Mémoire M2 MIAGE - MadsenFr - ViruSpam

Transcription

Virus, spyware, spam :
Une course perdue d’avance ?
Frédéric MADSEN / [email protected]
Mémoire
M2 MIAGE I
2008/2009
Judith BENZAKKI / [email protected]
Université d’Évry Val d’Essonne / www.univ-evry.fr
Version du jeudi 23 juillet 2009
Remerciements
Je souhaiterais remercier Tien Dung LEVAN qui m’a accueilli dans son
service et qui m’a accordé sa confiance.
Il m’a aussi permis d’approfondir le sujet de mon mémoire en
m’impliquant dans la démarche anti-spam du Généthon avec la solution
professionnelle IronPort1.
Merci aussi à toute l’équipe pédagogique du Master MIAGE ainsi qu’à la
formation continue et aussi à aux étudiants pour leur accueil chaleureux.
Merci aux relecteurs, dont Laurent FIEVET à l’orthographe et la grammaire
presque parfaite, et sensibles aux coquilles.
Merci à Caroline COTTON pour sa maîtrise de la conjugaison et des
accords (pourtant faciles).
Merci à Laurent HUBERT pour son regard critique d’expert en sécurité
réseau.
Merci à Christian MADSEN pour ses remarques constructives.
1
Solution anti-spam/anti-virus www.ironport.com/fr/
Virus, spyware, spam : Une course perdue d’avance ?
2/123
Sommaire
REMERCIEMENTS ........................................................................... 2
SOMMAIRE ..................................................................................... 3
FICHE DE BILAN ET DE SYNTHÈSE ................................................. 7
1
PRÉSENTATION DE L'ACTIVITÉ EN ENTREPRISE ...................... 7
1.1
1.2
1.3
1.4
2
L'ENTREPRISE D'ACCUEIL................................................................. 7
LE MAÎTRE DE STAGE ..................................................................... 8
RÉSUMÉ DES TRAVAUX PROPOSÉS PAR L'ENTREPRISE ................................. 8
LES TRAVAUX EFFECTUÉS EN ENTREPRISE ............................................ 10
PRÉSENTATION ET SYNTHÈSE DU MÉMOIRE .......................... 12
2.1 PRÉSENTATION DU SUJET SUR LESQUELS LES APPORTS SONT NOVATEURS ....... 12
2.1.1 Motivations principales ...................................................... 13
2.2
2.3
2.4
2.5
2.1.1.1 Intérêt personnel ..........................................................................13
2.1.1.2 Intérêt professionnel .....................................................................13
CE QUI EST DÉJÀ CONNU SUR LES SUJETS TRAITÉS DANS LE MÉMOIRE ........... 14
CE QUE LE TRAVAIL DE MÉMOIRE APPORTE DE NOUVEAU ........................... 14
UTILISATION POTENTIELLE DES TRAVAUX DU SUJET DE MÉMOIRE ................. 15
PRINCIPALES PERSPECTIVES DES TRAVAUX .......................................... 16
MÉMOIRE ..................................................................................... 17
1
COMMENT LIRE CE DOCUMENT ............................................... 17
1.1 NOMENCLATURE ......................................................................... 17
1.2 SOURCES ................................................................................. 17
2
INTRODUCTION...................................................................... 19
2.1 CONTEXTE ............................................................................... 19
2.1.1 Médias ............................................................................. 20
2.2 MOTIVATIONS ........................................................................... 21
3
RISQUES ET ENJEUX ............................................................... 23
4
LOGICIEL MALVEILLANT/MALICIEL [MALWARE] ................... 25
4.1 DÉFINITION .............................................................................. 25
4.1.1 Historique ........................................................................ 25
4.1.2 Chiffres............................................................................ 27
4.2 TECHNIQUES ............................................................................. 27
4.2.1 Vecteurs d’infection/Transmission ....................................... 28
4.3 PRISE DE CONTRÔLE À DISTANCE ..................................................... 30
4.3.1 Cheval de Troie/Troyen [Trojan horse] ................................ 30
4.3.2 Exploitation de faille [Exploit] ............................................. 31
4.3.3 Kit racine [Rootkit] ............................................................ 32
4.4 VOL D’INFORMATIONS .................................................................. 32
4.4.1 Enregistreur de frappe/écran [Keylogger/Screenlogger] ......... 32
4.4.2 Espiogiciel/Mouchard [Spyware] ......................................... 33
3/123
4.5 MENACES FINANCIÈRES ................................................................ 34
4.5.1 Composeur téléphonique [Dialer] ........................................ 34
4.5.2 Rançonnage [Ransonware] ................................................. 35
4.6 NUISANCES DIVERSES .................................................................. 35
4.6.1 Escroc [Rogue] ................................................................. 35
4.6.2 Mulet [Piggyback] ............................................................. 35
4.6.3 Pirate de navigateur [Browser Hijacker] ............................... 35
4.6.4 Publiciel [Adwares]............................................................ 36
4.6.5 Téléchargement forcé [Drive-by download] .......................... 36
4.6.6 Vers [worm] ..................................................................... 36
4.6.7 Virus ............................................................................... 37
5
COURRIER INDÉSIRABLE/POURRIEL [SPAM] ........................ 41
5.1 DÉFINITION .............................................................................. 41
5.1.1 Historique ........................................................................ 43
5.1.2 Chiffres............................................................................ 43
5.2 TECHNIQUES ............................................................................. 47
5.2.1 SMTP............................................................................... 48
5.2.2 Filtrage ............................................................................ 48
5.2.3 Adresse de rebond [Bounce address]................................... 49
5.2.4 Redirection d’erreur [DNS Backscatter] ................................ 49
5.2.5 Collecte d’adresse ............................................................. 49
5.2.5.1 Pillage d’annuaire [Directory Harvest] ..............................................50
5.2.5.2 Robot d’indexation [Crawler/Spambot] ............................................50
ÉVOLUTIONS ............................................................................. 50
5.3
5.3.1 Arnaque par SMS [SMiShing] ............................................. 51
5.3.2 Art ASCII [ASCII art] ........................................................ 51
5.3.3 Hameçonnage vocal [Vishing] ............................................. 51
5.3.4 Spam image ..................................................................... 52
5.4 VARIANTES............................................................................... 53
5.4.1 Canular [Hoax] ................................................................. 53
5.4.2 Fraude 419 [419 Scam] ..................................................... 54
5.4.3 Hameçonnage [Phishing] ................................................... 55
5.4.3.1
Pêche à la lance [Spear phishing] ....................................................55
5.4.4 Bouc émissaire [Joe job] .................................................... 56
5.4.5 Gonfler puis vendre [Pump and dump] ................................ 56
6
MODÈLE ÉCONOMIQUE ........................................................... 57
6.1 POURRIEL ................................................................................ 57
6.2 PUBLICITÉ ................................................................................ 58
7
LÉGISLATION ......................................................................... 59
7.1 CONTEXTE ............................................................................... 59
7.2 LCEN .................................................................................... 60
7.2.1 Consentement actif/Option de retrait [Opt-in/opt-out] .......... 60
7.3 CNIL ..................................................................................... 61
7.3.1 Loi informatique et liberté .................................................. 61
7.4 CAN-SPAM ACT ......................................................................... 63
7.5 SANCTIONS .............................................................................. 63
4/123
8
DÉMYSTIFICATION ................................................................. 65
8.1 DÉGÂTS MATÉRIELS ? .................................................................. 65
8.2 LINUX/MAC ÉPARGNÉS ? ............................................................... 65
8.2.1 Linux ............................................................................... 67
8.2.2 Mac ................................................................................. 67
8.3 VIRUS DANS LES IMAGES ? ............................................................ 67
8.4 LES SOURCES D’INFORMATIONS FIABLES ............................................. 68
9
INITIATIVES .......................................................................... 69
9.1
9.2
9.3
9.4
9.5
BOÎTE À SPAMS .......................................................................... 69
SIGNAL SPAM .......................................................................... 69
EURO-CAUCE .......................................................................... 70
CERT .................................................................................... 70
POT DE MIEL [HONEYPOT] ............................................................. 70
10 PRÉVENTION .......................................................................... 72
10.1
MAINTENANCE ..................................................................... 72
10.1.1
Programmes au démarrage .......................................... 73
10.1.2
Trafic réseau............................................................... 73
10.2
DROITS RESTREINTS .............................................................. 73
10.3
MOT DE PASSE [PASSWORD] .................................................... 74
10.4
POURRIEL ........................................................................... 76
10.4.1
Collecte ...................................................................... 77
10.4.1.1 Adresse masquée ..........................................................................77
10.4.1.2 Adresse jetable .............................................................................78
10.4.2
Changement d’adresse ................................................. 79
10.4.3
Captcha ..................................................................... 79
10.5
RÈGLES D’OR ....................................................................... 81
10.5.1
Virus .......................................................................... 81
10.5.2
Pourriel ...................................................................... 81
11 SOLUTIONS ............................................................................ 83
11.1
ANTI-SPAM ......................................................................... 83
11.1.1
DKIM ......................................................................... 83
11.1.2
Filtres Bayésiens ......................................................... 83
11.1.3
Liste grise [Greylisting] ................................................ 84
11.1.4
IM2000 ...................................................................... 84
11.1.5
Liste noire/blanche [Blacklist/Whitelist] .......................... 84
11.1.5.1 Réputation ...................................................................................85
11.1.6
Mobile ........................................................................ 88
11.1.7
Signature ................................................................... 88
11.1.8
SPF ........................................................................... 88
11.2
ANTI-SPYWARE .................................................................... 88
11.3
ANTI-VIRUS ........................................................................ 89
11.3.1
Bac à sable [sandboxing] ............................................. 90
11.3.2
Empreinte .................................................................. 90
11.3.3
Heuristique ................................................................. 90
11.3.4
Signature ................................................................... 90
5/123
11.4
PARE-FEU [FIREWALL] ............................................................ 92
11.5
COMPARATIFS ...................................................................... 92
11.5.1
Anti-virus ................................................................... 92
11.5.2
Anti-spyware .............................................................. 95
11.5.3
Anti-Spam .................................................................. 95
11.6
TESTS ............................................................................... 96
11.6.1
Anti-virus ................................................................... 96
11.6.2
Pare-feu ..................................................................... 96
11.7
LIMITES ............................................................................. 97
11.7.1
Faux positifs et faux négatifs ........................................ 97
11.7.2
Coût .......................................................................... 98
11.7.3
Généralisation ............................................................. 98
11.8
FORMATION ........................................................................ 98
12 CONCLUSION.......................................................................... 99
13 ANNEXE ................................................................................ 101
13.1
LE SITE ...........................................................................
13.2
EXEMPLES D’HAMEÇONNAGE ...................................................
13.2.1
Caisse d’épargne .......................................................
13.2.2
Deezer .....................................................................
13.3
ÉTUDE DE CAS ...................................................................
13.3.1
Air E-Mail .................................................................
101
101
101
102
103
104
13.3.1.1 Informations juridiques ................................................................ 106
13.3.1.2 Client......................................................................................... 107
13.3.2
E-Nov Développement ............................................... 109
13.3.2.1 Informations juridiques ................................................................ 110
13.3.3
Désabonnement ........................................................
13.4
INDEX .............................................................................
13.4.1
Sigles et acronymes...................................................
13.4.2
Glossaire ..................................................................
13.5
WEBOLOGIE ......................................................................
13.5.1
Institutions ...............................................................
13.5.2
Associations..............................................................
13.5.3
Éditeurs ...................................................................
13.6
BIBLIOGRAPHIE ..................................................................
111
111
111
113
119
119
120
121
123
6/123
Fiche de bilan et de synthèse
1 Présentation de l'activité en entreprise
1.1 L'entreprise d'accueil
Généthon
1 bis, rue de l'Internationale
F-91002 ÉVRY Cedex BP 60
+33 (0)1 69 47 28 28
www.genethon.fr
Généthon est une organisation de biothérapie à but non lucratif financée à
plus de 90% par l'Association Française contre les Myopathies (AFM) avec
les dons du Téléthon.
Généthon est une structure intégrée permettant de passer de la recherche
au développement clinique en intégrant la production BPF2 dans l’objectif
de mettre sur le marché des thérapies géniques destinées aux maladies
rares, principalement neuromusculaires.
J’ai été accueilli au sein du service informatique dont la mission est
d’assurer un support aux utilisateurs sur les systèmes d’information.
La colonne vertébrale de cette organisation est le portail intranet ECM3.
Mais le sujet de mon stage m’a porté à m’intéresser particulièrement à
l’ETGC (Établissement de Thérapie Génique et Cellulaire) dédié à la
préparation et à la production de produits de thérapie génique et
cellulaires à des fins de recherche et d’utilisation au cours d’essais
cliniques.
Créé en 2005, il est issu de l’ancien département Production & Contrôle de
Généthon qui assurait la production de cellules et de vecteurs viraux
uniquement à des fins de recherche.
L’ETGC est composé de deux sites de production qui ont reçu
l’accréditation de l’Agence Française de Sécurité Sanitaire des Produits de
Santé (AFSSaPS) pour 5 ans.
Les activités de l’ETGC ont été réparties dans deux unités : l’unité de
production de cellules et de vecteurs viraux et l’unité de contrôle qualité.
2
Bonnes Pratiques de Fabrication www.afssaps.fr/Activites/Elaboration-de-bonnespratiques/Bonnes-pratiques-de-fabrication-de-medicaments-a-usage-humain/(offset)/1
3
Gestion de contenu [Enterprise Content Management] vise à gérer l'ensemble des
contenus d'une entreprise.
7/123
Toutes ces activités sont réalisées suivant des procédures opératoires
standardisées (SOP, Standard Operating Procedure) selon les normes
qualité de bonnes pratiques de fabrication (BPF). Les mots d’ordre sont
fiabilité, reproductibilité et qualité.
L’objectif du département ETGC est de produire des lots thérapeutiques
pour les besoins de Généthon mais, selon ses disponibilités, il travaille
également avec des laboratoires externes, français ou étrangers. Son
expertise technique lui permet de développer et de suivre des projets
précliniques et cliniques (phase 1) incluant la rédaction des dossiers
réglementaires.
Pour l’instant, l’ETGC est capable de produire 18 lots de vecteurs/an (6
lots par suite de production). Cette production suffit pour les essais de
phase I et II, réalisés chez un petit nombre de patients. Le 1er lot de
vecteurs libérés par Généthon sera ainsi utilisé dans le cadre de son
premier essai sur la gamma-sarcoglycanopathie. Mais cette capacité de
production sera rapidement insuffisante s’il veut assurer la production de
lots pour des essais en phase IIb-III. C’est pourquoi il anticipe en
réfléchissant dès maintenant au moyen de disposer d’un site de
production plus important. Car ces capacités n’existent pas davantage
ailleurs en Europe.
1.2 Le maître de stage
Mon maître de stage est M. Tien Dung LEVAN responsable informatique,
ancien étudiant à l’université d’Évry.
1.3 Résumé des travaux proposés par
l'entreprise
Le sujet du stage était présenté comme suit :
1. Étudier les exigences en système d’information des systèmes de
production dans le monde pharmaceutique en générale
2. Analyser la situation actuelle du système de production à Généthon,
collecter les expressions des besoins sur les nouvelles demandes en
SI liées à la mise en place d’un nouveau site de production (Projet
Gamma), notamment concernant les exigences des instances
règlementaires pharmaceutique en France (BPF4, AFSSaPS5) et aux
États-Unis (GMP6, FDA7) (enquêtes auprès des différents acteurs :
Responsables de production, règlementaires, contrôle et qualité,…)
4
5
6
Bonnes Pratiques de Fabrication
Agence Française de Sécurité Sanitaire des Produits de Santé
Good Manufacturing Practices
8/123
3. Élaborer un cahier des charges pour mettre en place le nouveau
système de production à Généthon
4. Prospecter auprès des différents éditeurs de progiciels du marché
afin d’identifier la solution la mieux adaptée au cahier des charges
de Généthon et faire une analyse comparative des solutions
proposées
5. En marge des phases d’analyses 1 à 4, participer à la mise en œuvre
du progiciel PharmStar8 en collaboration avec le service
informatique de Généthon, les utilisateurs et l’éditeur. Ce système
d’information a été choisi par le Généthon pour anticiper la gestion
de la traçabilité des matières premières utilisées dans la production
des lots pharmaceutiques du site de production actuelle. Les
attentes sont :
• Installer les infrastructures : matériels et logiciels pour assurer
le déploiement de ce progiciel
• Paramétrer l’application
• Mettre en production l’application
• Former les utilisateurs
• Accompagner les utilisateurs dans la phase post-installation
(modification de paramétrage, support utilisateur, rédaction
de procédure d’installation et exploitation…)
Cette démarche avait été initiée il y a un an par Alain DOUCHET du service
informatique, mais sans succès d’une part car les recueils de besoins
étaient minimalistes et d’autres part parce que la démarche avait été
présentée sous l’aspect d’un éventuel ERP9, ce qui a dissuadé la direction
de se lancer dans un tel investissement.
C’est donc sur la base de ce travail que j’ai entrepris de reprendre contact
avec les services concernés.
Il n’y a pas eu véritablement de planning prévisionnel des travaux étant
donné que les différents points du sujet étaient traités en parallèle et
pouvaient évoluer en fonction de l’allocation de budgets.
Le stage s’est déroulé en immersion dans le service informatique puisque
j’étais dans le même bureau et que j’ai été convié à une journée de
formation sur la nouvelle solution anti-spam qui a été déployée.
Mais n’étant pas impacté par l’opérationnel et œuvrant pour le site de
production, j’ai eu à travailler en complète autonomie.
Le site de production, aussi appelé site B, étant séparé géographiquement
du reste du Généthon, j’ai eu à me déplacer (accessible à pieds) sur place.
7
Food and Drug Administration
Logiciel de gestion de stock et de suivi de production
valley.fr/images/PDF/fiche_pharmastar.pdf
9
Progiciel de Gestion Intégré (PGI) [Enterprise Resource Planning]
8
www.aquitaine-
9/123
1.4 Les travaux effectués en entreprise
J’ai principalement répondu aux 3 premiers points du sujet de stage, car
le contexte interne du Généthon n’a pas permis d’aborder certains aspects
du sujet, à savoir que le point numéro 5 a été annulé et que le point
numéro 4 se résume à une seule rencontre avec la société FELTEN10
importée par COETIC11.
En effet, une réorganisation complète de la direction et des services a eu
lieu au cours du stage qui a eu pour conséquence de remanier les priorités
ainsi que les budgets qui n’ont pas été débloqués pour acquérir le logiciel
en question.
Aujourd’hui il reste à faire valider le document par les personnes
intéressées avant de poursuivre sur un cahier des charges techniques.
Et suivant la politique de déploiement de cet outil, éventuellement à
présenter le cahier des charges fonctionnel à l’éditeur que nous avons
rencontré afin d’avoir son sentiment.
Après une période d’adaptation au domaine et métiers du Généthon, j’ai
entrepris en parallèle de rencontrer les acteurs des différents services du
site de productions (responsables et exécutants) afin de comprendre leur
quotidien et leurs attentes en matière de SI, et de me familiariser avec les
contraintes réglementaires liées à ce type d’activité. À cette occasion, j’ai
développé une connaissance des exigences réglementaires notamment en
termes de système d’information avec la norme 21 CFR Part 1112.
J’ai donc recueilli les besoins de l’ETGC et pour cela j’ai rencontré une
dizaine de personnes et ai produit des comptes rendus d’entretien.
Puis j’ai rédigé un cahier des charges fonctionnel sur lequel j’ai ensuite
apporté des corrections au vu des remarques de mon maître de stage.
En parallèle nous avons rencontré un éditeur, il s’agit de la société
FELTEN.
J’ai principalement utilisé Outlook 2007 et ses fonctions de calendrier pour
planifier les rendez-vous avec mes interlocuteurs et mes participations
aux réunions d’informations. Mais aussi l’outil intégré permettant de
planifier des tâches à effectuer.
Tous les documents ont été rédigés sous Word 2007.
10
FELTEN est un spécialiste de l'automatisation de processus et des technologies de
l'information www.felten-group.com/fr/
11
COETIC est une société de conseil qui propose à ses clients des méthodes innovantes
pour résoudre des problèmes fonctionnels et réglementaires grâce aux Technologies de
l’Information et de la Communication (TIC).
12
Le 21 CFR Part 11 est un texte édicté par la FDA (Food & Drug Administration),
applicable depuis 1997, dont l'objet est de spécifier la façon dont doivent être gérés les
documents
ou
données
électroniques
et
les
signatures
électroniques
www.21cfrpart11.com
10/123
Les matières enseignées en master, comme droit, emploi, gestion
stratégique des organisations, anglais et sécurité des systèmes
d’information et des bases de données m’ont permis de mieux
appréhender ce stage.
Dans le cadre de ma mission j’ai utilisé l’infrastructure bureautique du
Généthon, et j’ai pu accéder à de la documentation sur le portail intranet
ECM.
J’ai eu à ma disposition un ordinateur portable équipé de Windows XP.
J’ai aussi bénéficié d’un accès internet indispensable pour la consultation
des normes réglementaires aussi bien française qu’européenne et
américaine qui font autorité en la matière.
Par ailleurs, j’ai reçu plusieurs formations :
• Outlook 2007 (planification de tâche et gestion de calendrier)
• Formation générale à la sécurité avec une sensibilisation particulière
aux problèmes inhérents à ce type d’établissement
• École de l’ADN (vulgarisation scientifique)
Quantitativement, j’ai consulté une dizaine de personnes et produit autant
de compte-rendu d’entretien, ainsi qu’un rapport d’une cinquantaine de
pages.
11/123
2 Présentation et synthèse du mémoire
2.1 Présentation du sujet sur lesquels les
apports sont novateurs
Le sujet de ce mémoire est : « Virus, spyware, spam : Une course perdue
d’avance ? »
Je me propose d’étudier ces menaces et leurs impactes.
Par une étude approfondie je tenterai de répondre à la question qui est de
savoir si les avancées techniques et législatives peuvent nous prémunir
contre cela.
Par ailleurs, le fait d’aborder ce sujet sous des angles différents permettra
de donner un éclairage plus complet sur le problème.
Virus et spyware étant les termes les plus connus, j’entends par là toute
sorte de malware (programme malveillant), dont le vecteur de
transmission est aujourd’hui devenu en grande partie le Spam.13
Cependant, ces menaces s’inscrivent comme des outils dans une activité
plus vaste appelée cybercriminalité que j’évoquerai, mais qui n’est pas le
propos de ce mémoire. C’est pourquoi je n’aborderais pas certains types
de fraudes et d’attaques tel le « pharming », puisque dans ce cas
