite?
Une charge utile (payload)

Qu’est-ce que fait le virus, autrement que de se reproduire et de se propager?
6
Virus – Environnement

Les virus sont généralement développés en fonction de la
plateforme



Architecture de l’ordinateur
Microprocesseur
Système d’exploitation




Système de fichier (DOS, FAT, NTFS, …)
Format de fichier
Interpréteur





Version
Macro Microsoft, VisualBasic
Shell UNIX/Linux
JScript, Python, TCL, PHP, Perl, …
Vulnérabilités logicielles
…
7
Ver

Programme malveillant, autonome et parasite, capable de se
reproduire par lui-même.


Se reproduisant généralement automatiquement grâce à une
vulnérabilité logicielle.


Se propageant par le réseau vers d’autres ordinateurs vulnérables.



Exception les Mass-Mailer Worms ou simplement les Mass-Mailers nécessitant l’aide
des usagers – fichier exécutable déclenché par l’usager et utilisant le client courriel.
Certains auteurs présentent les vers comme des virus réseau.
Ne nécessitant pas de programme hôte à infecter.
Les plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, …
8
Ver – Autopsie



Un moyen de déclenchement (trigger)


Comment le ver se reproduit-il et se propage-t-il?
Comment le ver décide-t-il d’exécuter sa charge utile?

Qu’est-ce que fait le ver, autrement que de se reproduire et de se propager?
9
Classifications des vers

Selon le moyen de déclenchement de l’infection



Automatique
Usager
Selon le moyen de propagation




Courrier – Mass-mailer worms
Messagerie instantanée
Réseau poste-à-poste (peer-to-peer)
Balayage – connexion TCP




Aléatoire
Localisé (p.e. 30% aléatoire, 40% réseau, 30% sous-réseau)
Liste de distribution
Topologique (information du réseau est obtenu de l’ordinateur infecté)
10
Bombe logique

Programme malveillant à déclenchement différé, activé soit à une
date déterminée par son concepteur, soit lorsqu'une condition
particulière se trouve vérifiée, ou un ensemble de conditions
réunies, et qui, dès lors, produit l'action malveillante pour
laquelle il a été conçu



Ne se reproduisant pas.
11
Cheval de Troie

Programme malveillant qui, dissimulé à l'intérieur d'un autre
programme en apparence inoffensif (par exemple un jeu ou un
utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur.





Toutefois, il est possible d’avoir un cheval de Troie dont la seule utilité soit malveillante.
Au quel cas, il n’y a pas vraiment de programme hôte.
Les plus célèbres: Sub7, Back Orifice, …
12
Ordinateur zombie

Ordinateur personnel infecté et contrôlé à distance par un
pirate malveillant, qui sert de relais, à l'insu de son
propriétaire, pour envoyer massivement du pourriel ou pour
lancer anonymement des attaques par déni de service.



Sous-classe des chevaux de Troie
Un réseau de zombies ou bots est appelé un botnet
13
Logiciel espion (spyware)

Tout logiciel qui contient un programme-espion et qui emploie
en arrière-plan la connexion Internet de l'utilisateur pour
recueillir et transmettre, à son insu et sans sa permission, des
données personnelles, notamment sur ses intérêts et ses
habitudes de navigation, à une régie publicitaire.



14
Logiciel espion (spyware) – Autopsie



Ne se propage pas automatiquement.
Ingénierie sociale


Installé avec un logiciel populaire (p.ex. Kazaa), un outil shareware, un faux anti-spyware.
Vulnérabilités


Visiter une page web malicieuse exploitant une vulnérabilité du fureteur.
Recevoir un courriel contenant une page HTML avec un script malveillant.
15
Logiciel publicitaire (adware)

Logiciel gratuit, offert en version complète, mais affichant,
lors de son utilisation, des annonces publicitaires menant à
des sites commerciaux, qui sont renouvelées à chaque nouvelle
connexion à Internet.



16
Logiciel publicitaire (adware) – Autopsie



Affiche des fenêtres publicitaires (pop-up)
Vole les informations personnelles

Toute information contenue dans l’ordinateur infecté.


Enregistre les habitudes de navigation web



Adresse, numéro d’assurance social, numéros de carte de crédit, information bancaire, …
Information marketing
Déroute certaines requêtes HTTP vers des sites commerciaux
…
17
D’autres logiciels malveillants

Scareware est un faux logiciel de sécurité, comme un
antivirus ou un anti-spyware. Ce type de logiciel malveillant
signale des menaces qui en réalité n’existent pas dans le but
d’effrayer l’utilisateur et de l’inciter à acheter un produit
antivirus fictif en affichant à l’écran de fausses alertes au virus.

Rançongiciel, est un logiciel malveillant qui prend en otage
des données personnelles. Pour ce faire, un rançongiciel
chiffre des données personnelles puis demande à leur
propriétaire d'envoyer de l'argent en échange de la clé qui
permettra de les déchiffrer.
18
Conclusions

Bien comprendre le comportement des divers logiciels
malveillants est essentiel afin de


Déterminer les menaces qu’ils représentent et d’évaluer les risques
correspondants.
Déterminer l’efficacité des divers moyens de protection.


Antivirus
Systèmes de détection d’intrusion



Basés sur des signatures
Basés sur des comportements anormaux
Sensibilisation
19
Terminologie et définitions
Les définitions en italique ainsi que les termes français
proviennent de grand dictionnaire terminologique de
l’Office de la langue française du Québec.
(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)
20
Références
21

Enjeux de la sécurité informatique

Transcription

Documents pareils

QUESTIONS nettoyage des PC Note : Certains composants de

Outils et techniques d`analyse de code malveillant

Comprendre l`ordinateur (module-2)

Supprimer les logiciels malveillants

gestion centralisée et protection efficace.

Jean-Marc Bailleux

La démarche de protection

Outil de suppression de logiciels malveillants Ce logiciel est un outil

Télécharger autant PDF - AV-Test

Télécharger autant PDF - AV-Test