Mémoire M2 MIAGE - MadsenFr - ViruSpam
Transcription
Mémoire M2 MIAGE - MadsenFr - ViruSpam
Virus, spyware, spam : Une course perdue d’avance ? Frédéric MADSEN / [email protected] Mémoire M2 MIAGE I 2008/2009 Judith BENZAKKI / [email protected] Université d’Évry Val d’Essonne / www.univ-evry.fr Version du jeudi 23 juillet 2009 Remerciements Je souhaiterais remercier Tien Dung LEVAN qui m’a accueilli dans son service et qui m’a accordé sa confiance. Il m’a aussi permis d’approfondir le sujet de mon mémoire en m’impliquant dans la démarche anti-spam du Généthon avec la solution professionnelle IronPort1. Merci aussi à toute l’équipe pédagogique du Master MIAGE ainsi qu’à la formation continue et aussi à aux étudiants pour leur accueil chaleureux. Merci aux relecteurs, dont Laurent FIEVET à l’orthographe et la grammaire presque parfaite, et sensibles aux coquilles. Merci à Caroline COTTON pour sa maîtrise de la conjugaison et des accords (pourtant faciles). Merci à Laurent HUBERT pour son regard critique d’expert en sécurité réseau. Merci à Christian MADSEN pour ses remarques constructives. 1 Solution anti-spam/anti-virus www.ironport.com/fr/ Virus, spyware, spam : Une course perdue d’avance ? 2/123 Sommaire REMERCIEMENTS ........................................................................... 2 SOMMAIRE ..................................................................................... 3 FICHE DE BILAN ET DE SYNTHÈSE ................................................. 7 1 PRÉSENTATION DE L'ACTIVITÉ EN ENTREPRISE ...................... 7 1.1 1.2 1.3 1.4 2 L'ENTREPRISE D'ACCUEIL................................................................. 7 LE MAÎTRE DE STAGE ..................................................................... 8 RÉSUMÉ DES TRAVAUX PROPOSÉS PAR L'ENTREPRISE ................................. 8 LES TRAVAUX EFFECTUÉS EN ENTREPRISE ............................................ 10 PRÉSENTATION ET SYNTHÈSE DU MÉMOIRE .......................... 12 2.1 PRÉSENTATION DU SUJET SUR LESQUELS LES APPORTS SONT NOVATEURS ....... 12 2.1.1 Motivations principales ...................................................... 13 2.2 2.3 2.4 2.5 2.1.1.1 Intérêt personnel ..........................................................................13 2.1.1.2 Intérêt professionnel .....................................................................13 CE QUI EST DÉJÀ CONNU SUR LES SUJETS TRAITÉS DANS LE MÉMOIRE ........... 14 CE QUE LE TRAVAIL DE MÉMOIRE APPORTE DE NOUVEAU ........................... 14 UTILISATION POTENTIELLE DES TRAVAUX DU SUJET DE MÉMOIRE ................. 15 PRINCIPALES PERSPECTIVES DES TRAVAUX .......................................... 16 MÉMOIRE ..................................................................................... 17 1 COMMENT LIRE CE DOCUMENT ............................................... 17 1.1 NOMENCLATURE ......................................................................... 17 1.2 SOURCES ................................................................................. 17 2 INTRODUCTION...................................................................... 19 2.1 CONTEXTE ............................................................................... 19 2.1.1 Médias ............................................................................. 20 2.2 MOTIVATIONS ........................................................................... 21 3 RISQUES ET ENJEUX ............................................................... 23 4 LOGICIEL MALVEILLANT/MALICIEL [MALWARE] ................... 25 4.1 DÉFINITION .............................................................................. 25 4.1.1 Historique ........................................................................ 25 4.1.2 Chiffres............................................................................ 27 4.2 TECHNIQUES ............................................................................. 27 4.2.1 Vecteurs d’infection/Transmission ....................................... 28 4.3 PRISE DE CONTRÔLE À DISTANCE ..................................................... 30 4.3.1 Cheval de Troie/Troyen [Trojan horse] ................................ 30 4.3.2 Exploitation de faille [Exploit] ............................................. 31 4.3.3 Kit racine [Rootkit] ............................................................ 32 4.4 VOL D’INFORMATIONS .................................................................. 32 4.4.1 Enregistreur de frappe/écran [Keylogger/Screenlogger] ......... 32 4.4.2 Espiogiciel/Mouchard [Spyware] ......................................... 33 Virus, spyware, spam : Une course perdue d’avance ? 3/123 4.5 MENACES FINANCIÈRES ................................................................ 34 4.5.1 Composeur téléphonique [Dialer] ........................................ 34 4.5.2 Rançonnage [Ransonware] ................................................. 35 4.6 NUISANCES DIVERSES .................................................................. 35 4.6.1 Escroc [Rogue] ................................................................. 35 4.6.2 Mulet [Piggyback] ............................................................. 35 4.6.3 Pirate de navigateur [Browser Hijacker] ............................... 35 4.6.4 Publiciel [Adwares]............................................................ 36 4.6.5 Téléchargement forcé [Drive-by download] .......................... 36 4.6.6 Vers [worm] ..................................................................... 36 4.6.7 Virus ............................................................................... 37 5 COURRIER INDÉSIRABLE/POURRIEL [SPAM] ........................ 41 5.1 DÉFINITION .............................................................................. 41 5.1.1 Historique ........................................................................ 43 5.1.2 Chiffres............................................................................ 43 5.2 TECHNIQUES ............................................................................. 