l’ordinateur de l’utilisateur n’est pas corrompu, mais cela illustre l’étendue
du sujet.
En dehors du fait que la lecture de ce document synthétisant l’état de l’art
en 2009 sur le sujet constituera, je l’espère, en elle-même un apport non
négligeable pour le lecteur, je ne pense pas apporter dans un domaine si
vaste, si pointu et si mouvant une réelle contribution (un anti-virus ou un
anti-spam miraculeux, non plus qu’une méthode d’identification
infalsifiable).
Mais, parmi l’ensemble des solutions qui essayent aujourd’hui de tirer
profit de cette situation, j’identifierai celles qui sont pertinentes, en plus
d’identifier les comportements à risques.
Je tenterai par ailleurs de rétablir certaines vérités afin de mieux se
prémunir contre ces phénomènes sans tomber dans la psychose.
Je produirais une plaquette indépendante résumant très simplement les
règles et réflexes de bases, ainsi que les outils les plus efficaces en l’état
actuel des connaissances.
Il s’agira d’une sorte de chartre qualité avec un nombre restreint de règles
d’or à respecter pour éviter d’être victime ou de contribuer malgré nous à
ce phénomène.
13
« Les FAI ont conscience du spam mais gèrent plutôt leur réputation »
www.journaldunet.com/solutions/securite/chat/arnaud-kopp-ironport-les-fai-ontconscience-du-spam-mais-grerent-plutot-leur-reputation.shtml
12/123
J’envisage de mettre cette plaquette en ligne sous forme d’un mini-site
(viruspam.free.fr) qui permettra de tirer partie de mes recherches en
proposant des liens sur des outils de scan en ligne et de test de sécurité
face à ces menaces.
2.1.1
Motivations principales
Mon intérêt pour ce sujet est multiple.
D’une part, l’évolution constante des techniques employées dans ce
domaine en fait un sujet d’étude très intéressant. D’autre part, comme
tout phénomène non conventionnel il attire nombres de spéculations et de
phantasmes que j’aimerais démêler.
2.1.1.1
Intérêt personnel
Nous subissons tous le poids de ces problèmes à titre personnel et il est
indispensable, dans un monde où tout se numérise et se virtualise, de
connaître ses ennemis afin de mieux les combattre ou tout au moins de
mieux s’en prémunir.
En effet, aujourd’hui plus que notre vie privé il est indispensable d’être
vigilant afin de préserver notre intégrité bancaire voire tout simplement
notre identité numérique qui intervient et interviendra de plus en plus
dans toutes les étapes importantes de notre vie (argent, vie sociale,
rapport avec l’état, santé, etc.)
Ce stage, bien que très intéressant, ne m’a pas permis de mettre ne
pratique les matières techniques enseignée en Master. C’est aussi la
raison pour laquelle j’ai souhaité étendre la portée de ce mémoire par la
réalisation d’un site web. De plus, pour l’élaboration de ce mémoire et de
son prolongement dans un site web j’ai pu mettre en œuvre en plus les
matières suivantes : fouille de données et technologies et langages du
web.
Par ailleurs, certaines matières étudiées cette année sont en rapport direct
avec ce sujet :
•
•
•
Droit
Fouille de données
Sécurité des systèmes d’information et des bases de données
2.1.1.2
Intérêt professionnel
Ces menaces peuvent avoir un impacte considérable dans le milieu
professionnel et occasionner des dégâts très couteux.
Chacun étant un maillon de la chaîne qui forme un rempart contre de tels
agissements, le respect et la compréhension de bonnes pratiques sont
essentielles pour limiter l’impacte de ces problèmes.
13/123
Ce sujet est un axe majeur de préoccupation des SI aujourd’hui, car
l’informatisation grandissante fait qu’une entreprise ne peut plus
fonctionner si son SI n’est pas opérationnel.
Aujourd’hui les DSI siègent au conseil d’administration et le SI n’est plus
simplement un avantage concurrentiel par rapport à ses concurrents, mais
bien un élément indispensable à la marche de l’entreprise.
Donc le Généthon comme toute organisation se doit de se protéger
efficacement contre ces menaces que sont les Virus et le Spam.
Justement, lors de mon stage j’ai vu assister au déploiement d’une
solution anti-spam.
2.2 Ce qui est déjà connu sur les sujets traités
dans le mémoire
Le sujet que je me propose d’étudier est un vaste sujet traité maintes et
maintes fois.
Des recherches théoriques au niveau des universités14 ont été entreprises,
des sociétés commerciales cotées en bourse15 en ont fait leur cheval de
bataille, mais surtout de nombreux médias relayent ce type d’information.
De nombreuses sociétés se sont spécialisées dans le traitement de ces
menaces, les principales sont citées en annexe dans le chapitre
« Webologie/Éditeurs ».
De nombreuses techniques ont été mises au point au fil du temps pour
contrer ces menaces, je les évoquerai dans ce mémoire, ainsi que leurs
limites.
Ce sujet étant en perpétuel évolution, très pointue et lié à l’utilisation des
réseaux, ainsi qu’au courrier électronique, j’ai donc tout naturellement
porté mes recherches sur internet afin d’accéder facilement à diverses
sources d’informations.
En dehors d’internet, la lecture de magazines informatiques français
référents en la matière m’a permis d’approfondir le sujet.
2.3 Ce que le travail de mémoire apporte de
nouveau
Ce mémoire apporte une synthèse sur l’ensemble de ce phénomène.
Habituellement en dehors de livres sur le sujet qui n’ont pas la réactivité
nécessaire pour ce type de domaine en mouvement perpétuel, on ne
trouve sur internet que de cours articles sur un aspect technique bien
14
Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA)
qsl.loria.fr/commun/vvv/description_fr.pdf
15
Symantec www.boursier.com/vals/US/US8715031089-cours-symantec.html
14/123
précis, et les rares livres blancs un peu plus étoffés sont souvent le fait de
sociétés. Cependant, tout en produisant des documents de qualité plus
complète que les articles que l’on rencontre habituellement sur internet,
elles peuvent orienter la réflexion dans le sens des produits qu’elles ont à
vendre.
Ici le propos est libre, ouvert et pragmatique.
De nombreux travaux existent sur le sujet et je n’ai pas la prétention de
croire pouvoir y apporter une véritable avancée. Cependant, je pense
pouvoir en faire une synthèse accessible aux non initiés et ainsi participer
à ce que ces menaces fassent moins de victimes et soient donc moins
efficaces.
D’autant que le sensationnalisme et le business lié à ce domaine de la
sécurité informatique qui peut potentiellement frapper tout le monde du
particulier à l’organisation gouvernementale et militaire16 a de quoi faire
peur et permet donc tous les phantasmes. Induisant des dérives et donc
des pertes d’efficacité dans la lutte contre ces phénomènes.
Ce mémoire aborde les aspects préventifs et curatifs et prolonge sa
réflexion dans un site web (viruspam.free.fr) qui en œuvre des conseils
simples et efficaces au travers d’outils et de liens informatifs de
références.
2.4 Utilisation potentielle des travaux du sujet
de mémoire
La meilleure utilisation de ce mémoire et surtout du site qui
l’accompagnera est de porter la bonne parole en vulgarisant ces thèmes
sensibles que ce soit à titre personnel ou en tant qu’individu au sein d’une
entreprise.
En effet, que ce soit la surestimation du danger lié à une peur panique
irraisonnée pour ceux qui n’ont pas les moyens de prendre du recul, ou
encore une minoration par ceux qui se croient à l’abri ou par négligence,
tous participent à l’impact de ce phénomène.
Le mémoire pourrait servir de support à un court d’autoformation ou de
sensibilisation à ces problèmes au sein de l’entreprise, et le site permettra
de pointer vers des ressources officielles en cas de doute sur la conduite à
tenir, ou bien pour dénoncer un problème aux organismes adéquats.
De plus, il permettra aussi d’opérer un scan d’un fichier douteux ou de son
ordinateur en cas de problème.
16
Les
réseaux
informatiques
de
l'armée
touchés
par
un
virus
www.01net.com/editorial/402849/les-reseaux-informatiques-de-larmee-touches-par-unvirus/
15/123
2.5 Principales perspectives des travaux
Il est difficile de prétendre être exhaustif sur un sujet aussi vaste, donc on
pourrait creuser certains aspects.
Par ailleurs, ce type de document bien que pertinent dans la démarche se
démode très vite du fait de l’évolution des techniques impliquant de
nouvelles menaces. Il serait bon de le faire évoluer régulièrement et d’en
archiver les parties obsolètes.
Il s’agit donc d’un travail régulier de veille technologique à part entière.
Concernant le site qui reprendra une synthèse de ce mémoire, je pense le
finaliser avant la soutenance afin d’en faire la présentation comme d’un
aboutissement de ce travail de mémoire.
Je pense maintenir le site à jour sur le fond et sur la forme afin qu’il reste
un outil pertinent.
16/123
Mémoire
1 Comment lire ce document
1.1 Nomenclature
Afin de faciliter la lecture de ce mémoire, j’ai pris quelques conventions
qui sont expliquées ici :
• Un terme entre crochets et en italique [uk-us] indique un terme
anglo-saxon couramment utilisée que l’on retrouve même dans des
textes en français, et qui constitue souvent un mot clé. Je le place
généralement immédiatement après le terme francisé.
• Les mots, expressions ou sigles en italique indiquent ainsi leur
présence dans l’index.
Le sujet de ce mémoire comporte de nombreux termes anglo-saxons,
parfois francisés notamment par nos amis québécois. Je me suis efforcé
lorsque des traductions faisaient l’unanimité de les employer en lieu et
place des termes d’origine dans les têtes de chapitres.
1.2 Sources
On trouve énormément d’informations sur le sujet de ce mémoire sur
internet, notamment en français. Mais si mes lectures m’ont amenées à
consulter des sources d’information non officielles (blogs, sites
personnels) qui m’ont appris quelques choses, je m’efforce de toujours
confirmer ces dires par une source officielle. Cela est parfois rendu
possible dans les articles qui citent leurs sources, mais ce n’est pas
toujours le cas.
Par source officielle j’entends une institution gouvernementale, une
association d’industriels ou de particuliers, ou une entreprise faisant
référence dans le domaine en question.
Certaines institutions et certaines entreprises publient annuellement des
livres blancs rendant compte de l’état actuel des menaces, qui sont de
véritables mines d’informations. Je m’y réfèrerais donc naturellement.
La seule source non officielle que je citerais est Wikipédia car ses articles
permettent une approche neutre, claire et précise qui cite ses références.
Par ailleurs, le domaine informatique étant assez récent et facilement
vérifiable, ses articles sur Wikipédia sont peu enclins aux modifications
délictuelles, contrairement aux articles historiques et politiques.
J’indique en annexe les sources de valeurs, c'est-à-dire ayant un contenu
fiable, intéressant et conséquent.
17/123
Par ailleurs, on retrouve souvent les mêmes informations à peine
remaniées que chacun reprend à son compte comme une analyse
personnelle, j’ai alors essayé de remonter à la source de l’information.
Cependant, pour certaines, elles proviennent de sociétés commerciales
dont on ne peut totalement exclure que les analyses et notamment les
chiffres avancés, même si ces sociétés sont aux premières lignes pour
l’observation de ces phénomènes, qu’ils soient parfois légèrement
arrangés.
Il existe de nombreuses sources d’information officielles et d’organismes
où dénoncer des agissements frauduleux à travers le monde, je me suis
donc naturellement orienté vers ceux destinés à la France et aux pays
francophones.
18/123
2 Introduction
Les menaces provenant d’Internet sont toujours plus nombreuses et
insidieuses. Si certaines de ces attaques informatiques existent depuis
plusieurs années déjà, les motivations qui les engendrent sont aujourd’hui
bien différentes et par là-même beaucoup plus pernicieuses et difficiles à
contrer.
Le piratage informatique était auparavant réalisé
Aujourd’hui il s’agit principalement de faire de l’argent.
pour
la
gloire.
De plus les attaques étaient auparavant ultra-visibles. Par exemple le
célèbre virus « I love you »17 était véritablement destiné à faire parler de
lui au maximum. Dorénavant, les attaques sont discrètes et le pirate ne
veut surtout pas se faire repérer.
Lorsque les virus sont apparus, et pendant quelques années, le but était
de faire sensation en créant des effets démonstratifs, voire au pire de
faire planter un ordinateur. Aujourd’hui le but est le vol d’informations
personnelles et l’utilisation des ordinateurs comme force de frappe pour
des activités frauduleuses.
Le sujet traité ici s’inscrit dans le panel des outils utilisés en
cybercriminalité. On y traite de certains aspects de la sécurité
informatique mais uniquement liés aux menaces figurant dans le sujet.
2.1 Contexte
Alors que le nombre de connectés à internet augmente avec le
déploiement de l’ADSL en Europe et notamment en France18, nombre
d’internaute ne soupçonnent pas les risques qu’ils encourent en naviguant
sur internet.
Risque pour leurs données personnelles, mais aussi risque de participer à
leur insu à la cybercriminalité.
En effet, il est devenu de plus en plus facile de s'introduire dans les
machines des particuliers, non rompus aux techniques de sécurisation et
dont les machines sont parfois connectées à Internet 24h/24h.
Si les menaces sont de plus en plus nombreuses, les ordinateurs sont
aussi de plus en plus protégés.
17
« I love you » est le nom d'un ver informatique, apparu pour la première fois le 4 mai
2000 fr.wikipedia.org/wiki/I_love_you_(ver_informatique).
18
Europe : Population d'internautes
www.journaldunet.com/cc/01_internautes/inter_nbr_eu.shtml
19/123
Cependant leur ouverture sur le monde étant un de leurs atouts majeurs
ils ne peuvent complètement se refermer sur eux-mêmes.
C’est pourquoi certains ports restent ouverts même s’ils sont filtrés,
comme le port 8019 utile à la navigation web ou le port 2520 indispensable
au courrier électronique.
Parfois la faille n’est pas du côté de la technique et l’exploitation des
travers humains est souvent utilisée de manière redoutable, ce qu’on
appelle l’ingénierie sociale.
Désormais le point d’entrée privilégié pour toutes les menaces est le
courriel. Le courriel devient un élément essentiel, que ce soit au sein de
l’entreprise ou à titre privé. Qui plus est il constitue une donnée
personnelle dont on sous-estime généralement l’importance. En effet,
l’adresse classique se décline comme suit :
nom.prénom@société_ou_fai.fr
Avec cette simple donnée on apprend beaucoup sur son propriétaire.
En plus du patronyme, on connait le nom de son entreprise ou de son
fournisseur internet ainsi que son pays de résidence. Et parfois à cause
des homonymes sont ajoutés, année de naissance ou encore département
de résidence pour se différencier.
Ainsi l’adresse électronique est porteuse de nombreuses informations en
plus d’être un vecteur privilégié pour vous atteindre, il est donc nécessaire
de la considérer comme une donnée confidentielle qui a de plus une valeur
marchande aux yeux des cybercriminels.
Internet a évolué doucement d'un espace fermé (non éditable) à un
espace ouvert (éditable). Les premiers espaces d'échanges furent les
livres d'or qui permettaient de déposer un message au webmestre.
Aujourd'hui, avec le Web 2.0, l'ouverture est partout (forums, blogs, wiki,
réseaux sociaux, site de partage de musique/vidéo, sites communautaires
en tout genre, etc.)
Cela à créée autant d’ouvertures possibles pour des menaces toujours
plus intrusives.
2.1.1
Médias
Le phénomène, de par son ampleur, a de quoi faire peur et les médias
relayent l’information dans des documentaires sensationnalistes.
Néanmoins cette exposition a le mérite de sensibiliser le grand public à ce
problème, reste alors à l’éduquer afin de lui donner les moyens de se
défendre et de ne pas tomber dans une psychose du numérique.
19
20
Hypertext Transfer Protocol fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Simple Mail Transfer Protocol fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
20/123
Dernièrement des chaînes nationales ont diffusé des documentaires sur ce
sujet :
• Mars 2009 sur France 5 :
o Cyber guérilla - Hackers, pirates et guerres secrètes21
• Mai 2009 dans l’émission « Envoyé spécial » sur France 2 :
o Les cybercriminels22
2.2 Motivations
Pour bien comprendre ces phénomènes il est nécessaire de s’intéresser
aux motivations. Ce qui apparaît rapidement c’est que celles-ci ont
évoluées et se sont diversifiées ces dernières années.
Comme je l’évoquais en introduction, ces phénomènes ne sont plus le fait
de quelques étudiants isolés, mais bien le fait d’organisations criminelles
qui découvrent dans ces techniques un ratio rentabilité/risque bien
supérieur à d’autres trafics comme la drogue ou la prostitution.
La motivation principale est désormais l’appât du gain, bien loin des
démonstrations de savoir faire de quelques initiés du début de l’ère
informatique.
Il n’en reste pas moins que l’ère numérique met en exergue la puissance
de l’individu, et à plus forte raison celle d’un groupe d’individu.
En effet, aujourd’hui un individu isolé doté d’un matériel standard mais
d’une détermination et de compétence adéquate (quoi que nous verrons
que ces compétences peuvent s’acheter) peut mettre à mal une
organisation qu’elle soit commerciale ou institutionnelle.
Que ce soit par vengeance personnelle envers un employeur, ou par
représailles envers un état comme ce fut le cas de l’Estonie23, où la
structure même de ce jeune pays très informatisé fut mise à mal, les
motivations bien que diverses empruntent les mêmes outils.
Une autre motivation, est la revendication de certaines valeurs, comme ce
fut le cas avec la création du vers MyDoom24.
En effet, dans ce cas on évoque la possibilité que certains individus issus
de la communauté Linux aient réalisé ce type d’attaque en représailles
envers une société cherchant à nuire à cette communauté.
21
Cyber guérilla - Hackers, pirates et guerres secrètes
wiki.france5.fr/index.php/CYBER_GUERILLA__HACKERS,_PIRATES_ET_GUERRES_SECRETES
22
Les cybercriminels envoye-special.france2.fr/indexfr.php?page=reportage&id_rubrique=926
23
Cyber-attaque en Estonie www.journaldunet.com/solutions/securite/dossier/07/1123piratages-mediatiques/4.shtml
24
Quand MyDoom fait boom, article de Libération paru le 02/02/2004
www.liberation.fr/economie/0101476777-quand-mydoom-fait-boom
21/123
Mais les motivations peuvent prendre les aspects les plus divers, même si
ce ne sont pas des cas représentatifs, comme la recherche d’OVNIS25.
Gary McKinnon, un anglais se serait introduit sur plusieurs réseaux
militaires critiques américains espérant trouver les preuves cachées par
l’armée américaine de l’existence d’une vie extra-terrestre et aurait causé
des centaines de milliers de dollars de dégâts. Une demande d’extradition
est en cours le concernant depuis 2006.
25
Un
hacker
recherche
des
OVNIS
et
risque
l'extradition
www.journaldunet.com/solutions/securite/actualite/un-hacker-recherche-des-ovnis-etrisque-l-extradition.shtml
22/123
3 Risques et enjeux
Comme dans beaucoup de domaines l’étude de
l’évolution d’un phénomène nous permet de
mieux appréhender son état actuel, mais ne
permet pas malheureusement de bien définir son
devenir surtout dans un domaine comme
l’informatique ou règne « la puissance de
l’imprévisible »26.
En effet, dans un domaine en pleine explosion
comme l’informatique où la récurrence est très
forte et très rapide, l’observation sur une période
d’un phénomène ne permet pas forcément de prédire avec justesse son
avenir.
Les risques sont multiples, comme je le montrerais dans l’énumération
des déclinaisons des types de menaces, et les désagréments peuvent se
faire sentir aussi de nombreuses façons :
• Ordinateur corrompu induisant des nuisances diverses :
o Ralentissement
o Perte de données
• Vole d’informations confidentielles
• Usurpation d’identité et toutes ses conséquences
• Chantage
• Prise de contrôle à distance
Mais cela reste à un niveau individuel, même si dans certaines
organisations plusieurs personnes peuvent être touchées simultanément.
Par contre si ces menaces visent un organe d’état ou des entreprises
critiques pour la bonne marche du pays, les effets peuvent être
dévastateurs.
C’est pourquoi certains états collaborent, dont la France, à la prise de
conscience de la nécessité d’une cyber-défense27 pour garantir le bon
fonctionnement de l’état en cas d’attaque.
Aujourd’hui, une guerre sur internet n'implique pas toujours une guerre
réelle, mais l'inverse oui.
26
« Le Cygne Noir La puissance de l'imprévisible » de Nassim Nicholas Taleb, livre
conseillé par notre professeur de SOA, Henry Boccon-Gibod.
www.lesbelleslettres.com/livre/?GCOI=22510100957220
27
Cyberdéfense : un nouvel enjeu de sécurité nationale www.senat.fr/rap/r07-449/r074490.html
23/123
Dans le fonctionnement d’un état, les menaces informatiques peuvent
intervenir à différents niveaux, militaire, financier, sociale.
Dans l’hypothèse du déploiement de machines à voter, une menace
informatique ciblant ces machines remettrait en question les fondements
même d’un état.
24/123
4 Logiciel malveillant/Maliciel [Malware]28
Ce chapitre qui à pour but de présenter les différentes
déclinaisons de menaces n’est pas qu’une simple liste
énumérant les prouesses techniques des hackers. La
connaissance des menaces permet de réduire l’exposition
au risque et réduit l’impacte de l’ingénierie sociale.
4.1 Définition
Un logiciel malveillant est un logiciel développé dans le but de nuire à un
système informatique. Les virus et les vers sont les deux exemples de
logiciels malveillants les plus connus.
Le sujet de ce mémoire reprend un abus de langage courant qui est
d’attribuer le nom de virus à tout logiciel malveillant, mais je vais détailler
ici toutes les nuances que ces menaces peuvent prendre. On trouve
parfois la terminologie suivante : programme potentiellement indésirable
[Potentially Unwanted Program (PUP)]
Par contre, il est à noter qu’un anti-virus, fort de cet abus de langage,
traite toute sorte de menaces et leur champ d’application s’étant à mesure
que les menaces se diversifient, mais en restant toutefois dans le contexte
du logiciel malveillant.
Il faut noter qu’on différencie les menaces dites « in the wild » et « in the
zoo ». Pour la seconde catégorie, il s’agit de ce qu’on appelle des « proof
of concept » qui servent à démontrer l’exploitabilité d’une faille et donc
l’intérêt de sa correction, ce sont principalement des virus expérimentaux
et des virus très anciens qui ne se rencontrent plus actuellement. Tandis
que les menaces dites « in the wild » sont issues d’une véritable intention
de nuire par leurs auteurs et actuellement à l’œuvre sur les réseaux.
Cette distinction est importante, en raison de l'inflation du nombre des
virus les éditeurs ont tendance à retirer de la base de signatures les virus
les plus anciens, afin d'éviter d'avoir une base de taille excessive qui
ralentirait fortement l'analyse.
4.1.1
Historique
L’évolution des malwares souvent appelés hâtivement virus peut se
constater dans les analogies qui sont faîtes avec la biologie. 29
28
Logiciel malveillant fr.wikipedia.org/wiki/Logiciel_malveillant
La virologie informatique : genèse d'un concept ? Anne Bonfante et Jean-Yves Marion
www.loria.fr/~marionjy/Research/Publications/Articles/SpecifDec06.pdf
29
25/123
Nombre de termes employés sont empruntés à ce domaine, comme
« infection », « antidote » et bien sur le terme « virus » lui même.
Mais aussi les représentations comme les logos à base de stéthoscope, de
seringue, de gélule, etc.
Cependant on remarque une évolution par le biais d’analogie avec
l’iconographie et les termes issus de la guerre.
En effet, on parle désormais « d’attaque », de « protection » et les logos
en forme de bouclier apparaissent laissant deviner une évolution du
phénomène, mais aussi une complexité qu’une seule analogie ne saurait
rendre.
Dans le début des années 60, quelques informaticiens des laboratoires
Bell inventent le jeu Core War30. Le principe consiste à implanter dans la
mémoire d'un ordinateur deux programmes qui vont alors, sans aucune
intervention humaine, lutter l'un contre l'autre en cherchant à se localiser
et à se détruire mutuellement. Chaque programme peut en outre se
défendre en s'auto-réparant en cas de dommage causé par l'adversaire, et
en se dupliquant dans la mémoire. La partie est terminée lorsque l'un des
joueurs a perdu tous ses programmes ou si ceux-ci ont été modifiés au
point d'être rendus inactifs.
Le gagnant est celui qui possède le plus grand nombre de copies actives
du programme, que l’on nomme aujourd’hui « virus ».
C’est en 1983 que le terme «virus informatique» est défini officiellement
pour la première fois par Leonard Adleman, chercheur en informatique
théorique et sa définition est : « un virus informatique est un programme
informatique qui peut infecter d'autres programmes en les modifiant de
manière à y inclure une copie de lui-même (éventuellement évoluée) ».
Le premier virus fut un virus pour Apple, nommé Elk Cloner en 1982 créé
pour son amusement par un adolescent. Il s’agissait d’un virus inoffensif
mais gênant.31
La première concrétisation sur PC apparait en 1986 sur l'Arpanet, l’ancêtre
d’Internet, infecté par Brain32.
Depuis, les virus informatiques frappent tous les systèmes d’exploitations,
et sont en pleine expansion avec l’apparition de nouveaux moyens de
connexion ces dernières années, tels que la messagerie instantanée, les
téléchargements peer to peer et la technologie Bluetooth qui rend les
téléphones mobiles de plus en plus vulnérables.
30
31
32
Core War assiste.com.free.fr/p/abc/a/core_war.html
Elk Cloner en.wikipedia.org/wiki/Elk_Cloner
Brain (computer virus) en.wikipedia.org/wiki/Brain_(computer_virus)
26/123
Aujourd’hui les virus ont différentes origines, cela a peut être par jeu,
dans une moindre mesure pour se venger ou pour nuire, mais c’est
aujourd’hui surtout par intérêt mercantile qu’ils sont créés.
4.1.2
Chiffres
D’après le
CERTA
(Centre
d'Expertise
Gouvernemental
Réponse et de Traitement des Attaques informatiques) :
de
« Il n'existe pas de statistiques fiables en matière de virus. Beaucoup de
sources d'informations sur les virus, citant le nombre de spécimens en
circulation sans parler du montant des dégâts imputés aux virus, sont
particulièrement fantaisistes. »33
Ce flou est entretenu par les sociétés éditrices de solutions anti-virus, et
contrairement aux spams, il est plus difficile pour des organismes
indépendants de mesurer l’ampleur du phénomène.
4.2 Techniques
Les contrôles de sécurité destinés à endiguer les codes malveillants se
sont montrés efficaces pendant un temps. Cependant, cela a eu pour
résultat d’obliger les pirates à être plus créatifs et du coup en 2007 la
plupart des menaces ont gagné en discrétion et en sophistication.
On classe ce type de menace suivant 3 critères principaux communément
admis aujourd’hui, bien que certaines menaces peuvent, suivant
l’interprétation qui en est faite, être rangées dans une catégorie ou une
autre :
• Mécanisme de propagation : permet comme son nom l’indique de
propager la menace.
• Mécanisme de déclenchement : c’est la condition qui doit être
remplie pour que la charge utile entre en action, qu’on appelle aussi
bombe logique.
• Charge utile : c’est la partie du programme qui contient
véritablement l’action malveillante.
Une règle d’or est qu’un logiciel malveillant doit être exécuter pour être
dangereux. Il a donc besoin de votre aide, mais utilise parfois certaines
facilités de votre système d’exploitation pour s’activer automatiquement.
Il est donc nécessaire d’avoir connaissance de ces mécanismes pour
comprendre quand il y a danger et quand on ne risque rien. Ou tout
33
Rappel sur les virus de messagerie www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/
27/123
simplement pour comprendre l’intérêt des fenêtres qui pose la question de
savoir si l’on veut bien exécuter telle ou telle action.
Ces mécanismes sont entre autres :
•
•
•
•
Exécution de macro-langages dans les documents
Exécution automatique [autorun] d’un cédérom ou d’une clé USB
Ouverture et exécution automatique de courriel au format HTML
Exécution de code dynamique sur les sites web
Cependant, une nuance est à apporter car un programme anodin mais
comportant une faille de sécurité peut constituer une menace.
4.2.1
Vecteurs d’infection/Transmission
Le malware est un fichier exécutable. Donc toute donnée inerte i.e. qui ne
contient pas de code exécutable par la machine ne peut constituer une
menace en ce sens. Sauf si elle est lu par exécutable lui-même buggé et
présentant une faille de sécurité.
C’est pourquoi il peut être utile de reconnaître les extensions courantes de
programmes exécutables et donc susceptibles de contenir un virus.
Ci-dessous un tableau récapitulatif des extensions exécutables Windows :
28/123
34
Attention toutefois à ne pas se faire abuser par un réglage qui permet de
masquer les extensions connues (justement celles précitées) car dans ce
cas le fichier nommé « un_nom_qui_donne_envie_de_cliquer.jpg.exe »
apparaîtra sans l’extension « .exe ».
Seul le mode « Détail » le fera apparaître avec le type « Application »
indiquant qu’il s’agit bien d’un exécutable et nom d’une image.
De même un nom du type
« un_nom_qui_donne_envie_de_cliquer.jpg
.exe »
pourra abuser l’utilisateur en l’incitant à cliquer croyant qu’il ne court
aucun risque.
34
Tableau
issu
d’un
cours
coursgratuits.net/securite/ordinateur3.php
sur
la
sécurité
informatique
cf.
29/123
Il est à noter que sous Linux un fichier doit acquérir des droits en
exécution explicites, qui ne peuvent être donnés que par l’utilisateur. Ce
dernier procède donc à une démarche volontaire. De plus Linux ne
fonctionne pas comme Windows sur la base d’extensions de fichiers, mais
se fie au « Magic Number », qui est une donnée intrinsèque au fichier
renseignant sur sa finalité (image, binaire, document quelconque).
Les vecteurs permettant aux malware de pénétrer dans votre machine
sont principalement les suivants :
•
•
•
•
•
Courriel : via les pièces jointes
Navigation sur des sites web à haut risque d'infections
Ingénierie sociale
Faux codec
Piratage
o Crack et keygen (qui sont des exécutables)
o Warez en tout genre (mp3, avi, etc.)
• Logiciel gratuit
• Rogue (faux logiciel de sécurité)
• Messagerie instantanée
Aujourd’hui il est devenu difficile de savoir lorsqu’on est infecté car les
malwares se font de plus en plus discrets. Certains indices peuvent malgré
tout éveiller les soupçons :
• Programmes qui se lancent au démarrage
• Occupation CPU importante alors que l’ordinateur n’est pas utilisé
• Trafic réseau sans raison
Ces indicateurs, difficiles à considérer tant il y a d’activité normales
échappant à notre contrôle ne remplacent pas l’utilisation de logiciels de
protection adéquats.
4.3 Prise de contrôle à distance
Les malware entrant dans cette catégorie pourraient très bien appartenir
aux chapitres suivants, notamment « Menaces financières » suivant
l’utilisation qui en ait faite.
4.3.1
Cheval de Troie/Troyen [Trojan horse]
Comme dans la mythologie grecque ce programme se
présente sous des dehors aguicheurs, incitant
l’utilisateur à l’exécuter afin de pouvoir lancer un code
malicieux.
Contrairement au vers et virus il ne cherche pas à se
propager.
30/123
Un cheval de Troie (informatique) est donc un programme caché dans un
autre qui exécute des commandes sournoises, et qui généralement donne
un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte
dérobée [backdoor].
Le champ d’action d’un tel logiciel n’est limité que par l’imagination de son
concepteur et peut par exemple :
• voler des mots de passe
• copier des données sensibles
• exécuter toute autre action nuisible
Détecter un tel programme est difficile car il faut arriver à détecter si
l'action du programme (le cheval de Troie) est voulue ou non par
l'utilisateur.
Le principe des chevaux de Troie étant généralement (et de plus en plus)
d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre
le contrôle (par exemple voler des données personnelles stockées sur le
disque), le but du pirate est dans un premier temps de compromettre
votre machine en vous faisant ouvrir un fichier infecté contenant le troyen
et dans un second temps d'accéder à votre machine par le port qu'il a
ouvert.
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit
généralement en connaître l'adresse IP.
Donc, soit vous avez une adresse IP fixe (cas d'une entreprise ou bien
parfois de particuliers connecté par câble, etc.) auquel cas l'adresse IP
peut être facilement récupérée, soit votre adresse IP est dynamique
(affectée à chaque connexion), c'est le cas pour les connexions par
modem, auquel cas le pirate doit scanner des adresses IP au hasard afin
de déceler les adresses IP correspondant à des machines infectées. Mais il
peut agir de manière moins discrète et de lui-même contacter un serveur
pour vous identifier.
Pour se protéger de ce genre d'intrusion, il suffit d'installer un pare-feu
[firewall], c'est-à-dire un programme filtrant les communications
entrantes et sortantes de votre machine.
Si un programme dont l'origine vous est inconnue essaye d'ouvrir une
connexion, le firewall vous demandera une confirmation pour initier la
connexion. Il est essentiel de ne pas autoriser la connexion aux
programmes que vous ne connaissez pas, car il peut très bien s'agir d'un
cheval de Troie.
4.3.2
Exploitation de faille [Exploit]
31/123
Cette technique utilise les vulnérabilités d’un système ou d’un logiciel pour
commettre des actions à priori interdites. Ces failles de sécurité sont en
faite des erreurs ou oublis lors de la programmation, qui une fois
découverts peuvent parfois être exploités à des fins frauduleuses.
La catégorie des exploits « zero day » s’est spécialisée dans l’utilisation de
ces failles de sécurité dans les premières heures de leur découverte.
Indiquant ainsi la professionnalisation de ce type d’activité et démontrant
que dans cette cyber-guerre un des atouts majeurs est la rapidité.
En effet, face aux multinationales de la sécurité dont les produits équipes
de nombreux ordinateurs, seule la rapidité permet d’outrepasser les
protections avant que celles-ci ne soient mises à jour.
4.3.3
Kit racine [Rootkit]
Ce type de malware s’attaque directement au cœur du système
d’exploitation du poste, afin de contourner les restrictions de sécurité du
système.
Un rootkit peut également camoufler d’autres malwares.
Généralement il s’interface entre les programmes légitimes et les
commandes de bas niveau, livrant ainsi en réponse à des requêtes
légitimes les réponses de son choix.
En 2005, Sony à distribué des cédéroms qui installaient un rootkit à l’insu
de leur propriétaire afin de collecter des informations personnelles. La
controverse qui s’en est suivie a permis une prise de conscience
concernant ce type de menace.
4.4 Vol d’informations
Certains malwares se sont spécialisés dans le vol d’informations.
Une fois introduit sur une machine, il leurs est aisé d’espionner les
agissements de l’utilisateur et d’envoyer à son insu les informations
collectées.
Ces informations peuvent être de tout ordre, mais permettent
généralement de cibler les habitudes des internautes à des fins
publicitaires.
4.4.1
Enregistreur de frappe/écran
[Keylogger/Screenlogger]
Le but de ces techniques est essentiellement le vol d’identifiants et de
mots de passes.
Les screenloggers permettent en plus des données du clavier et de la
souris, d’enregistrer en simultané des captures d’écrans, associant ainsi
un clic clavier ou souris à un écran particulier.
Ce type de malware permet ainsi de contourner les systèmes de sécurité
utilisés par certains sites web, où les utilisateurs sont amenés à
32/123
s’authentifier sur un clavier virtuel à l’écran, ce qui est une méthode
justement mise en place pour contourner les keyloggers.
Actuellement, la banque postale35 propose une technique de clavier
virtuelle où le simple passage de la souris sur les touches provoque la
saisie du code, déjouant ainsi les 2 techniques précitées.
4.4.2
Espiogiciel/Mouchard [Spyware]
La confidentialité de la navigation sur Internet est souvent illusoire et
certaines informations récoltées sont plus intrusives que d'autres. Pour
récolter des informations pouvant être utilisées à des fins commerciales
ou à des fins moins avouables, certains éditeurs ont recours à des
spywares.
Un espiogiciel est un programme chargé de recueillir des informations sur
l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc
parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui
permettre de dresser le profil des internautes (on parle de profilage).
Les récoltes d'informations peuvent ainsi être :
•
•
•
•
•
la traçabilité des URL des sites visités
le traçage des mots-clés saisis dans les moteurs de recherche
l'analyse des achats réalisés via internet
les données bancaires
des informations personnelles.
Les spywares s'installent généralement en même temps que d'autres
logiciels (la plupart du temps lors de téléchargements de freewares ou
sharewares). En effet, cela permet aux auteurs des dits logiciels de
rentabiliser leur programme gratuit, par de la vente d'informations
statistiques. Il s'agit donc d'un modèle économique dans lequel la gratuité
est obtenue contre la cession de données à caractère personnel.
Les spywares ne sont pas forcément illégaux car la licence d'utilisation du
logiciel qu'ils accompagnent précise que ce programme tiers va être
installé. En revanche étant donné que la longue licence d'utilisation est
rarement lue en entier par les utilisateurs, ceux-ci savent très rarement
qu'un tel logiciel effectue ce profilage à leur insu.
Par ailleurs, outre le préjudice causé par la divulgation d'informations à
caractère personnel, les spywares peuvent également être une source de
nuisances diverses :
35
Accéder à son compte www.labanquepostale.fr
33/123
•
•
•
•
•
consommation de mémoire vive
utilisation d'espace disque
mobilisation des ressources du processeur
plantages d'autres applications
gêne occasionnée par l'ouverture d'écrans publicitaires intempestifs
La principale difficulté avec les spywares est de les détecter. La meilleure
façon de se protéger est encore de ne pas installer de logiciels dont on
n'est pas sûr à 100% de la provenance et de la fiabilité. Notamment les
freewares, les sharewares dont c’est un mode de rémunération plus ou
moins caché en ce sens que généralement cette fonctionnalité apparaît
dans la licence dont la lecture nous apparaît souvent comme superflue.
D’ailleurs, les systèmes Windows récents
alertent avant chaque
installation qu’il convient de se poser la question de la provenance du
programme qu’on est sur le point d’installer.
En plus des confirmations de l’environnement Windows, certains logiciels
demandent d’eux même une confirmation, comme pour nous rassurer,
mais rien n’empêche le concepteur du programme d’effectuer la même
action que l’on clique sur « Accepter » ou « Annuler ».
Qui plus est, la désinstallation de ce type de logiciels ne supprime que
rarement les spywares qui l'accompagnent. Pire, elle peut entraîner des
dysfonctionnements sur d'autres applications.
Dans la pratique il est quasiment impossible de ne pas installer de
logiciels. Ainsi la présence de processus d'arrière plans suspects, de
fichiers étranges ou d'entrées inquiétantes dans la base de registre
peuvent parfois trahir la présence de spywares dans le système.
La solution à privilégié reste les anti-spywares, dont j’indiquerais quelques
références dans le chapitre « Solutions/Anti-spyware », conjugué avec un
pare-feu qui permet d'une part de détecter la présence d'espiogiciels,
d'autre part de les empêcher d'accéder à Internet (donc de transmettre
les informations collectées).
4.5 Menaces financières
Certaines malwares ont pour but unique
d’extorquer de l’argent par divers moyens plus ou
moins discrets.
4.5.1
Composeur téléphonique [Dialer]
Un dialer n'est ni plus ni moins qu'un programme chargé de composer des
numéros de téléphone depuis votre ordinateur. Habituellement vous
l'utilisez afin d'établir votre connexion internet, mais, si on lui en donne
34/123
l'ordre, il peut aussi bien composer depuis votre machine n'importe quel
numéro en passant par votre ligne téléphonique, par exemple des
numéros surtaxés à votre insu.
4.5.2
Rançonnage [Ransonware]
Comme leur nom l’indique ces programmes une fois installé sur votre
demande une rançon après avoir effectué certaines opérations.
Ils cryptent ou effacent vos fichiers si vous ne réaliser pas un achat sur un
site complice.
Cela démontre une fois encore l’utilité d’avoir des sauvegardes.
4.6 Nuisances diverses
Mais les malware peuvent aussi prendre diverses formes.
4.6.1
Escroc [Rogue]
C’est un type de malware particulier, en ce sens que son apparence même
fait appel à l’ingénierie sociale, puisqu’il se présente sous la forme d’un
logiciel justement sensé vous protéger ou vous débarrasser des logiciels
malveillants.
N’hésitez pas à consulter cette liste de plus de 1.000 logiciels crapuleux
jouant sur la peur pour que vous achetiez et installiez à votre insu un
malware :
• Logiciels inutiles ou piégés ou trompeurs ou crapuleux (ne pas
utiliser, ne pas acheter, ne pas tester) :
o assiste.com.free.fr/p/craptheque/craptheque.html
4.6.2
Mulet [Piggyback]
Il s’agit de codes malicieux intégrés dans un logiciel tout à fait légitime, ou
plus simplement d’une action malicieuse induite par un fichier.
Par exemple, une vidéo peut nécessiter l’installation d’un codec particulier,
qui en s’installant déposera un malware.
En cela, ce type de menace s’apparente à de l’ingénierie sociale.
4.6.3
Pirate de navigateur [Browser Hijacker]36
Il s’agit d’un script qui s’exécute suite à la visite d’un site malveillant, dont
le but est de modifier les paramétrages de votre navigateur de manière à
vous diriger vers certains sites.
36
Hijack - Hijacker – Hijacking assiste.com.free.fr/p/abc/a/hijack_hijacker_hijacking.html
35/123
Les réglages qui peuvent être modifiés sont multiples et parfois même
irréversibles par une altération des menus de votre navigateur (un
utilisateur éclairé pourra malgré tout récupérer sa configuration).
Ces modifications peuvent toucher les points suivants :
•
•
•
Page de démarrage
Page de moteur de recherche par défaut
Ajout de favoris à votre insu
Tout cela à pour but que vous visitiez certains sites web, le plus souvent
simplement pour augmenter le trafic de ces sites et ainsi les revenus liés à
la publicité.
4.6.4
Publiciel [Adwares]37
Des logiciels s'installent parfois à l'insu de l'utilisateur afin de l'orienter
dans sa navigation. Ils ont généralement une vocation commerciale mais
peuvent aussi altérer la sécurité du poste ou du réseau.
4.6.5
Téléchargement forcé [Drive-by download]
Il s’agit de l’exploitation des failles des navigateurs pour l’installation
automatique de malwares.
Il n’est plus besoin de passer par l’ingénierie sociale pour forcer
l’utilisateur à accepter une installation, cela se fait complètement à son
insu.
4.6.6
Vers [worm]
Le vers à l’instar du virus n’a pas besoin d’un programme hôte pour se
propager, il se suffit à lui-même, mais les motivations et les possibilités
sont identiques.
C’est en 1988 qu’est apparu le premier vers dénommé Morris38 (du nom
de son créateur), création d’un étudiant exploitant des failles de sécurité.
A l’origine inoffensif, malgré son intention de se dupliquer sur le réseau, le
programme comportait une erreur de programmation (bug), qui a
provoqué une « surinfection » (engorgement du réseau et des machines
contaminés) provoquant un effondrement des systèmes par saturation,
dévoilant ainsi sa présence et créant des dommages considérables.
Cet évènement a participé à la prise de conscience collective de la
vulnérabilité des systèmes d’information.
37
38
Publiciel fr.wikipedia.org/wiki/Publiciel
Morris (ver informatique) fr.wikipedia.org/wiki/Morris_(ver_informatique)
36/123
Un ver est un programme qui peut s'auto reproduire (contrairement au
cheval de Troie qui lui n a pas cette fonction) et se déplacer à travers un
réseau en utilisant les mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique (disque dur, programme hôte, fichier)
pour se propager.
Les vers actuels se propagent principalement grâce à la messagerie grâce
à des fichiers attachés contenant des instructions permettant de récupérer
l'ensemble des adresses de courrier contenues dans le carnet d'adresse et
en envoyant des copies d'eux-mêmes à tous ces destinataires.
Ces vers sont la plupart du temps des scripts ou des fichiers exécutables
envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire
clique sur le fichier attaché.
4.6.7
Virus39
Du fait de l’amalgame de cette dénomination de
nombreux programmes malveillant qui sont
traités par ailleurs, j’évoquerais ici simplement
les différents aspects de ce que sont réellement
les virus informatique dans leur dénomination
stricte.
Selon la définition donnée par Fred Cohen, le premier chercheur qui a
décrit le phénomène dans une thèse publiée en 1985, le virus est un
programme informatique capable d'infecter d'autres programmes en les
modifiant afin d'y intégrer une copie de lui-même qui pourra avoir
légèrement évolué. A la manière de son frère biologique, il se reproduit
rapidement à l'intérieur de l'environnement infecté sans que le porteur
(l'utilisateur) en ait conscience. Indépendamment de sa fonction
reproductive, le virus contient généralement une charge qui peut causer
des dégâts insignifiants ou redoutables. Mais il ne peut pas agir de façon
autonome car le programme infecté doit être exécuté pour devenir actif.
L’illustration ci-dessous représente l’empilement des fonctions de base
d’un virus détaillées dans la suite :
• Séquence de camouflage : facultative, permet au virus d’avoir une
durée de vie plus longue
• Séquence de commande : c’est la charge utile du programme, sa
raison d’être
• Condition : ce sont les circonstances de déclenchement
• Séquence de reproduction : c’est la partie du code qui assure la
survie par propagation
39
Virus informatique fr.wikipedia.org/wiki/Virus_informatique
37/123
40
Il existe une multitude de modes de propagation des virus, dont voici les
plus courants :
• Blindé : c’est un virus qui utilise des techniques spéciales, pour que
son désassemblage et la compréhension de son code soient plus
difficile
et
pour
rendre
son
fonctionnement
quasiment
incompréhensible. La motivation de leurs auteurs restant floue, il est
plus difficile de s’en prémunir.
• Cavité : c’est un virus qui écrase une partie du fichier hôte qui est
constitué d'une constante (en général, des 0) sans augmenter la
taille du fichier et tout en préservant sa fonctionnalité, afin de mieux
se dissimuler aux yeux des anti-virus.
• Compagnon : c’est un virus qui, au lieu de modifier un fichier
existant, crée un nouveau programme qui est exécuté à l'insu de
l'utilisateur au lieu du programme voulu. Le programme original est
ensuite exécuté de telle sorte que tout apparaît normal à
l'utilisateur. Les anti-virus qui ne cherchent que les modifications
apportées aux fichiers existants (vérificateurs d'intégrité) ne
détecteront pas ce type de virus.
• Compte-goutte : c’est un programme conçu pour installer un virus
sur le système visé. Le code du virus est en règle générale contenu
dans ce programme de telle manière qu'il ne sera pas détecté par
un anti-virus qui, dans d'autres circonstances, détecte ce virus (le
compte-gouttes n'est pas infecté par ce virus).
• Furtif : c’est un virus qui, lorsqu'il est actif, dissimule les
modifications apportées aux fichiers ou au secteur de boot. Cette
méthode permet au virus de ne pas être détecté par les utilitaires
40
Les virus informatiques www.futura-sciences.com/fr/doc/t/informatique-2/d/les-virusinformatiques_28/c3/221/p2/
38/123
anti-virus qui recherchent des modifications éventuelles apportées
aux fichiers. Néanmoins, pour que cela soit possible, le virus doit
être actif en mémoire résidente, ce qui est détectable par les antivirus.
• Polymorphe : c’est un virus qui produit des copies variées de luimême, mais qui restent opérationnelles. Cette stratégie a été mise
au point dans l'espoir que les utilitaires anti-virus ne puissent pas
détecter toutes les variantes du virus et/ou ne puissent pas produire
de signatures dans des délais raisonnable, laissant ainsi tout le
temps nécessaire au virus d’opérer.
Parallèlement à ces différents types de propagation, les virus se
différencient également par leur vitesse de réplication :
• Normal : le virus infecte les programmes au fur et à mesure que ces
derniers sont exécutés.
• Rapide : le virus lorsqu'il est activé en mémoire, infecte non
seulement le programme qui est exécuté mais également ceux qui
sont simplement ouverts. Le résultat est que, si on lance un scan
anti-virus ou un vérificateur d'intégrité, tout ou partie des
programmes seront infectés.
• Lent : Cela fait référence aux virus qui n'infecteront des fichiers que
s'ils sont modifiés ou créés. Le but est de faire croire aux utilisateurs
de vérificateurs d'intégrité que les rapports de modifications sont
dus à des raisons légitimes.
• Occasionnel : le virus infecte de manière sporadique (par exemple, 1
programme exécuté sur 10, programmes dont la taille dépasse un
certains nombres d'octets, etc.). En infectant moins souvent, ces
virus réduisent la probabilité d'être découverts.
Mais les virus ne s’en tiennent pas simplement à cette description.
Le virus étant un programme, il faut que son hôte soit exécuté pour qu’il
s’active, ce qui signifie qu’un virus peut rester inerte sans danger si l’on
est conscient de sa présence dans un programme. Une nuance est à
apporter cependant, car certains documents comme les feuilles de tableur
se sont vu doté au cours de leur évolution de fonctionnalités visant à les
rendre interactives via des macro-langages et tout naturellement sont
apparues les macro-virus.
Par rapport aux virus décrits ci-dessus, les macro-virus constituent une
catégorie à part. En effet, ces virus ne sont pas spécifiques à un système
d'exploitation et infectent indifféremment des ordinateurs tournant sous
Windows, Macintosh ou Linux. De plus, ces virus n'infectent pas des
programmes mais des documents.
A leurs débuts, ces virus étaient sans danger et se contentaient d'afficher
des boites de dialogues de manière inopinée. Aujourd'hui certains de ces
virus ont un but destructeur et peuvent aller jusqu'à l'effacement pur et
simple de fichiers. C’est pourquoi par défaut la fonctionnalité d’exécution
39/123
des macro-langages est souvent désactivée et demande votre accord
avant de se lancer.
40/123
5 Courrier indésirable/Pourriel [Spam]41
5.1 Définition
On appelle « spam » l’envoi répété de courriers
électroniques non sollicités, le plus souvent à but
commercial, à des personnes dont l’adresse
électronique a été captée de façon irrégulière sur
des sites web, des forums de discussion, des
annuaires…, et qui n’ont jamais consenti à les
recevoir.42
Ce type de courrier peut être décliné en 2
catégories :
1. Les envois de masse [Unsolicited Bulk Email
(UBE)]
2. Les courriers commerciaux [Unsolicited Commercial Email (UCE)]
Communément appelé « junk mail », le terme de référence reste
« spam », francisé par pourriel, contraction de poubelle et courriel. Le mot
« pourriel » a été créé par l’office québécois de la langue française en
1997 pour traduire le terme anglais de « spam ». Il a été rejeté par
l’Académie française parce que trop proche de « courriel », la terminologie
francophone utilisée pour e-mail.
La détermination du spam se fait sur un critère de volume et de loyauté
de la collecte des adresses. En effet, certaines démarches de publipostage
[emailing] sont tout à fait légales et il est parfois difficile de faire le tri
parmi toutes les sollicitations reçues par courriel de celles qui relèvent
effectivement du spam. Je reviendrais sur ces nuances subtiles dans le
chapitre « Législation ».
Le but premier du spam est de faire de la publicité à moindre frais par
envoi massif de courrier électronique non sollicité.
Les spammeurs prétendent parfois, pour leur défense, que le courrier est
facile à supprimer, et qu'il est par conséquent un moyen écologique de
faire de la publicité. Mais devant l’ampleur du phénomène certaines
études montrent qu’en dehors du coût du spam, celui-ci à aussi une
empreinte écologique équivalente à plusieurs millions de véhicules (détails
dans le chapitre « Chiffres »).
Le but est soit de vendre un produit, soit d’inciter à cliquer sur un lien qui
finira par infecter l’ordinateur et servira ensuite de diverses manières.
41
42
Pourriel fr.wikipedia.org/wiki/Pourriel
Définitions www.cnil.fr/dossiers/conso-pub-spam/halte-au-spam/definitions/
41/123
Peu de gens donne suite, que ce soit en achetant un produit ou en
cliquant sur un lien. Mais même avec un très faible taux de réponse, au vu
du nombre de messages envoyés pour un coût quasi nul, l’opération reste
rentable. Comme nous le verrons plus loin dans le chapitre
« Solutions/Règles d’or », ne pas donner suite aux spams reste un moyen
de lutte efficace contre ce fléau.
Le principal inconvénient du spamming, en dehors de la gêne occasionnée
pour l’utilisateur, est l'espace qu'il occupe sur le réseau, utilisant
inutilement une bonne partie de la bande-passante, rendant internet
moins rapide, et induisant des coûts de structure supplémentaires pour les
Fournisseurs d'Accès à Internet (FAI), et indirectement à leurs abonnés,
car ils doivent :
•
•
•
•
Mettre en place une plus grande largeur de bande
Acheter des serveurs supplémentaires
Disposer d'un plus grand espace de stockage
Engager du personnel supplémentaire et le former
De plus, en suscitant la méfiance des utilisateurs à l’égard du courrier
électronique et de l’internet, le « spam » est un obstacle au
développement de la société de l’information. 43
Aujourd’hui tous les acteurs et utilisateurs d’internet sont unanimes pour
considérer que le spam est un vrai fléau. Il dépasse le cadre du courrier
électronique pour envahir les forums, les blogs, les messageries
instantanées et autres lieux d’expression ouvert au publique.
L’explosion des réseaux sociaux, tel Facebook, permettent, après
usurpation d’identité, de contacter leurs adhérents avec plus de chance de
les convaincre d’ouvrir les courriels frauduleux, ceux-ci semblant venir