47 5.2.1 SMTP............................................................................... 48 5.2.2 Filtrage ............................................................................ 48 5.2.3 Adresse de rebond [Bounce address]................................... 49 5.2.4 Redirection d’erreur [DNS Backscatter] ................................ 49 5.2.5 Collecte d’adresse ............................................................. 49 5.2.5.1 Pillage d’annuaire [Directory Harvest] ..............................................50 5.2.5.2 Robot d’indexation [Crawler/Spambot] ............................................50 ÉVOLUTIONS ............................................................................. 50 5.3 5.3.1 Arnaque par SMS [SMiShing] ............................................. 51 5.3.2 Art ASCII [ASCII art] ........................................................ 51 5.3.3 Hameçonnage vocal [Vishing] ............................................. 51 5.3.4 Spam image ..................................................................... 52 5.4 VARIANTES............................................................................... 53 5.4.1 Canular [Hoax] ................................................................. 53 5.4.2 Fraude 419 [419 Scam] ..................................................... 54 5.4.3 Hameçonnage [Phishing] ................................................... 55 5.4.3.1 Pêche à la lance [Spear phishing] ....................................................55 5.4.4 Bouc émissaire [Joe job] .................................................... 56 5.4.5 Gonfler puis vendre [Pump and dump] ................................ 56 6 MODÈLE ÉCONOMIQUE ........................................................... 57 6.1 POURRIEL ................................................................................ 57 6.2 PUBLICITÉ ................................................................................ 58 7 LÉGISLATION ......................................................................... 59 7.1 CONTEXTE ............................................................................... 59 7.2 LCEN .................................................................................... 60 7.2.1 Consentement actif/Option de retrait [Opt-in/opt-out] .......... 60 7.3 CNIL ..................................................................................... 61 7.3.1 Loi informatique et liberté .................................................. 61 7.4 CAN-SPAM ACT ......................................................................... 63 7.5 SANCTIONS .............................................................................. 63 Virus, spyware, spam : Une course perdue d’avance ? 4/123 8 DÉMYSTIFICATION ................................................................. 65 8.1 DÉGÂTS MATÉRIELS ? .................................................................. 65 8.2 LINUX/MAC ÉPARGNÉS ? ............................................................... 65 8.2.1 Linux ............................................................................... 67 8.2.2 Mac ................................................................................. 67 8.3 VIRUS DANS LES IMAGES ? ............................................................ 67 8.4 LES SOURCES D’INFORMATIONS FIABLES ............................................. 68 9 INITIATIVES .......................................................................... 69 9.1 9.2 9.3 9.4 9.5 BOÎTE À SPAMS .......................................................................... 69 SIGNAL SPAM .......................................................................... 69 EURO-CAUCE .......................................................................... 70 CERT .................................................................................... 70 POT DE MIEL [HONEYPOT] ............................................................. 70 10 PRÉVENTION .......................................................................... 72 10.1 MAINTENANCE ..................................................................... 72 10.1.1 Programmes au démarrage .......................................... 73 10.1.2 Trafic réseau............................................................... 73 10.2 DROITS RESTREINTS .............................................................. 73 10.3 MOT DE PASSE [PASSWORD] .................................................... 74 10.4 POURRIEL ........................................................................... 76 10.4.1 Collecte ...................................................................... 77 10.4.1.1 Adresse masquée ..........................................................................77 10.4.1.2 Adresse jetable .............................................................................78 10.4.2 Changement d’adresse ................................................. 79 10.4.3 Captcha ..................................................................... 79 10.5 RÈGLES D’OR ....................................................................... 81 10.5.1 Virus .......................................................................... 81 10.5.2 Pourriel ...................................................................... 81 11 SOLUTIONS ............................................................................ 83 11.1 ANTI-SPAM ......................................................................... 83 11.1.1 DKIM ......................................................................... 83 11.1.2 Filtres Bayésiens ......................................................... 83 11.1.3 Liste grise [Greylisting] ................................................ 84 11.1.4 IM2000 ...................................................................... 84 11.1.5 Liste noire/blanche [Blacklist/Whitelist] .......................... 84 11.1.5.1 Réputation ...................................................................................85 11.1.6 Mobile ........................................................................ 