d’un contact connu. De plus les possibilités de partage de petites
applications ludiques sont autant de vecteurs d’infections.
Encore une fois l’ingénierie sociale est utilisée par s’assurer que ces
courriers touchent un maximum de cibles. En effet, les rédacteurs de
messages, peu scrupuleux, utilisent des faits d’actualité brulant, qu’elle
soit locale à un pays comme la loi Hadopi en France ou internationale
comme le crash d’un avion médiatisé ou encore la mort de Michael
Jackson pour inciter les gens à cliquer sur des liens prometteurs.
Par exemple, profitant de l’engouement autour de la mort de Michael
Jackson au niveau planétaire, des spams sont apparus très rapidement
43
Ministère de la culture et de la communication, Direction du développement des
médias www.ddm.gouv.fr/rubrique.php3?id_rubrique=69
42/123
invitant à cliquer sur un lien permettant d’accéder à une vidéo montrant le
corps de l’artiste défunt, mais menant en fait vers un site malveillant.44
D’autres, profitant de l’annulation de sa tournée ont utilisé l’aubaine pour
récolter des informations bancaires, prétextant un remboursement des
billets de concert.45
5.1.1
Historique46
Le terme « spam » vient d’un sketch des Monty Python dans lequel le mot
est répété à l’infini avant d’être repris en chœur dans une chanson. Datant
de 1975, ce classique de l’émission de la BBC Monty Python’s Flying Circus
parodie une publicité ringarde pour un pâté de jambon en gelée bas de
gamme, appelé Spam, pour Spiced ham (« jambon épicé »). C’est à la
fois à cause de la répétition qui tourne à l’absurde, mais aussi en souvenir
de la fadeur indigeste du produit, que les messages électroniques
publicitaires qui inondent les boîtes mails ont fini par être baptisés ainsi.
L'histoire veut d'ailleurs que le sketch en question ait été inspiré par une
publicité anglo-saxonne pour la dite boite de jambon, dans laquelle son
nom "spam" était répété de nombreuses fois.
Le spam est né en 1978, quand Gray Thuerk a l’idée de récupérer les
adresses de 600 utilisateurs de l’Arpanet, réseau alors utilisé par le
gouvernement et les universités, pour leur envoyer le même mail. Il est
considéré comme le père du spam.
Le premier envoi massif commercial date de 1994, lorsque 2 avocats
américains, Laurence Canter et Martha Siegel, envoient cette année-là des
millions de mails aux immigrants cherchant à vivre aux États-Unis. Cette
campagne, qui leur aurait rapporté 100 000 dollars, est considérée
comme le premier envoi massif commercial.
5.1.2
Chiffres
Aujourd’hui on est bien loin de ces premiers chiffres.
Il est assez difficile d’avoir des statistiques précises, car le phénomène est
complexe, sujet à polémique et les détenteurs de chiffres sont souvent
des sociétés privés qui pourraient modifier légèrement les résultats pour
44
Mort de Michael Jackson : les spammeurs en profitent
www.journaldunet.com/solutions/breve/virus/40286/mort-de-michael-jackson---lesspammeurs-en-profitent.shtml
45
State of Spam - A Monthly Report - July 2009 Report #31 (p. 2) www.magsecurs.com/IMG/pdf/Symantec_State_of_Spam_and_Phishing_Report_-_juin_09.pdf
46
Quelques données essentielles sur le spam, par Astrid Girardeau www.ecrans.fr/Spama-savoir,1913.html
43/123
aller dans le sens de leur produit. De plus leurs données ne sont issues
que des spams qui tombent dans leurs filets.
100 milliards !
Selon un numéro d’août 2007 du magazine américain New Yorker, c’est la
quantité de courriers électroniques non désirés envoyés chaque jour dans
le monde.
Les spams représentent environ 80 % de l’ensemble des mails qui
s’échangent dans le monde, soit 62 milliards de spams en 2008.47 Ils
concernent principalement les produits pharmaceutiques, les services sur
Internet, les produits financiers, les jeux d’argent en ligne et divers type
de fraudes.
« La prolifération du spam au cours des dernières années est un fait avéré
et préoccupant. La part du spam était évaluée, dans une étude de Pew
Internet & American Life d’octobre 2003, à 50% du trafic email total. A
l’heure actuelle, les estimations basses des différents instituts et
entreprises ne descendent pas en dessous des 80 % (MessageLabs, qui
commercialise des solutions pour messageries, avance le chiffre de 86,2
% à fin 2006). Certains avancent le chiffre de 16 milliards pour le nombre
de spams routés chaque jour en Europe (Radicati, octobre 2006). Selon le
ministère de l’économie, le coût des courriers électroniques non sollicités a
été estimé à 39 milliards d’euros au niveau mondial. En Europe, il a été
estimé à environ 3,5 milliards d’euros en Allemagne, 1,9 milliards d’euros
au Royaume-Uni et 1,4 milliards d’euros en France. »48
Un rapport datant du mois de juillet 2009 et émanant de Symantec
annonce même 90% de spam.
47
Rapport sur l'empreinte carbone du spam dans les messageries (p. 1)
www.3dcommunication.fr/pdf/EmpreinteCarboneSpam.pdf
48
44/123
49
Le spam est un phénomène mondial où les États-Unis tiennent le haut du
podium depuis plusieurs années.
Ci-dessous la répartition sur le dernier mois des émissions de spam :
50
Le spam qui nous apparaît virtuel passe tout de même par des relais
physique et consomme de l’électricité, sans compter les actions humaines
qu’il engendre.
49
50
45/123
D’ailleurs, d’après une étude de McAfee les spams polluent. 51
L'empreinte carbone laissée par les spams à l'échelle mondiale équivaut
aux rejets de CO2 de plus de 3 millions de voitures selon un rapport de
McAffee. Les 62 milliards de spams envoyés en 2008 dans le monde
représenteraient ainsi 17 millions de tonnes de CO2 (0,2% des émissions
mondiales).
Pour arriver à de tels résultats, l'étude prend en compte l'énergie annuelle
nécessaire à la création, l'envoi, la réception, le stockage et la
consultation des spams. La part la plus énergivore serait l'affichage et la
suppression des messages.
L'ampleur du phénomène, s’explique simplement par le fait que l'envoi de
spam a un coût quasi nul pour l’émetteur et que tous les coûts sont
supportés par le destinataire et son fournisseur d’accès.
Le coût d'un spam électronique en comparaison de celui d'une publicité
papier est vraiment dérisoire.
Ce qui explique les résultats suivant qui sont éloquents :
52
Les réactions face au spam sont aussi démonstratives d’une certaines
résignation et d’un manque de compréhension du phénomène :
51
52
Le spam omniprésent au quotidien
www.journaldunet.com/solutions/securite/dossier/08/0423-enquete-lecteurs-spam-etantispam/2.shtml
46/123
53
En effet, on constate la résignation dans le faible taux de personnes qui
tentent une action, certainement du au manque d’information sur les
possibilités de plaintes qui en s’accumulant permettent des actions en
justices.
Mais aussi, par le nombre de personnes qui tentent de filtrer ces
messages indésirables on note un manque d’information sur les
techniques employées par les spammeurs qui devraient faire comprendre
la quasi inutilité d’une telle démarche.
Le coût de gestion des spams par les entreprises est colossal.
Si l’on considère qu’un utilisateur passe en moyenne 5 à 10 minutes pour
supprimer ses spams, ce temps perdu en équivalent salaire coûte 13,5
milliards d’euros aux entreprises du monde entier. A ce coût indirect (car
le temps passé à la gestion des spams n’est pas utilisé à des tâches plus
productives), il convient de rajouter les coûts directs : les pertes de
données résultants des effets des spams ou d’erreurs humaines réalisées
à l’occasion de leur suppression.54
5.2 Techniques
Le Spam qui est aujourd’hui reconnu comme un, si ce n’est le plus grand
vecteur d’infection des ordinateurs avec des programmes malicieux.
Il est nécessaire de revenir sur la base technique de ce phénomène pour
en comprendre les contraintes et limites, à savoir le fonctionnement des
53
Le découragement face au spam ?
www.journaldunet.com/solutions/securite/dossier/08/0423-enquete-lecteurs-spam-etantispam/12.shtml
54
Source IronPort
47/123
messageries électroniques, et notamment le protocole d’échange de
message électronique SMTP.
5.2.1
SMTP55
Le protocole SMTP, pour Simple Mail Transfer Protocol, a été créé en
1982, bien avant l’explosion d’Internet. L’objectif de ce protocole était
d’assurer une livraison maximale.
Les préoccupations actuelles sur l’utilisation malveillante du courriel
étaient alors inexistantes.
C’est pourquoi aucune mesure d’intégrité stricte ne fait partie de la
définition du protocole.
Le laxisme entourant l’implémentation de ce protocole rend inapplicable
certaines solutions basiques visant à exiger une authentification avant
l’acceptation d’un courriel.
SMTP est un protocole peu sécurisé qui n'intègre pas de système
d'authentification.
5.2.2
Filtrage
Pour éviter que leurs spams ne soient filtrés et donc perdus, les
spammeurs doivent faire face à plusieurs problèmes :
• Éviter les filtres de contenu : on verra qu’une technique à la mode
est le spam image
• Éviter les filtres à base de réputation : si on sait qu’une personne ou
un ordinateur envoie des spams il suffit de ne plus accepter ces
messages
Un des sports favoris des spammeurs est donc de falsifier la provenance
de leurs messages, et pour cela plusieurs techniques ont été mises au
point.
On peut infecter de nombreux ordinateur à l’aide de chevaux de Troie afin
d’en prendre le contrôle au sein d’un réseau d’ordinateurs zombies
[botnet], et ainsi d’envoyer des mails semblant provenir d’une multitude
d’endroits.
Mais on peut aussi tout simplement envoyer les spams depuis des
adresses légitimes mais anonymes qui sont fournies gratuitement sur
internet. Cependant comme ces adresses sont limitées dans leur nombre
d’envois il faut en créer de nombreuses. Et pour endiguer ce phénomène,
les fournisseurs d’adresses email afin d’éviter qu’un robot (un
programme) puisse effectuer cette tâche, subordonne l’attribution d’une
adresse au fait de répondre à un captcha. La parade des spammeurs ne
55
Le protocole SMTP traduit abcdrfc.free.fr/rfc-vf/rfc821.html
48/123
s’est pas faite attendre, en effet afin d’obtenir ces indispensables adresses
émettrices de spams il aurait fallu une armée d’humain pour répondre à
ces énigmes (captcha). Qu’a cela ne tienne les internautes le feront à leur
insu en y répondant pour accéder à des sites à contenu aguicheur. Le
pirate n’aura plus alors qu’à récolter les réponses automatiquement et à
créer ses adresses.
5.2.3
Adresse de rebond [Bounce address]56
Il s’agit d’email de non-délivrance émis par des serveurs de mails pour
indiquer à l’émetteur que son message n’a pas été remis. Ce type de
message très souvent en anglais donne les raisons de la non délivrance.
Ce ne sont pas des spams, puisqu’ils sont théoriquement légitimes.
Cependant étant donné que beaucoup de spammeurs usurpent l’identité
d’individus légitimes, il arrive que certains bounces vous parviennent alors
que vous n’êtes pas à l’origine du mail initial. Cela peut polluer votre boîte
aux lettres et donc s’apparenter à du spam.
5.2.4
Redirection d’erreur [DNS Backscatter]
Le problème évoqué plus haut n’a pas échappé aux spammeur, qui n’ont
pourtant pas d’intérêt à ce que ces messages vous parviennent. Dans le
cas des bounces il s’agit simplement d’un dommage collatéral.
Mais ce comportement des serveurs de mail peut être utilisé tout
autrement lorsque les mails en erreur sont en très grand nombre.
C’est le cas lors d’un pillage d’annuaire (cf. chapitre « Collecte d’adresse »
ci-après), ou d’innombrables mails sont envoyés au hasard générant donc
de nombreux bounces. Généralement l’émetteur des messages à falsifié
son adresse et ne sera pas importuné par ces retours, mais par contre il
peut indiquer une adresse de retour, ciblant ainsi un réseau (entreprise ou
autre) qui devant le déluge de bounces expérimentera une attaque par
déni de service.
Le spammeur fait donc d’une pierre 2 coups puisqu’il pille un annuaire et
demande implicitement à celui qu’il est en train de piller d’attaquer pour
son compte une tierce partie.
5.2.5
Collecte d’adresse
Recevoir un mail non sollicité et frauduleux qui cache sont origine
profitant des faiblesses d’un protocole inadapté aux besoins d’échange
sécuritaire de notre époque est une chose, mais comment font-il pour
obtenir autant d’adresse mail et comment ont-ils pu obtenir la mienne ?
56
Définition de BOUNCE www.altospam.com/glossaire/bounce.php
49/123
Cette question, tout le monde se la pose et il est essentiel de comprendre
ces mécanismes pour s’en défendre.
Par ailleurs, même une fois collectée une adresse n’est pas pour autant
rentable pour un spammeur, car il peut s’agir d’une adresse qui n’est plus
utilisée. C’est pourquoi la majorité des liens contenus dans un spam
contiennent une extension, plus ou moins camouflée, qui permet de savoir
qui est l’auteur de ce clic. En agissant de la sorte vous « accusez
réception » du spam, donnant ainsi à l’envoyeur une information
primordiale sur cette adresse, à savoir qu’un humain la consulte. Vous
aurez par la suite toutes les chances de voir le nombre de spams visant
cette adresse exploser.
5.2.5.1
Pillage d’annuaire [Directory Harvest]
Une telle attaque sert à identifier les adresses courriels valides d’un
domaine donné. Pour ce faire un spammeur envoie un grand nombre de
combinaisons d’adresses sur un domaine. Si aucun message d’erreur n’est
renvoyé alors l’adresse est validée.
5.2.5.2
Robot d’indexation [Crawler/Spambot]
Le crawler est un logiciel qui parcourt automatiquement le Web et qui
indexe les ressources rencontrées, comme le font les moteurs de
recherche.
Fonctionnant sur le même principe, certains robots d’indexation
malveillants [spambots] sont utilisés pour collecter des adresses
électroniques de manière déloyale sur les sites Web, les forums, les
newsgroups, etc.
5.3 Évolutions
Devant l’ampleur du phénomène, des techniques de plus en plus efficaces
ont été mises au point afin d’appliquer des filtres automatiques qui
redirigent automatiquement les spams en dehors de la boîte de réception
du destinataire.
Les spammeurs ont donc été contraints de s’adapter en innovant afin que
leurs messages atteignent leur cible dans des proportions compatibles
avec leurs objectifs.
Le spam afin de s’adapter aux mesures mises en place pour l’éradiquer est
contraint de s’adapter et d’évoluer. Mais il peut aussi en dehors de son
adaptation technique, évoluer avec les mœurs, les usages d’internet, et
les nouvelles possibilités techniques comme les appareils mobiles.
Ce chapitre explore les déclinaisons verticales des différents types de
spams.
50/123
Voici une liste de techniques qui sont apparu au fil du temps et qui
perdure encore aujourd’hui.
5.3.1
Arnaque par SMS [SMiShing]
Le SMiShing est tout simplement le même phénomène que le phishing,
mais transposé sur les téléphones mobile où l’on vous invite à cliquer sur
un lien ou plus simplement à envoyer un SMS sur un numéro surtaxé sous
des prétexte fallacieux.
5.3.2
Art ASCII [ASCII art]
Il s’agit d’une technique artistique remontant au début de l’ère
informatique consistant à agencer les caractères du clavier de sorte qu’il
forme une image.
L’exemple ci-dessous, bien que rudimentaire, rempli bien son rôle puisqu’il
est vecteur d’un message parfaitement clair pour un humain sans contenir
aucun mot clé qui puisse être filtré ni aucune image qui attire la suspicion.
De plus dans cet exemple, même s’il faudra au destinataire taper luimême l’URL du site à visiter, l’absence de lien ne permet pas d’identifier
un site de mauvaise réputation.
Les caractères utilisés peuvent être facilement remplacés par d’autres
avec le même effet visuel mais en changeant la signature du courriel, le
rendant difficile à identifier comme spam.
5.3.3
Hameçonnage vocal [Vishing]57
Comparable au phishing dans la finalité recherchée, le vishing incite la
victime à appeler un numéro vert en raison d'un problème supposé avec
sa banque.
Le numéro en question renvoie la victime vers un serveur vocal interactif.
Celui-ci, imitant le logiciel de connexion aux comptes en ligne, demande à
la victime de saisir ses codes de connexion personnels.
57
Vishing (Phishing et ingénierie sociale en Voix sur
assiste.com.free.fr/p/abc/a/vishing_phishing_sur_voip.html
IP
-
Skipe
Wengo...)
51/123
Les codes sont alors enregistrés et prêts à être utilisés pour une opération
frauduleuse.
Le terme de « vishing » est une contraction de « VoIP » (téléphonie par
Voix IP) et « phishing ».
Là encore c’est la gratuité des appels par VoIP qui rend ce type de
démarche rentable.
5.3.4
Spam image58
Il s’agit d’une évolution relativement récente et se généralisant du
phénomène spam qui commençait à être sérieusement endigué par les
nombreuses techniques mis en œuvre dans des outils de plus en plus
accessibles (abordées dans le chapitre « solutions »).
Les spammeurs se devaient d’y trouver une parade sans quoi, malgré le
nombre important de mails envoyés, leur taux de pénétration devenait
trop faible.
Afin de déjouer les filtres anti-spam, le texte a été remplacé par des
images. Une des incidences directe est l’augmentation de la bande
passante et donc l’amplification d’un des effets de bords de ce phénomène
mondiale.
De plus, bien que des techniques existent pour parer ce genre de spam,
celles-ci n’ont pas toujours été déployées tant à cause du coût des
solutions qu’à cause du coût humain d’un tel déploiement sans compter le
temps nécessaire pour généraliser ce type de réponse. Il en résulte que
les PME/PMI et les pays en voie de développement y sont plus exposés
que les autres.
Par ailleurs, là aussi les spammeurs innovent en modifiant très légèrement
les images, mettant ainsi à mal les techniques de checksum.
En effet, il suffit de quelques pixels placés aléatoirement sur l’image ou
encore de changer le niveau de couleur de la palette pour qu’une image
n’est plus la même signature. Par ailleurs, ces images étant généralement
constituées principalement de texte, une simple modification sur la police
de caractère avant de générer l’image produit un fichier techniquement
différent. Ou plus simplement une rotation de quelques degrés peut
produire les mêmes effets.
Ci-dessous un exemple d’image avec un fond aléatoirement modifié pour
tromper la détection à base de signature :
58
Spam image fr.wikipedia.org/wiki/Spam_image
52/123
59
On le voit bien ici, une course à l’innovation est en cours, qui ne change
pas à proprement parlé le problème, mais qui nécessite de déployer des
moyens toujours plus puissants (reconnaissance de forme, bande
passante saturée) dont les destinataires doivent assurer le coût.
5.4 Variantes
Initialement utilisé pour relayer un message au plus grand nombre à peu
de frais, et donc être rentable même avec un très faible taux de réponse,
l’utilisation principale des spams était l’envoi de publicité.
Mais devant un outil si puissant et si bon marché les tentations furent
grandes de l’employer pour appliquer d’autres techniques tenant plus de
l’escroquerie en passant par la désinformation, la rumeur ou encore
l’arnaque pur et simple.
Ce chapitre explore les déclinaisons horizontales des différents types de
spams.
Voici une liste des variantes de l’utilisation du spam.
5.4.1
Canular [Hoax]
Il s’agit d’une catégorie un peu à part, mais que j’ai classé dans les
spams, car le vecteur est un courriel et qu’il n’y a pas de programmes
malveillants associé.
De plus ce sont souvent des connaissances qui vous envoient ce genre de
message.
59
53/123
Cependant, cela peut parfois prendre une tournure dramatique lorsque le
canular évoque un risque imaginaire, prétendant qu’un fichier système est
infecté (sulfnbk.exe) et qu’il est urgent que vous l’effaciez.60
5.4.2
Fraude 419 [419 Scam]61
Aussi appelé escroquerie « à la nigériane », cela débute toujours par la
réception d’un courriel non sollicité, arborant un titre du genre "URGENT &
CONFIDENTIAL" ou "SERIEUX & CONFIDENTIEL". Il émane d'une veuve
d'officier, d'un médecin, d'un avocat, d'un grand patron ou encore d'un
soi-disant officiel important d’un gouvernement africain qui vous demande
de l'aide pour sortir illégalement une très grosse somme d'argent de son
pays. En échange, vous toucherez une commission sur cette somme. Il
vous suffit de donner votre numéro de compte en banque afin que l'argent
y soit versé.
Ce courriel que vous venez de recevoir n’a qu’un seul but : vous extorquer
de l’argent.
Si vous répondez favorablement à ce genre de mail, vous rejoindrez les
milliers de victimes déjà recensées de par le monde.
L'arnaque n'est pas nouvelle. Elle existait bien avant la popularisation
d'Internet et se faisait alors par courrier postal ou par fax. Ce genre de
lettre est apparu dans les années 80 en provenance du Nigéria, d’où son
nom.
Elle est aussi connue sous l’appellation « fraude 419 » car elle viole la
section 419 du code pénal nigérian qui réprime l'escroquerie.
Aujourd'hui, ces spams ne proviennent plus seulement du Nigéria mais
aussi des autres pays d’Afrique.
De nombreux internautes tombent dans le panneau car ces courriers
électroniques paraissent plausibles. Le caractère urgent du texte pousse
les gens à prendre une décision très rapide et la somme proposée en
rémunération est attrayante.
Mais l'affaire peut se révéler encore plus dangereuse que la perte de son
pécule. Les arnaqueurs cherchent à faire venir leurs « partenaires » en
Afrique, avant que ceux-ci ne prennent conscience de l’arnaque. Certains
s'arrangent même pour que leur victime entre dans le pays sans visa
moyennant par la suite leur départ ou la kidnappent pour demander une
rançon.
Il ne faut en aucun cas répondre à ces messages. L’attitude la plus sage
consiste à détruire directement ce mail très facilement identifiable.
60
Virus Sulfnbk.exe, le ver est déjà dans le fruit
www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2863
61
Fraude 4-1-9 fr.wikipedia.org/wiki/Fraude_4-1-9
54/123
5.4.3
Hameçonnage [Phishing]62
Le phishing est une nouvelle technique de piratage qui consiste à adresser
à des internautes un email prenant l'apparence d'un message émis, par
exemple par leur banque.
Ce message les invite à se connecter sur leur compte pour confirmer leur
mot de passe ou mettre à jour leurs données personnelles sur un site qui
ressemble à s'y méprendre au site de leur banque, y compris au niveau de
l'adresse.
Les internautes saisissent alors leurs codes d'accès, leur numéro de carte
bancaire sans se rendre compte de la fraude. Les pirates récupèrent ainsi
facilement ces codes afin d'effectuer des opérations pour leur propre
compte.
Malgré l’apparente ressemblance du site, on peut se rendre compte de la
supercherie en étant attentif à l’adresse du site qui ne correspond pas
exactement à celui de la banque en question et par le fait qu’il n’y a pas
utilisation du protocole HTTPS (symbolisé par un cadenas à côté de
l’adresse).
Ce type de reflexe étant désormais largement répandu, la technique du
phishing s’est développée et propose désormais en arrière plan le
véritable site de la banque, mais c’est une fenêtre pop-up en
surimpression qui demande les renseignements pour ensuite laisser la
main au site institutionnel, laissant le client dans l’illusion que tout est
normal.
Cette technique de piratage repose sur notre crédulité. Nous sommes mis
en confiance par l’apparition au second plan du site officiel de notre
banque, tandis que la fenêtre saisissant nos données a une toute autre
origine. Il suffit d’un clic droit sur la fenêtre, en choisissant le menu
« Propriétés », pour se rendre compte alors que l'adresse URL de la
fenêtre n'est pas celle de la banque en question, mais celle d'un site
complètement inconnu vers lequel seront redirigées vos informations
confidentielles.
5.4.3.1
Pêche à la lance [Spear phishing]
Il est possible de comparer ce type de phishing à une frappe chirurgicale,
dans laquelle un courriel est bien envoyé, mais de façon très ciblée,
contrairement au phishing standard.
Le courriel est dans ce cas envoyé à un groupe précis de destinataires
(par exemple, les collaborateurs d’une seule entreprise), rendant ainsi le
message beaucoup plus crédible.
62
Hameçonnage fr.wikipedia.org/wiki/Hame%C3%A7onnage
55/123
Le pirate se fait par exemple passé pour le DRH ou pour l’administrateur
réseau, et demande aux collaborateurs de donner un certain nombre
d’informations confidentielles (mot de passe, etc.)
Le courriel peut aussi se revendiquer d’un organisme réglementaire
demandant à l’entreprise de révéler des informations techniques
confidentielles sur un produit.
5.4.4
Bouc émissaire [Joe job]
Du nom du premier spam de cette nature ayant fait l'objet d'un
commentaire, cette forme de spam vise à ternir la réputation d’une
personne ou d’une entreprise en envoyant des courriels en son nom (on
dit que l’identité est forgée) dont le contenu est propre à créer la réaction
voulue. En ce sens il s’agit d’une sorte de Hoax.
Le contenu du courriel peut même inciter le receveur à mener des
représailles à l’encontre du présumé émetteur.
5.4.5
Gonfler puis vendre [Pump and dump]
Cette technique consiste à diffuser de fausses informations par spams
pour faire légèrement évoluer un cours de bourse.
Le spam présente une action ordinaire comme une affaire dans laquelle
investir et créé de cette manière une demande artificielle surélevée. Les
fraudeurs revendent ensuite leurs actions au prix le plus fort, avant
qu’elles reviennent à un cours normal.
« Dans ce cas de figure, plus de 500 millions de mails ont été expédiés,
selon la firme de sécurité informatique britannique Sophos, qui souligne
qu’il s’agit là de la plus importante campagne de ce genre jamais vue,
représentant quelque 30 % du volume des spams dans le monde. »63
63
Spam : la justice décidée à vider la corbeille www.ecrans.fr/Spam-la-justice-decidee-avider-la,1907.html
56/123
6 Modèle économique
Il est difficile de recueillir des informations valables sur
l’économie souterraine qui gravite autour de la
cybercriminalité, par nature peu enclin à donner des
chiffres. Mais on peut supposer qu’elle est florissante au
vu de son activité visible grandissante.
Ce qui est sur c’est que de l’autre côté, les sociétés qui
éditent des logiciels de sécurité font recette, tels
Symantec, McAfee, Trend Micro, F-Secure qui sont toutes
cotées en bourse.
La spécialisation des malwares implique des compétences accrues, et on
trouve aujourd’hui des spécialistes qui vendent leurs compétences.
Au delà des coûts, les entreprises courent des risques stratégiques liés à
leur positionnement concurrentiel. En effet, IronPort évalue à 60 millions
le nombre d’individus dont des données ont été divulguées au cours des
13 derniers mois. Les solutions existantes de sécurisation des réseaux
(pare-feux ou autres) n’incorporent pas de fonctions préventives destinées
à protéger les données en transit. Lorsque l’on sait que de nombreuses
entreprises ont 60% de leurs données stockées sur des ordinateurs non
suffisamment protégés, cela laisse perplexe.
6.1 Pourriel
Le métier de spammeur professionnel est devenu une réalité.
Il existe véritablement des programmes de recherche et de
développement permettant de concevoir des spams de plus en plus
intrusifs.
D’après une étude64 sortie en 2008, le spam se porterait plutôt bien grâce
aux spammés qui achètent les produits qui leur sont proposés par ce
biais. L’érotisme et la contrefaçon font recette et réussissent même à
fidéliser leurs clients. Le chiffre de 250 millions d’internautes
potentiellement acheteurs est avancé. 65
Les spammeurs font aussi vivre leurs intermédiaires techniques, qui sont
en possession de réseaux d’ordinateurs zombies [botnets]. En effet,
64
Sex,
Drugs
and
Software
Lead
Spam
Purchase
Growth
www.marshal8e6.com/newsitem.asp?article=748&thesection=news
65
L'économie du Spam durablement implantée dans Internet - 250 millions d'internautes
achètent au travers du Spam
pignonsurmail.typepad.fr/pignonsurmail/2008/09/lconomie-du-spa.html
57/123
même si l’envoi d’un million de spams coute moins de 10 €, quand on sait
que plus de 100 milliards de spams sont envoyés chaque jour, cela donne
environ 1 millions € de chiffre d’affaire par jour pour ce type d’activité,
soit près de 400 millions € par an réparti entre plusieurs prestataires, dont
5 seulement tiennent environ 80% du trafic. 66
6.2 Publicité
Dans notre société de consommation, la publicité est une source de profit
quasiment inépuisable, et internet n’échappe pas à la règle.
Au travers de régies publicitaires techniquement très évoluées tout le
monde peut disposer des bannières publicitaires sur son site personnel
afin de récolter quelques centimes d’euros par clique sur ces publicités.
Il s’agit donc d’un modèle économique intéressant où la renommée d’un
site, via son intérêt, peut faire la fortune de son propriétaire.
Mais là aussi tous les moyens sont bons pour « voler » quelques clics.
Cela n’a de sens que lorsque le nombre de visiteurs est très élevés, car le
taux de clic pour mille visiteurs étant faible, il faut beaucoup de visite pour
que cela soit rentable.
C’est là qu’interviennent les spams et les botnets, qui peuvent simuler des
clics de provenances diverses, leurrant ainsi le contrôle des régies
publicitaires et apportant des gains substantiels à ces malfaiteurs
quasiment en toute légalité.
66
L'économie du Spam durablement implantée dans Internet - 250 millions d'internautes
achètent au travers du Spam
pignonsurmail.typepad.fr/pignonsurmail/2008/09/lconomie-du-spa.html
58/123
7 Législation
7.1 Contexte
Dans certains pays le trafic de drogue encours la peine de
mort, tandis que la cybercriminalité, moins risquée, est
beaucoup moins sanctionnée. Tout naturellement les
mafias du monde entier se tournent vers ce nouvel
Eldorado du crime où l’on peut commettre des méfaits très
rentables en restant complètement anonymes.
La France dispose déjà depuis longtemps de l’arsenal juridique visant à
réprimer toutes sortes de malversations dans les systèmes d’information.
En effet, l’utilisation, à l’insu des personnes, de leur matériel informatique
est sanctionnée à l’article 323-1 du Code pénal :
« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de données est puni de 2
ans d'emprisonnement et de 30.000 € d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données
contenues dans le système, soit une altération du fonctionnement de ce
système, la peine est de 3 ans d'emprisonnement et de 45.000 €
d'amende. »67
Par contre, l’émergence du phénomène spam est resté quelques temps
dans le floue avant que ne s’organise la justice.
La base des législations concernant le spam, quelque soit le pays, repose
sur la loyauté de la collecte des adresses et la possibilité de
désabonnement.
Par ailleurs, il est nécessaire de rappeler qu’une industrie prospère évolue
autour du marketing et du démarchage et que la volonté de l’état français
n’est pas de faire mettre la clé sous la porte à cette industrie.
C’est pourquoi nombre de courriel reçu sont identifiés par leur destinataire
à tord comme du spam bien qu’ils aient le même effet sur la BAL du
destinataire.
En effet, il ne faut pas assimiler au spam les chaînes que vous font suivre,
malgré vos demandes, vos connaissances, les lettres d’informations des
organismes ou associations ou commerçant auprès desquels vous avez été
en contact ou eu une relation commercial, ainsi que les messages
67
Article 323-1 du code pénal
www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte
=LEGITEXT000006070719&dateTexte=20090722&oldAction=rechCodeArticle
59/123
d’erreurs que vous recevez en retour d’une tentative d’envoi d’un courriel
infructueuse.
7.2 LCEN68
La LCEN (Loi pour la Confiance dans l'Économie Numérique) du 21 juin
2004, qui transpose une directive européenne de juillet 2002, interdit
d’utiliser une adresse mail pour prospection commerciale sans avoir
d’abord obtenu le consentement de la personne concernée, c’est que
qu’on appelle « opt-in ».
Chaque mail publicitaire envoyé doit proposer une option pour ne pas
recevoir les messages à venir, c’est ce qu’on appelle « opt-out ».
Le non-respect de ces règles peut entraîner une condamnation allant
jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende pour les
personnes physiques. Les personnes morales risquent, quant à elles
jusqu’à 1,5 million € d'amende.
Chaque message irrégulièrement expédié serait alors facturé 750 €.
7.2.1
Consentement actif/Option de retrait [Optin/opt-out]69 70
Principe de l’accord préalable et de la possibilité de se désabonner.
Une nuance a été apporté après coup concernant l’opt-in qui veut qu’une
collecte d’information dans le cadre d’une relation commerciale puisse être
utilisé pour un démarchage restant dans le même domaine.71
L’opt-out est souvent un piège que les spammeurs exploitent en vous
proposant un lien qui, s’il est suivi, n’a d’autre but que de confirmer que
l’adresse est active (qu’il y a bien un humain qui lit son contenu) et
généralement cela a pour effet d’accentuer le phénomène du spam.
Cependant, dans le cas de société d’e-marketing français (bien vérifier le
fait que la société en question soit en France), on peut raisonnablement
utiliser le lien opt-out, car même si l’adresse à souvent été collectée sans
accord préalable, ou sous de faux prétexte, cette option est valide au vu
des sanctions encourues dans la législation française.
68
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique
www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L
69
médias www.ddm.gouv.fr/article.php3?id_article=593
70
Spam et publicité par mail : l'état des lois www.arobase.org/spam/comprendreregulation.htm
71
www.zdnet.fr/actualites/telecoms/0,39040748,39191670,00.htm
60/123
Attention toutefois à ne pas confondre écrit en français et provenant d’une
société française, ce qui nécessite parfois une petite enquête (cf. chapitre
« Annexe/Cas concrets »).
L’option de retrait est souvent assimilée, à tord d’ailleurs, à un
consentement tacite lorsqu’elle n’est pas exercée.
7.3 CNIL72
La déclaration d’un fichier à la CNIL (Commission Nationale de
l'Informatique et des Libertés) consiste à déclarer le type et la nature des
informations personnelles (ce mot à toute son importance) qu’on est
amené à collecter, ainsi que le but de cette collecte. La CNIL n’effectue
aucun contrôle, sauf en cas de plainte. Il faut saisir la CNIL avec un solide
dossier pour que des contrôles et le cas échéant des poursuites soient
engagés.
Toute société qui collecte des informations personnelles doit
obligatoirement déclarer son fichier auprès de la CNIL pour ne pas être en
infraction.
7.3.1
Loi informatique et liberté
L’article 38 de la loi Informatique et Libertés du 6 janvier 1978 donne à
l’internaute le droit de refuser que des données le concernant soient
utilisées à des fins commerciales ou fassent l’objet d’un quelconque
traitement.
Mais pour en arriver là c’est un vrai parcours du combattant.
En effet, des tas de subtilités permettent d’envoyer des spams en toute
légalité, sous couvert de respecter les conditions suivantes :
1. L’aspect nominatif de l’adresse mail : si votre adresse ne comporte
pas votre nom mais un pseudo.
2. Si vous avez un jour donné votre accord pour recevoir des
sollicitations, cet accord a pu être vendu, en même temps que votre
adresse.
3. Si vous avez une adresse professionnelle qui ne contient pas votre
nom mais votre fonction, par exemple « service_paye@société.fr »
(cf. point n°1).
4. Si
votre
adresse
professionnelle
est
bien
du
type
« prénom.nom@société.fr », on peut vous spammer en toute
légalité, à la condition que les messages reçus soient en rapport
avec votre fonction dans l’entreprise, ceci pour le respect des
72
« Nous comptons
menage,1910.html
faire
le
ménage
»
www.ecrans.fr/Nous-comptons-faire-le-
61/123
échange « B to B ».73 Ce point semble être sujet à controverse car il
n’apparaît pas dans les textes en clair et le service juridique de la
CNIL donne des réponses variées à ce sujet.
5. Ou tout simplement si vous avez été un jour en relation avec une
entreprise, celle-ci peut vous démarcher pour des produits
similaires.74
Si l’adresse à laquelle vous recevez du spam n’est pas nominative, il
faudra alors se retourner vers le Procureur de la république car la CNIL
sera impuissante face à ce problème.
On entend par adresse nominative, une adresse quelle soit privée ou
professionnelle qui contient le nom de son propriétaire. C'est-à-dire
qu’une adresse constituée d’un pseudo ou d’un nom d’emprunt à la
littérature ou autre n’est pas considérée comme nominative et qu’il
devient beaucoup plus difficile à faire les démarches visant à dénoncer du
spam.
Ces points de subtilité que je n’arrivais pas à trancher par mes lectures
m’ont été confirmés par téléphone auprès du service juridique de la
CNIL75.
Heureusement, même dans tous ces cas où votre consentement n’aura
pas été requis pour recevoir des sollicitations, on doit malgré tout
respecter votre choix de désinscription (opt-out).
Ce qu’il faut retenir, c’est qu’il suffit qu’une fois en donnant son adresse
mail on ait coché (ou oublié de décocher) la mention « recevoir des offres
des partenaires » pour que notre adresse, ainsi que notre accord soit
vendu de sociétés en sociétés et qu’on reçoive des spam de manière tout
à fait légale.
Il suffit donc d’une seule erreur pour que légitimement on reçoive plein de
spam, même si le spammeur peut être mis en demeure par la CNIL de
fournir la preuve de notre accord préalable.
Cependant, quelles preuve avons-nous et pouvons-nous garder de notre
absence d’accord ? Il est tellement aisé pour un site malhonnête lorsque
l’on coche la case « ne pas recevoir » d’enregistrer notre action comme si
nous avions accepté.
Comme on le voit nul besoin d’invoquer un obscure groupe mafieux des
pays de l’est ou de la Chine qui se cacherait derrière une législation floue
voire inexistante, si tant est qu’on ait réussi à les identifier.
73
Prospection
par
courrier
électronique
&
Autorisation
www.scaraye.com/article.php?a=185
74
Guide - La pub si je veux ! (p. 10)
www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_Guide_pub.pdf
75
Renseignements juridiques www.cnil.fr/acces/contactez-nous/
préalable
62/123
Comme on peut le voir dans le chapitre « Cas concrets » en annexe, j’ai
examiné de près le cas de 2 sociétés qui vendent leur service en
démarchant par le spam et leur service n’est autre que de vendre ce qu’ils
appellent de l’emailing.
Cependant, toute société qui, en dehors des subtilités précédemment
évoquées, vous enverrait du courriel sans votre accord préalable s’expose
à une amende de 750 € par message non sollicité.76
7.4 Can-Spam Act
Le « CAN-SPAM Act », qui fut adopté par le Congrès américain en janvier
2004, est la principale législation visant spécifiquement le pourriel en
Amérique du Nord. Cette loi n’interdit pas les envois non sollicités mais
elle exige simplement qu’un envoyeur fournisse un lien ou une méthode
de désabonnement, c’est ce qu’on appelle l’« opt-out », et une mention
explicite de l’aspect commercial du courriel.
En rendant le « opt-out » obligatoire la loi a instantanément légitimé la
pratique du pollupostage. Pour opérer légalement, les polluposteurs n’ont
qu’à fournir un lien de désabonnement. C’est ainsi que les utilisateurs de
courriel se sont retrouvés face un dilemme. En effet, comment faire la
distinction entre un lien de désabonnement factice, qui une fois cliqué
validera l’adresse et aura pour effet de multiplier les pourriels, et un lien
légitime ?
Mais là aussi il y a des exceptions, dans le cas d’un consentement « optin » la mention indiquant l’intention du courriel n’est plus obligatoire et
dans d’une relation commerciale antérieure aucune mesure n’est
requise.77
Les États-Unis restent encore aujourd’hui le plus gros spammeur du
monde.
Mais doté de cet acte de loi, ils ont déjà pu mettre un terme aux activités
de quelques uns des plus gros spammeurs, notamment ceux sévissant au
travers des réseaux sociaux.78
7.5 Sanctions
Comme le montre l’affaire McColo, qui a conduit à
la fermeture d’un FAI peu scrupuleux, une action
76
Article R10-1 du code des postes et des communications électroniques.
La
législation
des
États-Unis
en
matière
de
www.ddm.gouv.fr/article.php3?id_article=603
78
873 millions de dollars d'amende contre le spammeur de
www.zdnet.fr/actualites/internet/0,39020774,39385082,00.htm
77
"spam"
Facebook
63/123
concertée peut avoir des effets significatifs sur l’émission de spam.79
En effet, cela aurait eu pour effet de réduire immédiatement de 70% le
nombre de spams envoyés à travers le monde.80 Malheureusement, il
n’aura fallu que quelques semaines aux spammeurs pour se réorganiser,
et que le niveau de spams ne revienne à sa valeur antérieure.
Autre exemple, malgré les rappels à l’ordre, le site de vente en ligne
CDiscount continuait d’abreuver de courriels publicitaires ses clients
désinscrits. Résultat, 30.000 € d’amendes. 81
Un des travers de certaines techniques anti-spam à base de listes noires
est de déclarer à tord, généralement suite à une usurpation d’identité, un
émetteur comme problématique et ainsi de bloquer les courriers de sa
provenance. Il faut alors « montrer patte blanche » pour sortir de ces
listes.
C’est dans ce contexte que la justice américaine a condamné une société
de blacklist82 anglaise (Spamhaus) pour avoir bloqué une entreprise
faisant pourtant du mailing abusif.
79
Analyse
du
volume
de
spams
depuis
l’affaire
McColo
Corp
www.altospam.com/actualite/2008/12/analyse-du-volume-de-spams-depuisl%E2%80%99affaire-mccolo-corp/
80
81
Délibération n°2008-422 du 6 novembre 2008 portant décision de la formation
restreinte
à
l’égard
de
la
société
CDISCOUNT
www.cnil.fr/en-savoirplus/deliberations/deliberation/delib/147/
82
Spamhaus condamné par la justice américaine pour blacklistage illégal
www.journaldunet.com/solutions/0609/060918-affaire-spamhaus.shtml
64/123
8 Démystification
Je tiens à ce chapitre car le sujet de ce mémoire est
jalonné au cours de son histoire de fantasmes qui
entourent ce sujet sulfureux et j’aimerais avoir une
approche sceptique afin de démêler le vrai du faux.
Cette démarche, en dehors d’être didactique permet de
pouvoir faire face au problème sans à priori.
8.1 Dégâts matériels ?
Certains phantasmes circulent autour des dégâts matériels que pourraient
causer les malwares.
Même s’il est vrai que certains virus peuvent s’en prendre au BIOS83 et
donc véritablement endommager l’ordinateur et le rendre non
opérationnel, cela n’affecte en rien le hardware, et après une
reconfiguration, soit fastidieuse, l’ordinateur est fonctionnel.
8.2 Linux/Mac épargnés ?
Fer de lance de ces 2 systèmes d’exploitation, l’argument est de taille et
mériterait d’être considéré s’il était véridique, même si, force est de
constater que ces environnements sont moins touchés.
Dans la pratique, il existe très peu de virus pour Linux (on en recense une
trentaine84), à comparer au million85 de virus existant sous Windows.
Aujourd’hui les menaces se diversifient et le panel de menaces issu du
spam n’ont que faire de l’OS, et on voit même l’apparition de malware
multiplateformes, sans compter les macro-virus.
Par ailleurs, un pare-feu et un anti-spyware sont nécessaires quelques soit
la plateforme. Et si on ne peut se fier aux éditeurs de solution de sécurité
pour savoir si réellement un anti-virus est nécessaire sur ces plateformes,
on peut constater que de nombreux éditeurs proposent des anti-virus pour
Mac et Linux.
Par ailleurs, je trouve dangereux d’entretenir une illusion d’impunité qui
ne peut qu’être nuisible quant à la vigilance nécessaire par rapport à
d’autres menaces bien réelles, tel le phishing.
De plus, même si de nombreux virus, conçus pour Windows sont
inopérants sur Mac/Linux, il n’est pas raisonnable de se satisfaire d’être
83
Tchernobyl (= CIH) www.secuser.com/alertes/1999/tchernobyl.htm
Linux malware en.wikipedia.org/wiki/Linux_malware
85
Virus statistics en.wikipedia.org/wiki/Virus_statistics#Generalpurpose_operating_systems
84
65/123
porteur sain et ainsi de contribuer malgré soi en étant un maillon de la
chaîne de transmission des menaces.
Théoriquement ces 2 environnements peuvent être touchés par des virus.
Linux, tout comme Mac ou Windows possèdent des failles de sécurité. Ces
failles peuvent être exploitées par des programmes malveillants.
Linux et Mac sont donc également sensibles aux virus, tout comme
Windows, mais dans une moindre mesure pour plusieurs raisons :
1. L’argument classique qui indique que Windows serait plus ciblé par
les auteurs de virus de part sa notoriété n’est pas à exclure, mais ne
constitue pas la seule raison.
2. Par défaut, les utilisateurs de Linux/Mac n'ont pas les droits
administrateur, et l’ensemble de la configuration est plus sécurisée.
Ils ne peuvent donc pas modifier les fichiers système. Donc difficile
pour un virus d'infecter la machine en profondeur et de manière
durable.
3. Les utilisateurs Linux/Mac ont souvent du faire une démarche pour
adopter ces environnements et sont plus éclairés que la masse
d’utilisateurs des produits Microsoft, en ce sens leur culture
informatique constitue un rempart.
4. Linux vous oblige à déclarer si un fichier est exécutable ou non.
Impossible d'être infecté par « pamela.jpg.exe » en pensant que
c'est une image.
5. Les failles sont généralement plus vite corrigées (Microsoft a mis
plusieurs mois à corriger certaines failles, et a même dû en corriger
certaines sous la menace86.
6. Le fait que Linux soit open source fait que tout le monde peut
examiner le code source, y compris divers experts en sécurité. Les
failles ont donc plus de chances d'être détectées.
7. Les utilisateurs de Linux téléchargent généralement leurs logiciels
dans des dépôts de logiciels dont le contenu est contrôlé. Il y a
rarement besoin de prendre des logiciels hors de ces dépôts, et donc
moins de risques de tomber sur un site douteux. Avec Windows, il
faut tout aller télécharger sur divers sites, et s'assurer qu'un site de
téléchargement est sain n'est pas toujours facile.
8. Mac étant basé sur un noyau Unix tous les arguments énumérés
autour de Linux lui sont transposables.
9. Enfin, il existe une grande variété de distributions Linux différentes.
Elles sont toutes légèrement différentes, ce qui rend la vie des virus
beaucoup plus difficile (c'est exactement comme en biologie: une
grande diversité génétique assure que toute la population ne sera
pas décimée par un virus trop ciblé).
86
Sept failles de Windows encore en attente de correctifs
www.zdnet.fr/actualites/informatique/0,39040745,39141505,00.htm
chez
Microsoft
66/123
Tous ces éléments font que Linux/Mac sont naturellement moins sujet aux
virus. Mais cela ne veut absolument pas dire qu'ils y soient totalement
invulnérables.
On peut constater d’ailleurs que les grands éditeurs d’anti-virus proposent
des solutions pour ces environnements. Bien que leur démarche
commerciale ne puisse être considérée comme un argument de poids, il
faut néanmoins reconnaitre, d’une part, que ce marché étant marginal
comparer à celui ciblant Windows, qu’il ne peut être dicté que par l’intérêt
mercantile, d’autre part si ces produits voient le jour, c’est aussi parce
qu’ils vont trouver un écho favorable.
8.2.1
Linux87
On trouve de nombreux malware dans la littérature Linux88 et leur peu de
succès vient essentiellement du fait des réactions avisées des utilisateurs.
8.2.2
Mac89
Les macro-virus sont par nature portables sur d’autres OS, pour peu que
ceux-ci y possèdent la même suite logiciel comme c’est le cas sur Mac de
la suite bureautique Microsoft Office.
Cependant, Mac a aussi ses propres failles comme l’a démontré le virus
« Simpson » en 2001 basé sur une vulnérabilité du langage AppleScript.
Mais plus récemment, iBotnet90 a montré que le système d’exploitation
des Mac OSX n’était pas infaillible, car même si cette menace n’est pas
virulente elle montre la faisabilité de malwares dédiés à cette plateforme.
8.3 Virus dans les images ?91
À l’origine il s’agissait d’un cas d’école (« in the zoo »), qui nécessite
l’infection préalable par un cheval de Troie.
L’image joue le rôle de déclencheur, et peut contenir des instructions
spécifiques, ne nuisant pas à son affichage par ailleurs.
L’image dans ce cas jour le rôle de la charge utile du malware installé au
préalable.
Même si ce mode opératoire est peu banal, il n’offre pas de possibilité
particulière, pour preuve on ne le trouve pas « in the wild ».
87
How to write a Linux virus in 5 easy steps www.geekzone.co.nz/foobar/6229
Virus – Documentation Ubuntu Francophone doc.ubuntu-fr.org/virus
89
Macintosh et PC : égaux devant les virus ?
www.symantec.com/region/fr/resources/mac_pc_virus.html
90
Qu'est-ce que "iBotnet" ? www.symantec.com/fr/fr/norton/theme.jsp?themeid=ibotnet
91
Les virus infiltrent les images www.01net.com/editorial/355882/les-virus-infiltrent-lesimages/
88
67/123
Par contre, une technique récente dite par dépassement de tampon
[buffer overflow] permet à tout document utilisé par un logiciel
comportant une faille de sécurité d’être corrompu et d’exécuter un code
injecté.
Dans ce cas, une image ou un fichier audio/vidéo peut devenir dangereux.
Il est donc nécessaire d’une part de mettre à jour ses logiciels de lecture
[players], et d’autre part de vérifier la provenance des fichiers que l’on
souhaite lire et donc d’éviter les fichiers piratés sur les réseaux peer to
peer.
Donc oui, en quelque sorte un document inerte (pas exécutable) peut
contenir une menace, mais il a besoin pour cela de la complicité
involontaire d’un logiciel buggé. En tout état de cause, la lecture d’un tel
fichier avec un autre lecteur que celui ciblé par la menace ne provoquera
au pire qu’un message d’erreur indiquant que le fichier n’est pas lisible et
au mieux rien du tout, c'est-à-dire que vous pourrez profiter dudit fichier
en toute tranquillité.
8.4 Les sources d’informations fiables
J’ai listé en annexe les sources fiables en séparant les sources officielles,
principalement de l’état français des sources associatives (sans but
lucratif) et enfin les sources commerciales.
68/123
9 Initiatives
9.1 Boîte à spams
Cette opération menée en 2002 par la CNIL, a
donné lieu à 5 procédures, dont 2 furent
rapidement abandonnés car impliquant des
sociétés basés aux US. Une seule fut poursuivie en justice.
En France, un seul procès a opposé un spammeur à la justice. Dénoncée
par la Cnil en 2002, une entreprise accusée de spam a d’abord été relaxée
avant d’être condamnée à 3.000 € d’amende pour collecte de données
personnelles par un moyen déloyal, jugement confirmé par la Cour de
cassation en 2006.
Malgré tout cette opération a eu le mérite de faire le point sur la situation
en France auprès des internautes en leur permettant de soumettre leur
spams à la CNIL.
Il en a résulté des actions techniques et juridiques et la création d’un
module pédagogique « Halte au SPAM ! » :
• Ne plus recevoir de publicités non sollicitées :
o www.cnil.fr/dossiers/commerce-publicite-spam/halte-auspam/
9.2 Signal SPAM
Suite à l’opération « Boîte à spams », le Gouvernement a souhaité
apporter des réponses adaptées.
C’est pourquoi il a confié à la DDM (Direction du Développement et des
Médias) en partenariat avec les principaux acteurs publics et privés
d’Internet, la création d’un groupe dont les travaux ont abouti à la
création fin 2005 d’une solution concrète, à savoir une plate-forme
nationale de signalement automatique des spams.
Cette plate-forme public-privée constitue une première dans la lutte
contre le spam et permet d’offrir une réponse efficace, concrète et
coordonnée au problème du spam.
Depuis le 10 mai 2007, le service de signalement est opérationnel, et
disponible gratuitement à l’adresse suivante :
• Plate-forme nationale de signalement des spams :
69/123
o www.signal-spam.fr92
À l’international d’autres initiatives existe à l’image de SpamCop93 &
SpamHaus94.
9.3 Euro-CAUCE95
CAUCE (Coalition Against Unsolicited Commercial E-mail) est une
organisation
non
gouvernementale
regroupant
des
associations
représentatives d’internautes, qui participe activement, notamment aux
États-Unis, au dépôt de projets de loi visant à limiter ou prohiber le
publipostage électronique commercial non sollicité. Sa branche
européenne est l’Euro-CAUCE.
9.4 CERT
En sécurité informatique, il existe des organismes officiels chargés
d'assurer des services de prévention des risques et d'assistance aux
traitements d'incidents. Ces CERT (Computer Emergency Response Team)
sont des centres d'alerte et de réaction aux attaques informatiques,
destinés aux entreprises et/ou aux administrations, mais dont les
informations sont généralement accessibles à tous.
En France ils prennent le nom
Gouvernemental de Réponse et
informatiques).
de CERTA (Centre d'Expertise
de Traitement des Attaques
9.5 Pot de miel [Honeypot]96
Un honeypot est un ordinateur ou un programme volontairement
vulnérable destiné à attirer et à piéger les pirates informatiques.
Ce type d’initiative communautaire à but non lucratif existe depuis
plusieurs années à travers le monde et se propose de collecter des
données sur les attaques informatiques à des fins d’études par des
chercheurs.
92
93
SpamCop is the premier service for reporting spam www.spamcop.net
94
Working to protect internet networks worlwide www.spamhaus.org
95
Coalition européenne contre le courrier électronique commercial non sollicité
www.euro.cauce.org/fr/
96
Honeypot project www.leurrecom.org
70/123
Le but de ce type de leurre est de faire croire à l'intrus qu'il peut prendre
le contrôle d'une véritable machine de production pour observer les
moyens de compromission des pirates.
Une utilisation correcte d’un honeypot repose essentiellement sur la
résolution et la mise en parallèle de trois problématiques :
• Surveillance
• Collecte d'information
• Analyse d'information
71/123
10 Prévention
La prévention en matière de menaces informatique
passe par la formation.
En effet, beaucoup de menaces se propagent et
agissent en utilisant l’accord tacite du destinataire qui
autorise à son insu des actions frauduleuse par
manque d’information.
Dès lors, se tenir au courant des menaces existantes
et de leur mode opératoire devient le premier
rempart.97
Bien sur, certains logiciels, tels qu’un pare-feu, un anti-virus ou encore un
anti-spyware et un anti-spam sont devenus indispensables.
L’anti-virus et l’anti-spyware sont nécessaires même si l’ordinateur en
question n’est pas connecté à internet, car dès qu’une donnée provient de
l’extérieur du système (clé USB, cédérom, etc.) il y a un risque.
Les systèmes Windows récents intègrent tout un panel de protections
passant par une pop-up demandant confirmation avant d’effectuer une
action potentiellement dangereuse (installation d’un logiciel, ouverture
d’une macro, dialogue réseau, visite d’un site web, etc.).
Mais les enjeux nous échappent souvent, et la banalisation de ces fenêtres
de confirmation est un risque.
Après avoir automatisé nombre de processus afin de faciliter l’utilisation
des ordinateurs (lancement automatique de nombreuses actions évidentes
et récurrentes), on arrive aujourd’hui à l’effet inverse où l’on doit
confirmer toutes ses actions.
Un seul employé qui fait preuve de négligence dans une entreprise en
ouvrant une pièce jointe douteuse, et c’est tout le réseau de cette
entreprise qui est en péril, d’où la nécessité de formation.
Je passe ici en revue quelques points d’importance sur lesquels je pense
pouvoir apporter un éclairage propre à sensibiliser les esprits sur leur
importance dans la lutte contre les menaces, et je finirai en récapitulant
ces bonnes pratiques dans une série de règles d’or à respecter.
10.1 Maintenance
La prévention passe par une maintenance régulière du SI.
97
« Les FAI ont conscience du spam mais gèrent plutôt leur réputation »
www.journaldunet.com/solutions/securite/chat/arnaud-kopp-ironport-les-fai-ontconscience-du-spam-mais-grerent-plutot-leur-reputation.shtml
72/123
En effet, nombre de menaces s’introduise dans nos système au travers de
failles de sécurité, qui ne sont ni plus ni moins que des erreurs de
conception, des bugs ou des oublis.
Tous les programmes d’un ordinateur sont concernés, du système
d’exploitation lui-même, en passant par la mise à jour indispensable des
logiciels de sécurité, jusqu’au nombreux logiciels utilisés, particulièrement
ceux en relation avec internet qui sont le navigateur web et les logiciels de
messagerie entre autre.
Mais la maintenance amène aussi à vérifier régulièrement l’état de sa
configuration en dehors de la simple mise à jour des logiciels rendue de
plus en plus souvent automatiques et dont il faut veiller à ce que cet
automatisme n’est pas été désactive par un logiciel malveillant.
10.1.1
Programmes au démarrage
Un bon moyen de se prémunir de la gêne occasionnée par certains
malware est de vérifier les programmes qui sont lancés au démarrage afin
d’éradiquer ceux qui n’ont rien à faire là.
C’est une opération technique, qui nécessite de savoir discerner ce qui est
nécessaire au fonctionnement de l’ordinateur et ce qui ne l’est pas et qui
peut être dangereuse si elle est conduite sous la panique et en l’absence
de connaissance spécifiques.
10.1.2
Trafic réseau
On peut aussi surveiller son trafic réseau afin d’y déceler une activité
anormale. Attention toutefois, car des logiciels tout à fait standard se
connectent automatiquement sans votre autorisation (qui est implicite)
afin de se mettre à jour et ceci dans votre intérêt.
10.2 Droits restreints
Il est essentiel de travailler dans un compte utilisateur avec des droits
restreints, c'est-à-dire pas en tant qu’administrateur.
Cette remarque pourrait sembler anodine aux utilisateurs de Linux/Mac,
mais est essentielle pour les utilisateurs de Windows.
Cela limite les installations immodérées qui sont rendus attrayantes et
faciles, mais qui en contrepartie permettent aux spywares de s’introduire
sur votre système.
Si un besoin d’outil se fait sentir il faut étudier les solutions via logiciel
libre (code source disponible) et gratuit plutôt que de succomber à la
tentation de pirater un logiciel payant car cela est souvent rendu possible
même aux novices, mais au prix de codes malicieux qui s’installeront en
même temps.
Cette démarche de réflexion au lieu du clic instantané pourra paraître
inutile pour certains, mais elle est pourtant nécessaire.
73/123
Ce comportement qui est celui par défaut des systèmes Unix, Linux et Mac
et le premier rempart contre les intrusions, mais peut dans certains cas
poser problèmes sous Windows dont ce n’est pas dans la culture à tel
point que certains logiciels ne fonctionneront pas s’ils n’ont pas les
privilèges
administrateurs
(ce
qui
constitue
une
hérésie
de
programmation).
Dans ce cas la solution consiste à lancer ces programmes « en tant que »
administrateur afin de contourner localement le problème.
La sécurité informatique pour être efficace ne se conçoit pas comme une
restriction de droits successifs, mais plutôt comme une interdiction globale
avec des autorisations successivement attribuée en fonction des besoins
de l’utilisateur. Cette démarche assure qu’il y ait le moins possible
d’oublis, et donc que moins de risques soient pris.98
10.3 Mot de passe [Password]
Il est important de choisir de bons mots de
passes, pour se prémunir contre un vol d’identité
ou autre.
Par bon mot de passe on entend un mot de passe
d’au moins 8 caractères avec au moins 3 types
de caractères parmi alphabétique de minuscule et
majuscule,
numérique
et
symbole
ou
ponctuation.
Les erreurs à ne pas commettre sont de choisir un mot ou une
concaténation de mots ou avec un chiffre, a base de noms courants (nom
commun ou nom propre).
Un bon moyen de choisir un bon mot de passe sans risque de l’oublier est
de choisir une phrase facile à retenir et de ne prendre que la première
lettre de chaque mot, par exemple :
« Tous les matins, je me lave les dents à 8 heures !» donne
« Tlm,jmllda8h! ».
Ce mot de passe, impossible à retenir autrement, demande au
programme malveillant de tester « toutes » les possibilités aléatoirement
pour découvrir votre mot de passe, soit 26 lettres minuscules + 26 lettres
majuscules + 10 chiffres + 40 symboles le tout à la puissance 13 dans
notre exemple car votre mot de passe comporte 13 caractères (d’où
l’importance de la longueur du mot de passe), cela donne 10213 soit un
peu plus de 1026 combinaisons.
98
Cf. cours de SSIB (Sécurité des Systèmes d’Information et des Bases de données)
enseigné par Aleksander BACZKO.
74/123
Il en résulte qu’une tentative pour trouver ce type de mot de passe serait
trop longue. 99
Pourtant, même avec un bon mot de passe, cela n’empêche pas un
programme de finir par le découvrir même si cela prend beaucoup de
temps. En effet, les capacités de calcul des machines augmentent
régulièrement et une utilisation de plusieurs machines en parallèle n’est
pas exclue, sans compter le facteur dû au hasard.
Il faut donc penser à le changer régulièrement, on préconise
généralement tous les 90 jours.
Pour cela, pensez à une phrase en relation avec la date, par exemple le
mois en cours :
« Le mois de Juin est le 6ème mois de l’année » donne « LmdJel6mdla ».
D’autres techniques existent dont le but est de produire un mot de passe
dont la combinatoire est suffisamment élevée, et dont le but est d’éviter
que vous choisissiez des mots courants comme l’utilisation du leet speak
Ou encore du langage phonétique (couramment utilisé dans les messages
SMS) ou même la combinaison de plusieurs techniques, par exemple si
vous comptiez choisir comme mot de passe « C’est une belle journée ! »,
cela peut donner :
« 71Be11eJourn3E! »
On peut aussi symboliser les espaces par un caractère spécial, ou même
incrémenter ce caractère spécial en fonction de l’indice de l’espace. Cela
donnerait pour l’exemple précédent :
« 7_1_Be11e_Journ3E! » ou « 7#1#Be11e#Journ3E! »
Ou en prenant les caractères spéciaux placés sur votre clavier sous les
chiffres, qui donnent dans l’ordre : 1= &, 2=~,3=#, 4={, 5=[, 6=|, 7=`,
8=\, 9=^ et 0=@. Ce qui donne dans ce cas :
« 7&1~Be11e#Journ3E! »
Bref, on peut varier à loisir les techniques, en inventer de nouvelles et les
combiner, mais surtout choisir un bon compromis entre robustesse et
mémorisation.
Enfin, pour tester vos trouvailles il existe des sites qui notent la
robustesse de vos mots de passes et donnent des conseils pour
l’augmenter :
99
Attaque par force brute fr.wikipedia.org/wiki/Attaque_par_force_brute
75/123
•
Test de mot de passe, qui donne une leçon supplémentaire
d’ingénierie sociale :
o cs76.free.fr/test-mot-passe.php
Tester l´efficacité d´un mot de passe, qui donne une notation
détaillée :
o www.pc-optimise.com/securite/password.php
Par ailleurs, pour conserver tout l’intérêt d’un mot de passe robuste, il
faut éviter de choisir l’option qui permet au navigateur web de se souvenir
du mot de passe en particulier lorsqu’on utilise une machine qui ne nous
appartient pas, et de manière générale, il est recommandé de fermer sa
connexion de manière à ce que personne ne puisse ré-ouvrir la page que
l’on vient de visiter sans avoir à saisir de mot de passe.
10.4 Pourriel
Le respect de certaines règles permet d’éviter de recevoir du spam, elles
sont explicitées dans le chapitre « Collecte ».
D’autres sont simplement des actions liées au bon sens afin de limiter
l’impacte du spam, comme s’abstenir de donner suite à un spam, et
surtout ne rien acheter et ne faire appel à aucun service vanté dans un
spam. Les spammeurs spamment pour gagner de l’argent, c’est le nerf de
la guerre, alors ne leurs en faisons pas gagner.
Ne faites jamais confiance à l'expéditeur, même si c'est une personne ou
un organisme connu (son identité à pu être usurpée ou il peut agir par
négligence).
En cas de doute sur la légitimité d'une demande d’informations
personnelles de la part d'une société, contacter celle-ci directement par
téléphone (ne pas répondre au message) ou bien se rendre directement
sur son site en tapant son URL dans le navigateur, surtout ne cliquez sur
aucun lien. En effet, ces liens, si vous y regardez de plus près, comportent
des extensions qui enverront des informations au spammeur sur sa
campagne de spam et lui permettront de savoir que vous avez cliqué sur
sa publicité.
Les fournisseurs et hébergeurs de sites doivent eux aussi faire l’effort de
déceler les sites et comportements à problèmes dans les services qu’ils
proposent. Mais cela leur prends énormément de temps, sans compter
qu’ils peuvent devenir à leur tour la cible de ces malfaiteurs en
représailles de leur démarche citoyenne.100
100
Exemple chez Gandi.net, bureau d'enregistrement de nom de domaine [registrar]
www.lebardegandi.net/post/2007/01/11/Gandi-contre-le-spam
76/123
10.4.1
Collecte
Pour ne pas s’exposer à être victime, il est essentiel de limiter la diffusion
de son adresse mail. Il faut éviter de la communiquer et ne pas la faire
apparaître sur les supports suivant :
•
•
•
•
Blog
Forum
Newsgroup
Site web
Cela limite la diffusion, mais n’empêche pas le spam.
Lorsque vous êtes obligé de donner votre courriel pour recevoir un mail
d’activation d’un compte ou autre, il suffit de prendre une adresse jetable.
Et préférez l’abonnement aux flux RSS qui ne vous exposent pas puisque
vous ne laissez pas vos coordonnées.
Ne faites pas suivre les chaînes de messages que vous recevez car, d’une
part quel qu’en soit le contenu, cela peut théoriquement mettre à mal un
réseau, d’autre part car cela permet surtout à des personnes mal
intentionnées de récolter des centaines d’emails valides. De plus, ces
chaînes pour s’assurer de leur transmission font souvent appel au
sensationnel ou encore à votre humanité mais sont toujours des canulars
[hoax].
Si d’aventure vous êtes amené à faire suivre ce type de chaîne ayez au
moins le reflexe d’effacer dans le corps du message les adresses qui y
figurent et de mettre celles que vous y ajoutez en copie cachée.
Soyez vigilant lorsque vous communiquez votre adresse, même à des
organismes ou sociétés qui n’ont rien d’obscure, en lisant les conditions
sous lesquels vous fournissez votre adresse.
Si un site web vous demande votre adresse email, c'est qu'il compte en
faire quelque chose. Lisez les Conditions d'utilisation et les notices de
respect de vie privée sur les sites web avant de leur donner votre adresse.
Si vous ne trouvez pas ces notices sur les sites, ne donnez surtout pas
votre adresse.
10.4.1.1
Adresse masquée
Il est bien connu qu’il ne faut pas laisser son adresse mail sur les lieux
publics d’internet, qui d’ailleurs proposent souvent des alternatives pour
vous contacter comme sur les forums par exemple.
Mais comment faire sur un site internet ?
Plusieurs possibilités se présentent :
• Modifier son adresse, sans mettre de lien :
77/123
En la modifiant légèrement de sorte qu’un humain rectifie de luimême l’adresse mais qu’un robot n’y parvienne pas, il suffira au
visiteur de recopier l’adresse corrigée dans sa messagerie pour vous
écrire (par exemple : moi(arobase)fournisseur.fr)
• Mettre en place un formulaire, avec captcha :
La mise en œuvre est assez lourde, et les possibilités sont moindre
qu’en utilisant son outils de messagerie habituel (pièce jointe,
signature, etc.)
• Encoder l’adresse à l’aide d’un script :
Une solution simple consiste à utiliser un moteur de cryptage en
ligne (www.caspam.org) qui vous fournira le code à placer sur vos
pages web. Cela permettra ainsi à vos visiteurs de cliquer
simplement sur un lien pour vous écrire via leur messagerie
habituelle.
Ces solutions permettent de déjouer la traque aux adresses des robots
d’indexation des spammeurs.
10.4.1.2
Adresse jetable
Si l’on part du principe qu’il est trop contraignant de suivre avec attention
toutes ces précautions, il est alors nécessaire d’avoir plusieurs adresses
mail (au moins 2) :
1. Une adresse privée que vous ne communiquez qu’avec une extrême
réserve et qu’à des tiers de confiance.
2. Une adresse publique que vous communiquez plus aisément, mais
en observant tout de même des règles élémentaires afin qu’elle ne
soit pas trop rapidement saturée de spam. Cette adresse doit
pouvoir disparaître sans vous poser de désagrément car elle est
amenée à disparaître.
Vous pouvez allonger la durée de vie de cette adresse publique en
utilisant des adresses jetables à durée limitée ou à usage unique.
Certains site se sont fait pour spécialité de fournir ce type de service, mais
comme vous serez parfois amené à communiquer une adresse vers
laquelle ces BAL temporaires seront redirigées, soyez vigilant et ne
communiquez votre adresse qu’avec circonspection. Par contre, lorsque
ces services ne vous demandent pas votre mail, soyez conscient que la
boîte que vous créez, bien que temporaire n’offre aucune confidentialité.
Voici quelques services qui pourront être d’une grande utilité :
• E-mail jetable et anonyme, et donc non confidentiel puisque sans
inscription :
o www.yopmail.com
• Ce service sans publicité de l’APINC (Association Pour l'Internet Non
Commercial), permet de créer une adresse valable une heure, un
78/123
jour, une semaine ou un mois redirigé vers votre adresse et propose
une extension pour Firefox :
o www.jetable.org
• Plus complexe et nécessitant la création d'un compte, ce service
ravira ceux qui traquent le spam. Il vous permettra de créer
plusieurs adresses jetables, ou vous recevrez un nombre choisi d'email. De plus, vous pourrez créer des adresses email jetable sans
être connecté à internet :
o www.spamgourmet.com
Une technique plus ancienne mais qui fonctionne bien consiste à ne
conserver qu’une seule adresse et à créer des alias (autre nom décrivant
en fait la même BAL), ainsi vous communiquez uniquement l’alias et le
détruisez quand il est corrompu.
10.4.2
Changement d’adresse
En dernier recours cela peut être la bonne solution s’il est déjà trop tard
pour appliquer les règles précédemment citées.
Si c’est votre adresse principale qui est spammée cela peut-être
désagréable mais nécessaire.
Dans ce cas, il faut savoir que les mails que vous recevez essentiellement
de 2 types :
• Émetteur humain
• Lettre d’abonnement automatique
Dans le cas d’un correspondant humain, il vous suffira sur l’adresse que
vous ne souhaitez plus utiliser de ne pas la détruire, en tout cas pas tout
de suite afin de la paramétrer pour envoyer une réponse automatique
indiquant que vous ne consultez plus cette BAL et indiquant votre nouvelle
adresse (en la masquant pour plus de sécurité). Un humain aura tôt fait
de corriger votre adresse dans son carnet d’adresse tandis qu’un robot ne
sera que faire de ce message de retour si tant est qu’il le reçoive, ce qui
comme nous l’avons vu plus haut est extrêmement rare vu que cela
constituerait un moyen d’identifier les spammeurs.
En suite concernant, les newsletters que vous recevez, il vous suffira
d’observer votre ancienne BAL pendant quelque temps afin d’identifier
celles que vous souhaitez conserver et de faire la démarche de leur
communiquer votre nouvelle adresse « secondaire » pour plus de sécurité.
10.4.3
Captcha101
Ce sigle signifie « Completely Automated Public Turing test to tell
Computers and Humans Apart ».
101
Captcha fr.wikipedia.org/wiki/Captcha
79/123
Un captcha est une forme de test de Turing permettant de différencier de
manière automatisée un utilisateur humain d'un ordinateur.
Cette technique permet d’éviter que des robots remplissent un formulaire
ou participent à un forum ou à un blog.
Cela permet donc de s’assurer qu’il s’agit bien d’un humain qui utilise un
service et non un programme automatisé qui va abuser du service.
On rencontre 2 types de captchas, basés chacun sur des techniques
sensées n’être résolues que par un humain :
• Reconnaissance de formes :
Il s’agit de devoir saisir quelques lettres et chiffres dessinés dans
une image. Ces caractères sont parfois même difficiles à déchiffrer
pour un humain car des outils existent et sont performants si le
brouillage n’est pas assez fort. De ce fait, les images sont très dures
à déchiffrer (texte déformé, couleurs peu contrastées, etc.)
En corollaire, on retrouve le risque pour les déficients visuel de ne
pouvoir être reconnu, d’où l’ajout de captchas auditifs.
• À base d’énigmes :
Ce type de captcha offre l’avantage d’être facilement mis en œuvre
(pas de traitement d’image) et de ne faire appel qu’aux fonctions
cognitives,
mais
peut
rapidement,
après
une
période
d’apprentissage d’un logiciel d’intelligence artificielle, être dépassé.
Le principe de ces techniques, qui ne sont pas sans solution technique,
n’est pas tant de proposer quelque chose qu’un robot ne sait pas faire,
que de proposer quelque chose qu’il ne peut pas faire dans des
conditions économiques acceptables. Car comme on l’a vu, c’est le
faible coût des techniques de spam qui en font un outil de prédilection
pour les malfaiteurs du web. Tout comme un billet de banque n’est pas
80/123
infalsifiable, c’est l’ampleur des techniques à mettre en œuvre pour le
réaliser qui dissuade dans la majorité des cas.
10.5 Règles d’or
10.5.1
Virus
La prévention provient essentiellement de l'attitude des utilisateurs, qui
représente la première ligne de défense contre les infections. Les
utilisateurs devraient respecter certaines règles, afin d'éviter tout risque
d'infection, telles que :
1. Installer un pare-feu, un antivirus et un anti-spyware.
2. Maintenir à jour son ordinateur, système d’exploitation, logiciel de
sécurité bien sûr et tous les logiciels, particulièrement ceux en
contact avec le réseau (navigateur web, messagerie, etc.)
3. Travailler dans un compte/session avec des droits restreints (pas en
administrateur).
4. Sauvegarder régulièrement ses fichiers importants, cela évitera le
désagrément de la perte de données sensibles.
5. Ne pas cliquer trop hâtivement sur les fichiers, vérifier la
provenance, l’extension, scanner les avec des outils en ligne.
6. Protéger ses comptes par des mots de passe robuste.
Ces règles sont classées dans un ordre qui n’est pas anodin, bien que
discutable, et sont réduites au strict minimum afin de ne pas noyer
l’utilisateur sous un déluge d’informations inapplicables.
L’ordre que j’ai appliqué ici tient compte d’un ratio facilité/résultat, qui est
un compromis entre la facilité de mise en place de ces règles et le niveau
de protection qu’elles apportent.
Bien sûr, pleins d’autres règles seraient et sont à appliquer, qui dérivent
ou viennent compléter celles-ci, mais ces 6 règles sont le plus petit
ensemble concrètement applicable.
10.5.2
Pourriel
Dans le domaine des spams des règles d’or peuvent s’ajouter aux règles
décrites ci-dessus afin de spécifiquement diminuer l’impacte du
problème :
1. Ne communiquez pas votre adresse email principale sans savoir
comment elle va être utilisée, surtout sur les places publiques
d’internet (forum, blog, site web, etc.). Si vous le faites, donnez une
adresse secondaire/temporaire.
2. Méfiez-vous des titres de courriels et de pièces jointes trop racoleur
et des communications institutionnelles inhabituelles.
81/123
3. Utilisez un filtre anti-spam, n’ouvrez pas et détruisez tous les emails
non sollicités.
4. N'achetez jamais rien, n'utilisez aucun service dont un spam fait la
pub et ne cliquez pas par curiosité.
5. Ne participez pas aux chaînes de messages.
6. Dénoncez les agissements frauduleux aux autorités compétentes.
82/123
11 Solutions
Il existe des solutions face à ces menaces.
Certaines sont payantes, d’autres sont gratuites et toutes n’ont pas la
même efficacité, mais même les plus efficaces sont en sursit et doivent
évoluer constamment comme le font les menaces pour rester pertinentes.
Il y a l’indispensable trilogie pare-feu, anti-virus et anti-spyware dont tout
ordinateur devrait être équipé, mais il est devenu désormais quasiment
indispensable de s’équiper d’un anti-spam, à moins d’utiliser en amont
celui du FAI (Fournisseur d’Accès à Internet).
11.1 Anti-spam102
Plusieurs techniques coexistent et sont souvent utilisées
en conjonction, mais il y a 2 angles d’attaque possible. On
peut soit tenter d’identifier les messages indésirables, dont
le nombre est souvent supérieur au courriel légitimes, soit
se concentrer sur l’identification des expéditeurs légitimes
et n’autoriser que la réception de ce type de messages.
11.1.1
DKIM
DKIM pour « Domain Keys Identified Mail » est une norme datant de
2005. Elle encadre l'utilisation de signatures numériques pour
l'authentification des courriels.
Disponible gratuitement, cette technologie, à laquelle Microsoft souscrit,
n'impose aucune modification des logiciels clients.
En clair, DKIM permet de garantir que l’envoyeur d’un message est
effectivement autorisé et considéré comme un envoyeur légitime pour ce
domaine et que le contenu du message est intègre.
11.1.2
Filtres Bayésiens
Sortis de l’imagination de Paul Graham103 en août 2002, les filtres basés
sur cette technique sont désormais bien répandus, mais revers de la
médaille aussi bien contournés.
Avantages :
• Apprentissage automatique
• Facilité de mise en œuvre
102
103
Choisir son logiciel anti spam www.logiciel-antispam.com
A Plan for Spam par Paul Graham www.paulgraham.com/spam.html
83/123
Inconvénients :
• Occupe les capacités CPU
• Faillible par contournement :
o Spam image
o Texte littéraire
11.1.3
Liste grise [Greylisting]
Cette technique nécessite d'avoir un serveur de courriel (appelé « serveur
SMTP »).
L'idée est de se baser sur une liste blanche [whitelist] des serveurs
autorisés à envoyer des courriels. La nouveauté est que cette liste va se
constituer automatiquement au fil des réceptions de courriels.
Le principe est que si un expéditeur est inconnu son mail sera refusé. Le
serveur émetteur devra alors retenter l’envoi après un délai (dépendant
de sa configuration) et le courriel sera alors accepter et l’expéditeur ajouté
à la liste blanche. Ceci se base essentiellement sur le fait que les serveurs
utilisés par les spammeurs sont configurés de telle sorte (a des fins de
performance et de non traçabilité) qu’ils ne prennent pas en compte le
message de non distribution.
Au final, le premier envoi sera retardé uniquement, tandis que les spams
n’atteindront même pas la boîte du destinataire, économisant ainsi les
ressources qui sont d’ordinaires nécessaires pour filtrer.
11.1.4
IM2000
Comme je l’ai montré, le problème du protocole de courriel actuel SMTP
est double. D’une part on ne peut identifier avec certitude l’expéditeur et
d’autre part les coûts de stockage sont à la charge du destinataire. Ce qui
laisse libre court à toutes les malversations.
L’idée est ici d’inverser le protocole. Le serveur de l'expéditeur garderait le
message disponible tant que le destinataire ne l'a pas lu. C'est la
proposition "Internet Mail 2000" (IM2000). Un des avantages, c'est que le
serveur de l'expéditeur serait identifiable et ne pourrait plus disparaître 1
minute après avoir expédié un million de spams.
Mais toute médaille à son revers et ici il s’agirait du fait que les
spammeurs connaitraient avec précision les adresses des destinataires
ayant ouvert leur courrier ce qui est un atout considérable dans leur
pratique.
Il semble que cette proposition ne soit pas encore implémentée.
11.1.5
Liste noire/blanche [Blacklist/Whitelist]
84/123
Le principe est assez simple, puisqu’il s’agit de comparer l’adresse ou
même plus largement le nom de domaine de l’expéditeur avec une liste
avant de décider quoi faire d’un courriel, et ce quelque soit son contenu.
Ce type de liste peut être constitué à un niveau individuel, c’est
notamment le cas des listes blanches qui contiennent généralement
l’ensemble de votre carnet d’adresse, ou pour une entreprise les noms de
domaines des ses clients et fournisseurs.
Dans les listes noires on retrouve des adresses/domaine que l’on souhaite
bannir.
Le principe des listes noires est même étendu par la mise en commun
d’informations afin de recenser les émetteurs de courriels indésirables.
Ces listes communautaires sont souvent utilisées par les solutions antispam (cf. chapitre « Initiatives/Signal SPAM »).
11.1.5.1
Réputation
La première approche pour combattre le spam était basée sur la blacklist
(liste noire de bannissement). Elle fonctionnait au début quand le
phénomène était mineur. Mais aujourd'hui c'est une peine perdue : il est
beaucoup trop facile aujourd'hui d'envoyer un courriel avec une adresse
fictive, de cacher son identité, de générer des adresses ou des noms de
serveurs aléatoires qu'il est vain de vouloir en faire une liste exhaustive.
Le spam étant un phénomène mouvant en perpétuelle évolution, il est
nécessaire d’identifier, comme les signatures de virus, la partie stable.
Dans le cas des spams que ce soit pour vendre un produit ou pour infecter
un ordinateur, le plus souvent ces messages redirigent vers des sites, qui
eux aussi peuvent être mouvant, mais aussi depuis des noms de
domaines. Il s’agit alors de placer, après toutes les vérifications
nécessaires ces nom de domaines ou de site sur des listes104.
L’inconvénient c’est le risque de liste noire sur des sites corrompus à leur
insu, mais aussi de voir grandir la taille de ces listes jusqu’à saturation.
Ces listes de réputation sont donc utilisées aussi bien pour déterminer si
un courriel est un spam que pour identifier les sites présentant des
menaces.
À titre d’exemple, la société Coetic105 avec laquelle j’ai été en relation
durant mon stage et qui est intégrateur de la solution de GPAO de la
société Felten a eu quelques déboires avec son site web, sur lesquels je
les ai alerté. En effet suite à une recherche dans Google afin de trouver
leur site, je suis tombé sur l’encart ci-dessous.
104
Lists of web sites that have appeared in unsolicited messages www.surbl.org
COETIC est une société de conseil en Technologies de l’Information et de la
Communication (TIC) www.coetic.com
105
85/123
Ceci est le résultat du classement par la communauté BadwareBuster106
de leur site comme site à risque. À raison semble-t-il car ayant été piraté
celui-ci comportait une menace pour ses visiteurs. Après correction et
action auprès de cette communauté le site a retrouvé une réputation
standard.
106
Communauté centralisant la réputation de sites web badwarebusters.org
86/123
87/123
Une grande partie des bases de réputations est obtenue par la mise en
place de systèmes de délation dans lesquels il est fait appel aux
internautes pour dénoncer les spams. Les éditeurs de solutions anti-spam
ordinaires facilitent cette délation en proposant de dénoncer un courriel
comme étant un spam via un simple clic.
Ceci à ouvert la porte aux fausses dénonciations (concurrences
commerciales, etc.)107
11.1.6
Mobile
Avec l’avènement des téléphones portables de plus en plus sophistiqués et
intégrant des technologies proche de celle des ordinateurs, ces fléaux
risquent de se répandre sur les mobiles dès que leurs auteurs auront
trouvé comment faire fructifier ces malversations.
Mais d’ors et déjà, les mobiles sont victimes de messages abusifs et les
opérateurs, à l’image de SFR108, guident leur abonnés afin de leur éviter
ce désagrément.
11.1.7
Signature
Ce mécanisme, commun aux spam et aux menaces de types malware (cf.
chapitre « Anti-virus/Signature » plus bas) est très répandu.
Il s’agit de calculer le hashcode ou checksum du corps du message de
sorte qu’une fois ajouté dans la base de données de l’anti-spam il
permette de détecter un spam par comparaison de cette valeur.
11.1.8
SPF109
« SPF » pour Sender Policy Framework est un système visant à
authentifier un nom de domaine lors de l'envoi d'un courrier électronique.
C’est un effort communautaire qui gagne rapidement du terrain.
SPF fonctionne par la publication, dans le DNS d'un enregistrement
indiquant quelles adresses IP sont autorisées ou interdites à envoyer du
courrier pour le domaine considéré.
11.2 Anti-spyware
107
Le livre blanc du spam (p. 8)
www.mailinblack.com/site/upload/MIB_Livre%20Blanc%20-%20Le%20Spam.pdf
108
Que faire en cas de spam ? www.sfr.fr/securite-sante/spam/que-faire-en-cas-de-spam/
109
Sender Policy Framework, project overview www.openspf.org
88/123
Il existe des solutions dédiées à ce type de malware, bien que le spectre
d’action des anti-virus classiques se soient élargi et intègre ce type de
détection désormais.
Néanmoins devant la spécificité de ces menaces des outils dédiés sont
disponibles et on conseille leur utilisation en conjonction d’un anti-virus
afin de couvrir l’ensemble des risques.
11.3 Anti-virus
Il y a deux stratégies fondamentales d'utilisation
des anti-virus. La première est d'utiliser ces outils
pour scanner tout fichier nouveau avant
exécution (installation d’un logiciel), ainsi que
tous les supports extérieurs (clé USB, cédérom
etc.)
Par
précaution
il
est
également
recommandé de scanner périodiquement son
disque dur.
La deuxième technique consiste à installer un anti-virus résidant, plus
efficaces car offrant une protection en temps réel. Il surveille en
permanence l'activité de l'ordinateur, détecte et empêche tout
comportement suspect comme, les tentatives d'écriture sur le secteur
d'amorçage, les modifications de la table d'allocation en dehors des
procédures normales, l’effacement inopiné de fichier, le formatage du
disque, l’écriture directe sur le disque (en particulier dans un fichier
exécutable), le contournement des fonctions du système d'exploitation ou
le détournement de celles-ci de leur rôle normal, etc. Cette stratégie
permet, en théorie, d'intercepter à la source les tentatives de
contamination ou d'agression des virus même inconnus.
Chaque anti-virus a ses limites en terme de détection et l’idéal serait
d’utiliser en conjonction plusieurs anti-virus.110 Cependant, les anti-virus
résidants, cohabitent difficilement. En effet, ils ont tendance à se détecter
mutuellement comme des menaces du fait de leur fonctionnement intrusif,
sans compter le ralentissement que cela occasionnerait.
Comme malgré une mise à jour régulière ils ne détectent pas toutes les
menaces, il peut donc être utile d’utiliser les outils en ligne de différents
éditeurs lorsqu’il y a suspicion, ainsi que d’effectuer un scan périodique de
son ordinateur.
La plupart des anti-virus actuels utilisent des fichiers de signatures mais
incorporent aussi d'autres méthodes de détection dites heuristiques qui
reposent par exemple sur l'analyse empirique de certains détails de
110
Pourquoi
un
seul
moteur
antivirus
ne
suffit
www.gfsfrance.com/fr/whitepapers/why-one-virus-engine-is-not-enough.pdf
pas
89/123
structure des fichiers. Ceci leur permet parfois de détecter un nouveau
virus avant que sa signature soit connue.
11.3.1
Bac à sable [sandboxing]
Cette
méthode consiste à isoler un programme, sur une machine
virtuelle, et à constater « in vivo » son comportement sans incidence sur
la machine.
11.3.2
Empreinte
Cette méthode consiste à prendre une « empreinte » de chaque fichier de
programme et à contrôler périodiquement que ce fichier n'a subi aucune
modification. Cela ne permet que la détermination a posteriori d'une
contamination, mais elle offre théoriquement l'avantage de détecter la
présence de virus encore inconnus.
L'empreinte du fichier comprend généralement son nom, sa date et heure
de création ou modification, sa longueur et une « somme de contrôle »
[checksum]. Le logiciel anti-virus enregistre ces données lors d'un premier
examen du disque et, lors des examens ultérieurs, compare ces données
initiales avec celles que lui fournit l'examen en cours.
En théorie, toute modification, même minime, d'un fichier doit pouvoir
être détectée. En réalité, certains virus utilisent des méthodes
sophistiquées pour leurrer ces logiciels de contrôle.
11.3.3
Heuristique
Cette méthode est utile quand il n’y a pas encore de signature disponible
pour la menace (cas des virus polymorphes). Il s’agit de technique visant
à détecter des comportements suspects dans une application.
11.3.4
Signature
On peut identifier dans le code de la plupart des virus des séquences
d'octets caractéristiques de ce virus, c’est ce qu’on appelle la signature.
Si cette séquence est bien choisie, elle a de fortes chances de se retrouver
également dans la plupart des virus obtenus par modification d'un même
virus souche
En conséquence, on doit fournir une liste de signatures aux anti-virus
utilisant cette méthode. Bien entendu on ne peut détecter que des virus
déjà connus. C'est pourquoi la liste des signatures doit être complétée
périodiquement. Posséder un anti-virus a peu d'intérêt si on ne dispose
pas de mises à jour fréquentes. Les anti-virus doivent en effet être mis à
jour régulièrement en téléchargeant sur Internet les nouveaux fichiers de
définitions virales. Cette opération peut être automatisée sur la plupart
90/123
des anti-virus actuels, sachant qu’il peut y avoir plusieurs mises à jour
dans une même journée.
Ci-dessous un schéma explicatif du concept de signature :
111
Les virus polymorphes posent problème à cette méthode de détection, car
ils sont cryptés et auto-mutants. À chaque réplication le virus se crypte
lui-même avec une clé aléatoire. On ne peut donc définir aucune signature
stable qui permette de le reconnaître. Pour être efficace l'anti-virus doit
faire une analyse du contenu pour rechercher d'éventuels mécanismes de
cryptage.
112
Les anti-virus ne sont pas fiables à 100%, il faut souvent qu’une menace
apparaisse et commence à faire ses premier dégât pour que les anti-virus
intègrent sa signature dans leur base de connaissance.
Les auteurs de virus ayant connaissance de ce talon d’Achille
perfectionnent leur technique en créant des virus « changeant », appelés
polymorphes, c'est-à-dire dont la signature évolue à un rythme supérieur
aux capacités des sociétés sensées les identifier, créant ainsi une fenêtre
d’action suffisante pour infecter des ordinateurs pourtant protégés par
anti-virus.
D’où la nécessité d’observer certaines règles et d’avoir un comportement
adéquat (cf. chapitre « Prévention »).
111
Source
professeurs.esiea.fr/wassner/?2007/05/22/73-aprs-les-virus-les-allergiesinformatique-le-prochain-malware
112
idem
91/123
11.4 Pare-feu [firewall]
Son utilité est principalement de bloquer les communications entrantes et
sortantes. Mais comme nous avons vu, la majorité des menaces passent
par le spam ou les sites web et un pare-feu ne joue aucun rôle dans ces
cas, car les ports dédiés à ce type communication sont par défaut ouvert
sous peine de se couper du monde. Par contre, il peut permettre de
détecter les communications d’un malware vers l’extérieur.
Bien qu’aujourd’hui, contrairement aux anti-virus, antispyware et antispam, les systèmes d’exploitation contiennent un pare-feu d’origine, vous
serez peut-être amené à en installer un, dans ce cas vous pouvez vous
orienter vers ZoneAlarm113 qui est reconnu pour son efficacité et sa
gratuité.
11.5 Comparatifs
Ce chapitre, très pragmatique, permet de s’y retrouver parmi l’offre
pléthorienne de solutions commerciales et non-commerciales.
J’y indique les sources qui inventorient et qui classent les outils et j’en
propose un panel pertinent.
11.5.1
Anti-virus
Les critères de choix d’un anti-virus sont :
•
•
•
•
•
Délai de détection et fréquence de publication de signatures virales.
Détection de formes de malwares variés (spyware et autres…)
Heuristiques puissante de nouvelle forme de menaces.
Protection en temps réel (messagerie, flux http, etc.)
Faible taux de faux positifs/négatifs.
Le principe de base étant celui de la publication des signatures des
menaces identifiées, il est naturel de comparer la fréquence de parution
de ces signatures dans différentes solutions anti-virus afin de s’assurer de
leur pertinence. Par contre le nombre de signature, qui pourrait être un
indicateur n’est pas vraiment pertinent. En effet, il n’est pas révélateur du
taux de détection d’un anti-virus, car ces listes contiennent souvent des
signatures « in the zoo » qui ne sont pas représentatives de véritables
menaces, bien qu’utilisées comme argument commercial.
Voici quelques comparatifs indépendants de solutions :
113
Free firewall www.zonealarm.com/security/fr/zonealarm-pc-security-free-firewall.htm
92/123
• Société reconnu de tests d’anti-virus, propose notamment un
comparatif de la fréquence de mise à jour de signatures virale pour
40 anti-virus :
o www.av-test.org
• Organisme indépendant à but non lucratif fournissant des études
comparatives des solutions anti-virus (16 étudiés) :
o www.av-comparatives.org
• Comparatif de logiciels anti-virus et anti-maliciels :
o rlwpx.free.fr/WPFF/complam.htm
Il ressort de ces différentes études que chaque anti-virus a des points
forts et des points faibles (fréquence de mise à jour des signatures élevée
pour l’un, détection proactive i.e. en l’absence de signature pour l’autre,
faible taux de faux positifs etc.), d’où l’intérêt d’une utilisation croisée de
différent anti-virus afin d’obtenir une protection maximale quelque soit le
type de menace.
Même si la conclusion est que les logiciels payants sont plus performants,
comme nous l’avons vu, il serait illusoire de croire pouvoir se reposer sur
un seul d’entre eux. Par ailleurs, des solutions gratuites existent et sont
tout de même très performantes.
Enfin, si vous avez pris conscience de l’intérêt de se munir d’un anti-virus
vous trouverez une liste complète sur Wikipédia :
• Liste de logiciels anti-virus :
o fr.wikipedia.org/wiki/Liste_de_logiciels_antivirus
Je ne conseillerais ici comme le fruit de ces recherches que des solutions
gratuites dignes d’intérêts :
• Les meilleurs :
o Antivir d’Avira114 (Windows)
o Avast115 (Windows/Linux)
• Les performants :
o AVG (Windows/Linux)
o BitDefender (Windows)
o ClamAV116 (Windows/Linux/Mac et open source)
114
Avira AntiVir Personal – Free Antivirus www.freeav.com/fr/products/1/avira_antivir_personal__free_antivirus.html
115
Télécharger avast! Antivirus gratuit (Edition Familiale) www.avast.com/fre/downloadavast-home.html
116
ClamWin fr.clamwin.com/content/view/18/46/
Clam Antivirus www.clamav.net/download/
ClamXav www.clamxav.com/index.php?page=dl
93/123
On peut noter qu’il y a beaucoup moins de solution gratuite pour
Linux/Mac, mais que cela existe.
En ce qui concerne les anti-virus en ligne (donc gratuit) qui permettent un
complément de sécurité par le scan d’un fichier ou de tout son ordinateur,
on trouve une liste très riche ici (attention à la compatibilité indiquée avec
votre navigateur et attention aux rogues) :
•
•
Tableau comparatif des fonctionnalités des anti-virus gratuits en
ligne :
o assiste.com.free.fr/p/antivirus_gratuits_en_ligne/antivirus_gra
tuits_en_ligne.html
61 scans anti-malwares en ligne pour Xp/Vista :
o www.commentcamarche.net/faq/sujet-11487-61-scans-antimalwares-en-ligne-pour-xp-vista
On peut noter que certains outils ne scannent qu’un seul fichier mais ceci
sur la base de plusieurs anti-virus. C’est donc un bon réflexe lorsqu’il y a
suspicion ou doute sur l’origine d’un fichier.
La marche à suivre est de le télécharger (vous ne risquez rien comme on
l’a vu tant qu’il n’est pas exécuté), puis de le scanner et seulement si le
résultat est négatif de l’exécuter.
Attention toutefois, certains anti-virus détectent et confirment ainsi
l’infection mais ne la réparent pas. Il peut alors être nécessaire de faire
une recherche pour appliquer un patch de sécurité comblant la faille
exploitée, ou un utilitaire de désinfection.
Voici une sélection des plus efficaces :
•
•
•
Kaspersky117 (détecte mais ne répare pas)
Trend Micro HouseCall118 (tout navigateur)
Panda119 (IE)
Comme on l’a vu, les scans en ligne ne remplacent pas un anti-virus
résident et sont donc ponctuels, et il vaut mieux utiliser plusieurs antivirus, d’où l’offre de scan de fichiers par plusieurs moteur anti-virus en
une seule opération :
•
•
VirusTotal120 (39 moteurs d’analyse anti-virus, tout navigateur)
Jotti121 (21 moteurs d’analyse anti-virus, tout navigateur)
117
Scanner antivirus online www.kaspersky.com/fr/virusscanner
Trend Micro scan en ligne d'antivirus housecall.trendmicro.com/fr/
119
ActiveScan 2.0 – Vous verrez la sécurité de votre PC sous un autre œil
www.pandasecurity.com/activescan/index/
120
VirusTotal – Analyse gratuite en ligne de virus et malware www.virustotal.com/fr/
121
Le scanner anti-virus de Jotti virusscan.jotti.org/fr
118
94/123
11.5.2
Anti-spyware
Bien que certains anti-virus fassent aussi office d’anti-spyware, ces outils
spécifiques font souvent l’objet d’une offre à part.
Ils ont d’ailleurs été étudiés de près dans cette étude très complète :
• Comparatif anti-trojans :
o http://assiste.com.free.fr/ftp/comparatif.pdf
Voici une liste des outils gratuits offrants de bonnes performances :
•
Famille des anti-spywares et anti-trojans :
o assiste.com.free.fr/p/logitheque_familles/anti_spywares.html
Dont je conseille, suite à la lecture des comparatifs, les produits suivants :
•
•
•
SpyBot Search & Destroy122
CA Anti-Spyware/PestPatrol123
Windows Defender124
Et voici une liste des outils en lignes, là encore attention aux rogues qui
sont nombreux dans ce domaine :
•
Tableau comparatif des fonctionnalités des anti-spywares gratuits en
ligne :
o assiste.com.free.fr/p/anti_spywares_gratuits_en_ligne/anti_sp
ywares_gratuits_en_ligne.html
Dont voici une sélection :
•
•
CA Anti-Spyware/PestPatrol125 (IE)
PC Flank126 (tout navigateur)
11.5.3
Anti-Spam
Les solutions proposées ici sont des solutions à installer sur un poste
client, bien que dans le cas d’une entreprise il est certainement plus
intéressant d’installer une solution en amont.
Le choix d’un tel outil peut se faire en fonction du client de messagerie
que l’on utilise, mais en cas de connaissances techniques suffisantes on
peut agir au niveau du proxy. Un autre élément à prendre en compte est
122
123
124
125
126
SpyBot Search & Destroy www.safer-networking.org/fr/
CA Anti-Spyware/PestPatrol www.pestpatrol.com
Windows Defender www.microsoft.com/france/protect/spyware/software/default.mspx
CA Anti-Spyware/PestPatrol www.pestpatrol.com
PC Flank www.pcflank.com
95/123
la confidentialité de la solution, car souvent les courriels reçus sont
comparés avec une base de données centralisée.
Voici une liste des solutions anti-spam :
•
Outils et services à base de détection et éradication de spam :
o assiste.com.free.fr/p/logitheque_familles/outils_et_services_a
nti_spam.html
Voici quelques solutions à noter :
•
•
SpamFighter127 (fonctionne avec Outlook et Outlook Express ainsi
que Thunderbird)
MailWasher128 (fonctionne avec tous les clients de messagerie)
11.6 Tests
Attention, il s'agit de tests sommaires, ils ne sont pas suffisants pour
établir la qualité d'un outil, mais doivent être obligatoirement corrects.
Divers menaces peuvent être simulées et donnent un bon aperçu de l’état
de sécurité d’une machine :
•
Symantec propose un scan de sécurité :
o security.symantec.com/sscv6/
11.6.1
Anti-virus
Après tout ça vous pensez être protégé et avoir correctement installé
votre ou vos logiciels de sécurité, alors n’hésitez à faire ces tests :
• Édité par l’EICAR, ce fichier de test inoffensif est une chaîne de
caractères destinée à tester le bon fonctionnement des logiciels
antivirus :
o www.eicar.org/anti_virus_test_file.htm
• Un moyen d’infection courant est l’utilisation d’applets Java lors de
la navigation web. Tester votre protection contre ces menaces :
o www.cigital.com/hostile-applets/
11.6.2
Pare-feu
Pour tester l’efficacité d’un pare-feu, testez vos ports à cette adresse :
127
Filtre Anti Spam pour Outlook, Outlook Express, Windows Mail, Thunderbird et
Serveurs www.spamfighter.com/Lang_FR/
128
MailWasher www.mailwasher.net
96/123
• Vérifiez la sécurité réseau de votre ordinateur :
o check.sdv.fr
• Scanner de ports gratuit :
o www.inoculer.com/scannerdeports.php
11.7 Limites
Une bonne protection ne repose pas sur un seul élément, mais sur la
conjonction de plusieurs, cependant, que ce soit pour des raisons
commerciales ou techniques il est souvent impossible d’installer et de faire
cohabiter 2 anti-virus.
Les solutions à base de listes blanches et surtout de listes noires posent le
problème du contrôle avant ajout, car il arrive fréquemment que des
ajouts soient faits à tort portant ainsi préjudice. Et le mécanisme pour
sortir de ces listes est souvent tortueux et bien plus compliqué que pour y
rentrer.
11.7.1
Faux positifs et faux négatifs
Le taux de faux-positifs est le pourcentage de courriers électroniques
légitimes identifiés à tort comme spams par l’anti-spam. Le taux de fauxnégatifs est le pourcentage de spams interprétés par l’anti-spam comme
étant des courriers électroniques légitimes.
De la même manière, bien qu’on aborde moins souvent ce problème au
sujet des anti-virus, il est un élément à prendre en compte dans
l’efficacité de ces outils.
Les deux taux précédents sont des éléments de mesure de la qualité d’une
solution anti-spam. Plus ces taux sont bas, plus la solution est
performante. Cependant, ces deux taux varient toujours de façon
inversée.
Le réglage d’une solution applicative en termes de taux de faux positifs et
de faux négatif est toujours une tâche ardue, et bien souvent le choix de
tel ou tel outil induit un réglage type.
En effet, certains produits sont connus pour leur taux élevé de faux
positifs et d’autres pour leur taux plus élevé de faux négatifs.
Dans le cas d’un anti-spam, bien que le compromis revienne toujours en
dernier recours à l’utilisateur, il est préférable d’avoir un réglage moins
agressif, c'est-à-dire qu’il laissera passer quelques spams dans votre boîte
(faux négatif), mais ainsi limitera le nombre de faux positif (messages
classées à tord dans votre dossier spam). La raison est simple, tout
simplement car un spam s’identifie aisément à « l’œil nu », le problème
des spam étant leur multitude et le fait que les courriers légitimes sont
noyés dedans. Dans ce cas donc, on pourra aisément écarter le spam et
97/123
on évitera la lourde tâche qui consiste à vérifier parmi tous les spams
reçus s’il n’y a pas de courriers légitimes.
Contrairement, un anti-virus préfèrera, même si c’est toujours
problématique, avoir un taux de faux positifs légèrement plus élevé pour
limiter les faux négatifs. Encore une fois la raison est simple, car dans le
cas des virus on ne peut pas se permettre de laisser passer le moindre
virus qui pourrait avoir des conséquences catastrophiques, surtout qu’on
ne s’en rend pas toujours compte, tandis que si votre anti-virus vous
alerte à tord sur un programme dont vous connaissez l’origine cela est
moins impactant car vous pouvez toujours décider d’exécuter le
programme malgré tout.
11.7.2
Coût
Bien que le coût financier puisse être très bas pour se protéger avec les
nombreuses solutions gratuites et performantes existant aujourd’hui, il
existe un autre coût « caché » qui se révèle lorsque l’on incrimine la
lenteur d’un ordinateur. En effet, l’installation d’anti-virus, antispyware et
anti-spam qui fonctionnent pour une meilleure efficacité en temps réel et
qui sont résident en mémoire, consomment des ressources que vous avez
chèrement acquises (CPU, mémoire) et dégradent votre confort
d’utilisation.
11.7.3
Généralisation
Dès lors qu’une solution innovante dans un premier temps se généralise
suffisamment pour vraiment freiner la diffusion des spams, les
spammeurs font alors l’effort de s’adapter, même si cela à un coût.
Par exemple, dès lors que les filtres bayésiens se sont répandus et ont été
correctement utilisés, les spams images se sont généralisés avec comme
effort de bord une plus grande occupation de la bande passante.
11.8 Formation
Reste une dernière solution, éduquer les utilisateurs. Car, si le spam
continu à inonder nos BAL, c’est qu’il a du succès et qu’il est générateur
d’argent. Or un comportement plus éclairé de la part des internautes
permettrait de réduire considérablement l’impacte de ces menaces, en
commençant par ne rien acheter aux spammeurs et à ceux qui ont recours
à leurs services.
Et aussi en se protégeant efficacement évitant ainsi de venir grossir les
rangs des botnets, grand pourvoyeur de spams.
98/123
12 Conclusion
La simplification, et l’accessibilité grandissante
aux systèmes d’information voulue par un
nombre toujours plus grand d’utilisateurs,
simples
consommateurs
de
fonctionnalités
toujours plus riches en interaction (cf. web 2.0),
est synonyme de risques.
En effet, pour les non initiés, il est aisé de
commettre des erreurs, encouragés en cela par des personnes peu
scrupuleuses exploitant cette méconnaissance à la fois des outils mais
aussi et surtout du risque.
Malgré tout, pour les plus curieux, nombre d’informations, de qualité
variable, sont disponible afin d’affiner sa compréhension des enjeux de
notre existence « virtuelle ». Et justement, l’utilisation abusive de cette
appellation (virtuelle) n’est pas faite pour éveiller les esprits quant aux
menaces bien réelles (financière, usurpation d’identité, réputation, etc.)
On constate que de nombreux problèmes apparaissent et sont dû à
l’acceptation tacite de conditions d’utilisation ou de diffusion
d’informations sans nous en rendre compte.
Le clic sur un bouton « j’accepte » équivaut à une signature en bas d’un
document que vous n’auriez pas lu.
Du côté des menaces, le constat est surprenant, puisque c’est souvent le
fait qu’une ressource soit gratuite et quasi illimité qui fait que des
personnes mal intentionnées se l’approprie à des fins peu scrupuleuses et
réussissent à générer autant de problèmes (mail, VoIP, etc.).
L’autre point de vue à adopter, est que les menaces qui visent
principalement Windows ont un impacte conséquent du fait du quasi
monopole de cette société.
Une hétérogénéité plus saine serait donc garante de menaces moins
radicales.
De même, l’utilisation de logiciels alternatifs, en comparaisons avec ceux
fournis par défaut (navigateur web, players, etc.) permet de réduire
sensiblement l’utilisation de failles de sécurité, sauf lorsque ces logiciels
alternatifs eux-mêmes deviennent suffisamment populaire (cf. Firefox).
Cependant, l’interopérabilité grandissante annonce la venue de menaces
multiplateformes, et sans attendre cela le phénomène du spam dépasse
déjà aujourd’hui les frontières des systèmes d’exploitation.
Néanmoins, aller vers des systèmes alternatifs comme Linux/Mac, si l’on y
va en sachant que ces systèmes ne sont pas exempts de menaces,
constitue une bonne démarche en ce sens que cela éveille à un autre
mode de fonctionnement et qui plus est va dans le sens d’un équilibre des
OS nécessaire à une concurrence saine (corrections des failles).
99/123
Dès lors que l’on comprend que les systèmes aujourd’hui moins soumis
aux malwares y sont pourtant théoriquement tout aussi vulnérable, il
suffit alors de comprendre les motifs qui en font des cibles moins
attrayantes afin de reproduire cet état de fait.
C’est sous cet angle novateur que le site viruspam.free.fr se propose de
guider l’internaute en recherche d’information.
Par ailleurs, l’aspect hétéroclite des menaces qui sont l’œuvre de multiples
individus et/ou organisations ne peut trouver de solution efficace dans une
seule réponse institutionnelle ou commerciale. Il est nécessaire de traiter
ces attaques au cas par cas, ce qui demande un effort énorme et souvent
sous-estimé.
Pour reprendre les termes du titre du mémoire (« Virus, Spyware, Spam :
Une course perdue d’avance ? »), c’est une course de relais qui, si l’on
veut la gagner, doit reposer sur une équipe (utilisateurs, éditeurs de
logiciels, pouvoirs publics) soudée et entrainée.
Cette course peut donc être gagnée, encore faut-il avoir conscience que
nous aurons à la courir et donc à la préparer sérieusement, et cela ne se
fait pas sans peine, voir sans quelques blessures à l’entrainement.
Malheureusement, les enjeux commerciaux gigantesques nuisent à une
émulation saine entre les différents acteurs anti-spam et anti-virus, à tel
point même que certains acteurs anti-spam détectent les courriels de leur
concurrent comme du spam et que les anti-virus ne sont pas compatibles
entre eux, même si en façade tous ces acteurs affichent une saine unité.
Nous sommes tous, par nos agissements sur le web, responsables du
devenir d’internet.
100/123
13 Annexe
13.1 Le site
Je propose un site reprenant l’essentiel de ce mémoire dans un but de
vulgarisation et permettant d’accéder en ligne à des outils ou des
ressources officielles.
J’ai sélectionné des ressources prioritairement en français pour que la
langue ne soit pas un obstacle à la compréhension.
L’intérêt du site est contrairement à ce rapport de pouvoir offrir une vue
en temps réel des menaces sur le web, il constitue en ce sens un
prolongement pragmatique et utile de ce mémoire.
L’idée est de partager et de faire connaître les efforts déjà déployés pour
informer le public.
Je me suis appuyé sur des comparatifs d’anti-virus afin d’en sélection
quelques uns de qualité (bon taux de détection des menaces), gratuits, et
offrant la possibilité de scan en ligne.
Par ailleurs, ce site respecte les standards du web par l’intermédiaire de
validateurs du W3C, tant au niveau technique (XHTML, CSS) qu’au niveau
de l’accessibilité et de l’interopérabilité entre les navigateurs (testé sur 5
navigateurs, à savoir Internet Explorer, Mozilla, Safari, Opéra et Chrome).
13.2 Exemples d’hameçonnage
13.2.1
Caisse d’épargne129
On trouve début juin 2009 sur la page d’accès aux comptes en ligne du
site de la caisse d’épargne cet encart :
Cela montre que le problème est sérieux et par ailleurs on peut lire dans
une section du site des conseils de sécurité fournis en collaboration avec
la DDM :
129
Les alertes sécurité www.v4.caisseepargne.fr/asp/modele0.aspx?np=historique_alertes_secu#
101/123
« Alerte du 11 juin 2009, une tentative de phishing cible certains clients
de la Caisse d'Épargne. »
Le mail se présente sous cette forme. Il s’agit d’une fausse information qui
vise à obtenir des données personnelles et bancaires vous concernant.
13.2.2
Deezer130
Ci-dessous un courrier de communication du site Deezer reçu au mois de
mai 2009, suite à une tentative d’abus de confiance menée par une
campagne de spam.
130
Service gratuit et illimité d'écoute de musique en ligne se présentant sous la forme
d'un site Internet. Multilingue, le site est, en 2009, proposé en 16 langues. Il compte un
effectif de près de 7 millions de membres pour un total de plus de 4 millions de chansons
écoutables sur le site www.deezer.com
102/123
13.3 Étude de cas
Le point faible des sociétés qui démarchent par spam est qu’à un moment
ou à un autre elles doivent se dévoiler afin de faire affaire, c’est aussi la
raison pour laquelle le spam évolue aujourd’hui vers des mails qui n’ont
rien à vendre et qui proposent des choses attrayantes et gratuites afin de
contaminer les machines et ainsi par la suite de pouvoir faire des
malversations par ordinateur interposé (botnet) ou leur exposition sera
moindre puisque c’est la machine infectée qui semblera être à l’origine de
l’arnaque.
Dans les cas que je traite ci-dessous je suis resté dans l’hexagone afin de
faciliter mes recherches et de limiter mes frais d’appels téléphoniques,
ceux-ci étant le moyen le plus directe de contacter les spammeurs.
103/123
13.3.1
Air E-Mail
Suite à la réception d’un spam, de type image, se voulant être une
démarche commerciale tout à fait légitime pour proposer des services de
publipostage, j’ai pris contact avec cette société.
D’abord honnêtement en expliquant mon statut d’étudiant faisant un
mémoire, mais ayant pris contact par téléphone puis par courriel sans
succès, si ce n’est le spam de l’adresse avec laquelle j’avais pris contact,
j’ai décidé d’utiliser les techniques d’ingénierie sociale.
Suite à cet essai infructueux, me faisant passer pour un prospect intéressé
mais sceptique et surtout ne voulant pas risquer des ennuis j’ai pu obtenir
quelques informations, ou tout du moins le discours officiel de cette
société.
Voici les points que j’ai relevés :
• Je n’assumerais aucune responsabilité, seul eux étant ceux qui
envoient les mails prendraient la responsabilité.
o Faux : Suite à une confirmation par la CNIL, le commanditaire
est responsable.
• Le démarchage de professionnel serait autorisé.
o Faux : Professionnel ou particulier sont protégés contre le
démarchage non sollicité. Une petite nuance pour les
professionnels a pu exister mais il semblerait que ça ne soit
plus le cas (cf. chapitre « Législation/Pourriel »).
• Le fichier de particulier serait « opt-in » :
o Faux : J’en suis la meilleure preuve.
• Les mails contiendraient un lien « opt-out » fonctionnel et quasiinstantané.
o Le lien est présent, et après désinscription j’ai pu constater
(en comparant avec une autre adresse spammée) qu’il est
bien fonctionnel.
• Dernier argument d’autorité, la société officierait depuis de
nombreuses années.
o Faux : Dans l’état actuelle elle a tout juste 1 an d’existence
(cf. identité juridique ci-dessous).
En jouant sur le fait que j’étais potentiellement intéressé mais sceptique,
j’ai pu avoir nombre d’informations, erronées certes mais j’ai obtenu des
réponses. Comme cela est difficile à vérifier ils ne prennent pas grand
risque et me renvoient vers leur site qui a même l’audace de citer la CNIL
au travers de l’article d’un juriste131.
131
Prospection
par
courrier
www.airemail.fr/fichiers/CNIL.pdf
électronique
&
autorisation
préalable
104/123
Par contre, lorsque j’ai demandé à obtenir le numéro d’enregistrement
auprès de la CNIL indispensable à une telle activité, puisque détenteur
d’information personnel, je n’ai pas obtenu de réponse. Mais après
quelques recherches j’ai pu avoir confirmation que cette société était bien
enregistrée auprès de la CNIL.
Ci-dessous le message d’origine :
105/123
Cette société ne respecte clairement pas l’« opt-in », mais semble
respecter l’« opt-out ». Ceci dit sachant que de nombreux internautes ne
cliquent pas sur ces liens ayant peur de confirmer leur adresse aux
spammeurs et d’accroître la réception de spam, cela permet à cette
société de constituer une base toujours plus grande. En effet, de
nombreux site de référence indiquent comme règle d’or de ne pas cliquer
sur les liens d’un spam, y compris celui de désabonnement.
J’apporterais la nuance, que dans le cas de société française qui ne
masquent pas leur identité c’est au contraire le meilleur moyen de se
débarrasser de leurs spams.
Après avoir trouvé des infos sur l’entreprise il me fallait encore le n° de
SIRET complet (14 chiffres) que j’ai obtenu auprès de l’INSEE, pour
pouvoir me renseigner auprès de la CNIL. Le résultat de ces recherches
est exposé au chapitre suivant « Société ».
Ce qui est surprenant, c’est que cette société démarche pour vendre ses
services d’emailing les mêmes personnes qu’elle spamme et ça marche.
Encore une fois rappelons que si personne ne donnait suite à ce type de
pratique, leur activité ne serait pas rentable et ils arrêteraient donc de
spammer.
13.3.1.1
Informations juridiques
Air E-Mail
www.airemail.fr
Maurice Rambaud
04 76 38 06 67
[email protected] (attention tout mail envoyé à cette société viendra
grandir leur base)
106/123
132
Ci-dessus seul le n° de SIREN apparaît (9 chiffres), une fois concaténé au
n° NIC (3 zéros et 2 chiffres), cela donne le n° de SIRET.
133
13.3.1.2
Client
Suite au contact de cette entreprise par mail, j’ai commencé à recevoir
des courriers non sollicités dont voici un exemple :
132
Source bilans.lesechos.fr
Avis
de
situation
sirene.insee.fr/avisitu/jsp/avis.jsp
133
au
répertoire
SIRENE
avis-situation-
107/123
Après avoir pris contact avec le loueur, il apparait que cette personne à du
payer une centaine d’euros pour envoyer sa plaquette à environ 100.000
destinataires.
Comment a-t’il eu connaissance de cette entreprise situé à l’autre bout de
la France ? Simplement en recevant un spam et en y répondant, preuve
que cela peut-être un commerce rentable.
Ce loueur, un maçon ayant monté lui-même sa maison et désirant
rentabiliser son travail par une location d’été, n’a apparemment aucune
connaissance de la législation en vigueur et fait entièrement confiance au
108/123
prestataire qui selon lui prend seul le risque étant donné que c’est lui qui
envoie les mails.
Ce que cette personne ne sait pas c’est que c’est le commanditaire de la
collecte qui est responsable pas le prestataire (cf. CNIL134).
L’effet pervers est que si une action en justice est passée, le véritable
spammeur ne sera pas véritablement inquiété.
Le service comprend aussi l’envoi au loueur des courriels des gens ayant
cliqué sur l’annonce afin qu’il puisse les relancer directement par la suite.
13.3.2
E-Nov Développement
Suite à la réception d’un spam promettant des gains alléchants « Vous
recherchez un créneau Porteur ? Générez jusqu'à 10 000 euros de marge
dès le premier mois sur le secteur des nouvelles technologies. », j’ai pris
contact avec la société en question dont j’ai retrouvé la véritable activité,
l’emailing.
Après avoir contacté cette société en me présentant comme un étudiant
devant faire un mémoire sur l’emailing, j’ai été éconduit dès que j’ai
refusé de laisser une adresse mail.
Suite à cette réaction j’ai décidé de contacter la CNIL et au préalable de
vérifier la soit disant l’impunité de leur pratique consistant à ne pas
spammer des adresses individuelles mais à viser des adresses dites
génériques du genre contact@domaine ou info@domaine. Et comme on
peut le lire dans le chapitre « Législation/CNIL », il s’avère que c’est tout à
fait exact.
Après quelques recherches plus pointues, il s’avère que cette société avait
été l’une de celle ciblée par des plaintes de la CNIL suite à l’opération
« Boîte à spam » en 2002, à l’époque nommé ABS (Alliance Bureautique
Service) et renommé depuis en E-Nov Développement. Poursuivie non pas
pour spam mais pour éditer des logiciels de collecte frauduleuse d’email
sur internet.
D’abord relaxé en 2004 pour une subtilité qui réside dans le fait que les
mails ainsi collectés n’étaient pas stockés mais utilisé à la volée pour
spammer faisait qu’à l’époque les poursuites n’ont pas pu être engagées
contre cette société.135
Puis condamné finalement en appel en 2006136 à 3.000 € d’amende.
134
Renseignements juridiques www.cnil.fr/acces/contactez-nous/
Tribunal de grande instance de Paris, 17e Chambre, 7 décembre 2004 :
www.foruminternet.org/specialistes/veille-juridique/jurisprudence/tribunal-de-grandeinstance-de-paris-17e-chambre-7-decembre-2004.html
136
Les
logiciels
«
aspirateurs
»
d’e-mails
condamnés
www.scaraye.com/article.php?a=326
135
109/123
Cette société néanmoins habitué à des procédés douteux s’est déjà vu
condamnée dans un procès l’opposant à pas moins que Microsoft pour
contrefaçon dans l’utilisation douteuse d’une adresse @hotmail.137
Extrait du jugement.138
Néanmoins cette société continue à sévir et à envoyer de nombreux spam
depuis des années en jouant sur des subtilités que j’évoque plus haut
dans le chapitre « Législation ».
Cette société est déclarée auprès de la CNIL, sous son ancien nom (ABS
Alliance Bureautique Service), pour un démarchage afin de proposer des
service de création de site web.
13.3.2.1
Informations juridiques
E-Nov Développement
www.adminsarl.com
Fabrice HALIMI
01 41 81 36 75 - 01 41 81 38 75
01 45 11 94 75 - 01 45 11 99 49
01 49 76 93 89 - 01 49 76 96 26 - 01 49 76 97 90
01 55 96 69 74
137
Contrefaçon dans une extension d'adresse mail www.avodroits-ntic.com/actualites/id17-contrefacon-dans-une-extension-d-adresse-mail
138
TGI Paris, référé, 6 avril 2004, Microsoft c/ E-Nov Développement
www.juriscom.net/actu/visu.php?ID=497
et
www.legalis.net/jurisprudencedecision.php3?id_article=1811
110/123
139
13.3.3
Désabonnement
Afin de tester le respect de l’opt-out par certaines sociétés françaises de
marketing, j’ai observé l’effet de l’utilisation du lien de désabonnement
des spammeurs suivants qui s’est avéré efficace, bien qu’ayant été
spammé sans mon accord préalable :
•
•
•
•
•
Datalinksolution
Direct mailing
FC2M (Look Voyages)
FootballMercato
Montrinvest
13.4 Index
13.4.1
ASCII
139
Sigles et acronymes
American Standard Code for Information Interchange
Source bilans.lesechos.fr
111/123
La norme ASCII (code américain normalisé pour l'échange
d'information) est la norme de codage de caractères en informatique
la plus connue et la plus largement compatible.
BAL
Boîte aux lettres (électronique)
BIOS
Basic Input Output System140
Système élémentaire d'entrée/sortie est, au sens strict, un
ensemble de fonctions, contenu dans la mémoire morte (ROM) de la
carte mère d'un ordinateur lui permettant d'effectuer des opérations
élémentaires lors de sa mise sous tension, par exemple la lecture
d'un secteur sur un disque. Par extension, le terme est souvent
utilisé pour décrire l'ensemble du micro-logiciel (« logiciel embarqué
» ou « firmware ») de la carte mère.
Captcha
Completely Automated Public
Computers and Humans Apart
Turing
test
to
tell
Cf. chapitre « Prévention/Pourriel/Captcha ».
CNIL
Commission Nationale de l’Informatique et des Libertés
Cf. chapitre « Législation ».
DNS
Domain Name System (système de noms de domaine)
C’est un service permettant d'établir une correspondance entre une
adresse IP et un nom de domaine.
EICAR
European Institute for Computer Anti-virus Research
C’est une organisation fondée en 1990, dont l'objectif est la
recherche en virologie informatique et l'amélioration du
développement des logiciels anti-virus. Récemment, EICAR a élargi
son programme de recherche en incluant l'ensemble des logiciels
malveillants.
EICAR est connu pour fournir le fichier de test Eicar, une chaîne de
caractères exécutable mais inoffensive, destinée à tester l'intégrité
de logiciels anti-virus.
FAI
Fournisseur d'Accès à Internet141
140
Basic Input Output System fr.wikipedia.org/wiki/Basic_Input_Output_System
Fournisseur d'accès à Internet
fr.wikipedia.org/wiki/Fournisseur_d'acc%C3%A8s_%C3%A0_Internet
141
112/123
C’est un organisme (généralement une entreprise) offrant une
connexion au réseau informatique Internet. Le terme en anglais
désignant un FAI est Internet Service Provider (ISP) ou Internet
Access Provider (IAP).
HTTP/HTTPS
HyperText Transfer Protocol (Secured)142
Littéralement le « protocole de transfert hypertexte (sécurisé) », est
un protocole de communication client-serveur développé pour le
World Wide Web.
IE
Internet explorer
C’est le navigateur du système d’exploitation Microsoft Windows.
MISC
Multi-system & Internet Security Cookbook
Magazine bimestriel français spécialisé dans la sécurité informatique
dont le rédacteur en chef est Frédéric Raynal.
Il s'agit du magazine français de référence avec des articles écrits par
des acteurs reconnus de la sécurité informatique en France, tels que
des chercheurs, ou des enseignants par exemple.
Il est publié par les éditions Diamond, qui publient aussi GNU/Linux
Magazine France et Linux Pratique.
OS
Operating System (système d’exploitation)
C’est un ensemble de programmes responsables de la liaison entre
les ressources matérielles d’un ordinateur et les applications
informatiques de l’utilisateur. Il fournit aux programmes
d'applications des points d’entrée génériques pour les périphériques.
Windows, Linux, Mac OSX sont des OS.
URL
Uniform Resource Locator (localisateur uniforme de ressource)
C’est une chaîne de caractères utilisée pour adresser les ressources
du World Wide Web.
13.4.2
Autorun
Glossaire
Démarrage automatique
Mécanisme consistant à déclencher automatiquement l’exécution
d’une ressource en supposant que c’est le souhait de l’utilisateur.
142
Hypertext Transfer Protocol fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol
113/123
Backdoor
Porte dérobée143
De la famille des Troyens, elles ouvrent des ports permettant ainsi
des actes malveillants à distance.
Bande passante
C’est un abus de langage qui indique le débit d’information qui peut
transiter sur un média.
Bayésien
Du nom de son auteur
Cf. chapitre « Solutions/Anti-spam ».
Blacklist
Liste noire
Blog144
Un blog ou blogue est un site Web constitué par la réunion de billets
agglomérés au fil du temps et souvent classés par ordre
antéchronologique (les plus récents en premier). Chaque billet
(appelé aussi note ou article) est, à l'image d'un journal de bord ou
d'un journal intime, un ajout au blog ; le blogueur (celui qui tient le
blog) y délivre un contenu souvent textuel, enrichi d'hyperliens et
d'éléments multimédias, sur
lequel chaque
lecteur
peut
généralement apporter des commentaires.
Boot
Amorçage
Cela désigne la procédure de démarrage d'un ordinateur, qui
comporte notamment le chargement du programme initial.
Botnet
Réseau de robots
C’est le nom donné à un ensemble de machines dites « zombies »,
c'est-à-dire infectées par un malware permettant leur prise de
contrôle à distance.
Bounce
Rebond
Cf. chapitre « Courrier indésirable ».
143
144
Porte dérobée fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e
Blog fr.wikipedia.org/wiki/Blog
114/123
Buffer overflow
Dépassement de tampon
Consiste à utiliser une faille de conception et à écrire en mémoire un
code malveillant qui sera exécuté en lieu et place du code initial.
Checksum
Somme de contrôle145
Il s’agit d’un concept de la théorie des codes utilisé pour les codes
correcteurs, elle correspond à un cas particulier de contrôle par
redondance. Elle est largement utilisée en informatique et en
télécommunications numériques. Elle est obtenue en faisant la
somme (en utilisant l'opération modulo) de tous les octets du code
du logiciel, ou de certaines zones sensibles de celui-ci.
Crack
Petit utilitaire permettant d’outrepasser les protections d’un logiciel
pour l’utiliser sans en acquérir la licence.
Cybercriminel
Auteur de malversations par ordinateur interposé et/ou utilisation de
techniques frauduleuses de type malware.
Déni de service
[Deny of Service (DoS)]146
Une attaque par déni de service (ou attaque par saturation) est une
attaque sur un serveur informatique qui résulte en l'incapacité pour
le serveur de répondre aux requêtes de ses clients.
Un serveur informatique (par exemple un serveur Web) doit traiter
plusieurs requêtes dans un court laps de temps. Lorsque le serveur
est incapable de traiter toutes les requêtes qu'il reçoit, il y a déni de
service.
Une attaque par déni de service distribuée [Distributed Denial of
Service attack] ou [DDoS attack] est une attaque par déni de
service dans laquelle le serveur cible est attaqué par plusieurs
ordinateurs simultanément.
Dialer
Composeur de numéro téléphonique
Cf. chapitre « Maliciel/Menaces financières ».
145
Somme de contrôle fr.wikipedia.org/wiki/Somme_de_contr%C3%B4le
Attaque par déni de service
fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
146
115/123
Emailing
Publipostage
Appellation professionnelle d’une technique d’e-marketing proche du
spamming.
Exploit
Exploitation de faille
Cf. chapitre « Malware ».
Hacker
Pirate
Auteur de malversation informatique.
Hashcode
Code de hachage
À rapprocher de « checksum ».
Hoax
Canular
In the zoo/In the wild
Se dit des types de malwares qui sont respectivement cantonnés
aux laboratoires ou répandus dans la nature.
Ingénierie sociale147
L'ingénierie sociale [social engineering] est une forme d'escroquerie
utilisée en informatique pour obtenir un bien ou une information.
Cette pratique exploite l'aspect humain et social de la structure à
laquelle est lié le système informatique visé. Utilisant ses
connaissances, son charisme, l'imposture ou le culot, le hacker
abuse de la confiance, l'ignorance ou la crédulité, de personnes
possédant ce qu'il tente d'obtenir. Dans son ouvrage L'art de la
supercherie, Kevin Mitnick a théorisé et popularisé cette pratique qui
vise le facteur humain d'un système informatique pour briser sa
sécurité.
L'ingénierie sociale est en fait une simple technique de persuasion
de son interlocuteur :
• persuasion que l'attaquant est bien celui qu'il prétend être
• persuasion que vous pouvez et devez, dans votre intérêt,
dévoiler une information.
Le principe est exactement le même que celui consistant à revêtir un
costume de policier, pompier ou facteur ou se faire passer pour un
147
Ingénierie sociale (sécurité de l'information)
fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l'informati
on)
116/123
huissier etc. ... et se présenter au domicile de quelqu'un pour
l'influencer et le conduire à faire quelque chose de sa propre
volonté, sans violence physique, alors qu'il ne l'aurait pas fait
naturellement.
Keygen
Générateur de clé
Petite application permettant de fournir un numéro de licence valide
pour un logiciel commercial.
Leet speak
Langage de l'élite148
Le leet speak (en leet speak : 1337 5|*34|<), de l'anglais « elite
speak », est une écriture utilisant les caractères alphanumériques
ASCII d'une manière peu compréhensible pour le néophyte pour s'en
démarquer. Le principe est d'utiliser des caractères graphiquement
voisins des caractères usuels, par exemple 5 au lieu de S, 7 au lieu
de T et pour les extrémistes |_| au lieu de U ou |< au lieu de K,
sans respect de l'orthographe ou des majuscules.
Cette technique à été reprise par les spammeurs pour contourner les
premiers filtres mis en place sur des listes de mots clés.
Linux
OS open source.
Mac
OS commerciale concurrent de Windows
Malware
Maliciel/Logiciel malveillant
Opt-in/Opt-out
Consentement actif/Option de retrait
Cf. Chapitre « Législation/LCEN ».
Peer to peer
P2P
Mécanisme d’échange de fichier pair à pair très en vogue entre les
particuliers pour échanger des données soumises à copyright.
Phishing
148
Hameçonnage
Leet speak fr.wikipedia.org/wiki/Leet_speak
117/123
Cf. chapitre « Pourriel ».
Pop-up
Fenêtre surgissante
Il s’agit de petites fenêtres qui apparaissent sur votre écran lors de
l’utilisation d’un logiciel, vous informant ou vous questionnant, avant
de continuer l’exécution du programme.
Elles ont généralement trait à la sécurité.
Port149
Canal de communication entre applications et entre ordinateurs
distants.
Quelques ports connus :
•
•
•
•
25 : courrier sortant
80 : trafic web
110 : courrier entrant
1863 : messagerie instantanée MSN
Rogue
Escroc
Cf. chapitre « Maliciel/Nuisances diverses ».
RootKit
Kit racine
Signature
Spam
Courrier indésirable/Pourriel
Cf. chapitre « Spam ».
Spammeur
Polluposteur
Personne physique qui utilise les techniques liées à l’envoi de
spams.
Spoofing
149
150
Usurpation d’identité150
Port (logiciel) fr.wikipedia.org/wiki/Port_(logiciel)
Lexique des termes usuels www.v4.caisse-
epargne.fr/asp/modele0.aspx?np=lexique_secu&nv=20071217173921
118/123
Il s'agit d’une technique de piratage qui consiste pour un pirate à
usurper une identité électronique. C'est pourquoi il peut vous arriver
de recevoir des messages de personnes que vous connaissez et qui
contiennent des virus informatiques, alors qu'eux même ne sont pas
forcément infectés.
VoIP
Voice over IP (Voix sur réseau IP)
C’est une technique qui permet de communiquer par la voix via
l'Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette
technologie est notamment utilisée pour supporter le service de
téléphonie IP.
Warez151
Désigne des contenus numériques protégés par les lois du copyright
mais diffusés illégalement sans reverser de droits. Ils sont souvent
diffusés via Internet (par exemple en utilisant les protocoles ftp,
http ou p2p), ou par cédéroms ou toute autre forme de stockage.
Le terme provient d'une déformation du mot anglais wares («
marchandise » en français).
De manière générale la diffusion de contenus numériques protégés
par les droits d'auteurs prônant le terme warez désigne une
connotation de pratique illégale suivant les états ainsi que nation
intéressée.
Zombies152
Se dit d’une machine infectée par un ou plusieurs malwares dont le
contrôle peut être pris à distance par un malfaiteur pour lui faire
exécuter des actions, le plus souvent frauduleuses, pour son
compte.
13.5 Webologie
13.5.1
CERTA
Institutions
www.certa.ssi.gouv.fr
Centre d'Expertise gouvernemental de Réponse et de
Traitement des Attaques informatiques
151
152
Warez fr.wikipedia.org/wiki/Warez
Machine zombie fr.wikipedia.org/wiki/Machine_zombie
119/123
CNIL
www.cnil.fr/index.php?id=1882
Commission Nationale de l'Informatique et des Libertés
DCSSI
www.securite-informatique.gouv.fr
Portail officiel de la sécurité informatique
DDM
www.ddm.gouv.fr/surfezintelligent/
www.ddm.gouv.fr/rubrique.php3?id_rubriqu
e=69
Direction du Développement et des Médias
13.5.2
AFA
Associations
www.afa-france.com/t_spam.html
Association des Fournisseurs d'Accès et de services
internet
APVG
www.antiphishing.org
Anti-Phishing Working Group
Arobase
www.arobase.org
L’e-mail sous toutes ses coutures
Assiste
assiste.com
Sécurité informatique, protection de la vie privée sur
l'Internet pour le particulier et l'entreprise
CERT-IST
www.cert-ist.com
Computer Emergency Response Team - Industrie,
Services et Tertiaire
Clusif
https://www.clusif.asso.fr
CLUb de la Sécurité de l’Information Français
Hoaxbuster
www.hoaxbuster.com
Première ressource francophone sur les canulars du web
120/123
MELANI
www.melani.admin.ch
La Centrale d'enregistrement et d'analyse pour la sûreté
de l'information MELANI
ProtegeTonOrdi www.protegetonordi.com
Portail de la sécurité sur internet, une opération
organisée par les pouvoirs publics, Microsoft et leurs
partenaires
Secuser
www.secuser.com
Sécurité informatique et protection de la vie privée
Signal Spam
https://www.signal-spam.fr
Plate-forme nationale de signalement des spams
SpamLaws
www.spamlaws.com
Ce site maintien des liens sur
législations nationales sur le spam.
SpamSquad
les
diverses
www.spamsquad.be
SpamSquad est un groupe de réflexion belge
informel composé de personnalités issues du monde académique, de
représentants des pouvoirs publics, de juristes et de professionnels
du secteur, il se penche sur les méthodes de mesure du phénomène
de spam et sur l'élaboration de solutions communes destinées à le
contrer.
13.5.3
AltOSpam
Éditeurs
www.altospam.com
Logiciel anti-spam et anti-virus externalisé
F-Secure
www.f-secure.com/fr_FR/
F-Secure est le leader mondial de la sécurité sous forme
de service proposé par les FAI et les opérateurs de
téléphonie mobile.
IronPort
www.ironport.com/fr/
121/123
Société renommée mais à la réputation sulfureuse. Son expertise du
problème des spams viendrait d’une double activité, aussi bien du
côté des spammeurs que du côté de la lutte anti-spam.153
Kaspersky
www.kaspersky.com/fr/
www.viruslist.com/fr/
Kaspersky est un des leaders au niveau mondial dans le secteur de
l'industrie antivirale et conçoit des solutions de lutte contre les
cyber-menaces depuis 1997 : virus, hackers, spam, rootkits, botnets
...
McAfee
home.mcafee.com
www.trustedsource.org
Éditeur de logiciels principalement connu pour son logiciel anti-virus.
SecuServe
www.secuserve.com
Services Managés de sécurisation des emails et de Messagerie
Hébergée, Collaborative.
Sophos
www.sophos.fr
Éditeur anti-virus et anti-spam, qui compte
d'utilisateurs et l'appui des spécialistes du secteur.
Symantec
100
millions
www.symantec.com/fr/
Symantec aide les particuliers et les entreprises à sécuriser et gérer
leurs systèmes d'informations.
TrendMicro
fr.trendmicro.com
Trend Micro est une société côté en bourse, basée à
Tokyo au Japon, qui développe des logiciels
informatique.
ZeroSpam
de
sécurité
www.zerospam.ca/1/Accueil
La fin du pourriel
153
Le livre blanc du spam (p. 9 chapitre 7.3.1)
www.mailinblack.com/site/upload/MIB_Livre%20Blanc%20-%20Le%20Spam.pdf
122/123
13.6 Bibliographie
Mag Securs
www.magsecurs.com
Le magazine de la sécurité informatique
Misc
www.miscmag.com
Multi-system & Internet Security Cookbook
XMCO
www.xmcopartners.com/actualitesecurite-vulnerabilite-fr.html
L’actualité sécurité vulnérabilité
123/123

Mémoire M2 MIAGE - MadsenFr - ViruSpam

Transcription

Documents pareils

Infos diverses

En savoir plus

01. Les dangers sur Internet en chiffres

Maroc Telecom et la lutte contre le SPAM

La sécurité

gerer son serveur de mail interne FR

SECURITE ET INTERNET

MSN HOtmail _ Message Page 1 of l htt »://bv106fol h.~,,~ nc

04_02-information virus - Comité Ile de France de natation

01. Définitions de quelques termes