88 11.1.7 Signature ................................................................... 88 11.1.8 SPF ........................................................................... 88 11.2 ANTI-SPYWARE .................................................................... 88 11.3 ANTI-VIRUS ........................................................................ 89 11.3.1 Bac à sable [sandboxing] ............................................. 90 11.3.2 Empreinte .................................................................. 90 11.3.3 Heuristique ................................................................. 90 11.3.4 Signature ................................................................... 90 Virus, spyware, spam : Une course perdue d’avance ? 5/123 11.4 PARE-FEU [FIREWALL] ............................................................ 92 11.5 COMPARATIFS ...................................................................... 92 11.5.1 Anti-virus ................................................................... 92 11.5.2 Anti-spyware .............................................................. 95 11.5.3 Anti-Spam .................................................................. 95 11.6 TESTS ............................................................................... 96 11.6.1 Anti-virus ................................................................... 96 11.6.2 Pare-feu ..................................................................... 96 11.7 LIMITES ............................................................................. 97 11.7.1 Faux positifs et faux négatifs ........................................ 97 11.7.2 Coût .......................................................................... 98 11.7.3 Généralisation ............................................................. 98 11.8 FORMATION ........................................................................ 98 12 CONCLUSION.......................................................................... 99 13 ANNEXE ................................................................................ 101 13.1 LE SITE ........................................................................... 13.2 EXEMPLES D’HAMEÇONNAGE ................................................... 13.2.1 Caisse d’épargne ....................................................... 13.2.2 Deezer ..................................................................... 13.3 ÉTUDE DE CAS ................................................................... 13.3.1 Air E-Mail ................................................................. 101 101 101 102 103 104 13.3.1.1 Informations juridiques ................................................................ 106 13.3.1.2 Client......................................................................................... 107 13.3.2 E-Nov Développement ............................................... 109 13.3.2.1 Informations juridiques ................................................................ 110 13.3.3 Désabonnement ........................................................ 13.4 INDEX ............................................................................. 13.4.1 Sigles et acronymes................................................... 13.4.2 Glossaire .................................................................. 13.5 WEBOLOGIE ...................................................................... 13.5.1 Institutions ............................................................... 13.5.2 Associations.............................................................. 13.5.3 Éditeurs ................................................................... 13.6 BIBLIOGRAPHIE .................................................................. Virus, spyware, spam : Une course perdue d’avance ? 111 111 111 113 119 119 120 121 123 6/123 Fiche de bilan et de synthèse 1 Présentation de l'activité en entreprise 1.1 L'entreprise d'accueil Généthon 1 bis, rue de l'Internationale F-91002 ÉVRY Cedex BP 60 +33 (0)1 69 47 28 28 www.genethon.fr Généthon est une organisation de biothérapie à but non lucratif financée à plus de 90% par l'Association Française contre les Myopathies (AFM) avec les dons du Téléthon. Généthon est une structure intégrée permettant de passer de la recherche au développement clinique en intégrant la production BPF2 dans l’objectif de mettre sur le marché des thérapies géniques destinées aux maladies rares, principalement neuromusculaires. J’ai été accueilli au sein du service informatique dont la mission est d’assurer un support aux utilisateurs sur les systèmes d’information. La colonne vertébrale de cette organisation est le portail intranet ECM3. Mais le sujet de mon stage m’a porté à m’intéresser particulièrement à l’ETGC (Établissement de Thérapie Génique et Cellulaire) dédié à la préparation et à la production de produits de thérapie génique et cellulaires à des fins de recherche et d’utilisation au cours d’essais cliniques. Créé en 2005, il est issu de l’ancien département Production & Contrôle de Généthon qui assurait la production de cellules et de vecteurs viraux uniquement à des fins de recherche. L’ETGC est composé de deux sites de production qui ont reçu l’accréditation de l’Agence Française de Sécurité Sanitaire des Produits de Santé (AFSSaPS) pour 5 ans. Les activités de l’ETGC ont été réparties dans deux unités : l’unité de production de cellules et de vecteurs viraux et l’unité de contrôle qualité. 2 Bonnes Pratiques de Fabrication www.afssaps.fr/Activites/Elaboration-de-bonnespratiques/Bonnes-pratiques-de-fabrication-de-medicaments-a-usage-humain/(offset)/1 3 Gestion de contenu [Enterprise Content Management] vise à gérer l'ensemble des contenus d'une entreprise. Virus, spyware, spam : Une course perdue d’avance ? 7/123 Toutes ces activités sont réalisées suivant des procédures opératoires standardisées (SOP, Standard Operating Procedure) selon les normes qualité de bonnes pratiques de fabrication (BPF). Les mots d’ordre sont fiabilité, reproductibilité et qualité. L’objectif du département ETGC est de produire des lots thérapeutiques pour les besoins de Généthon mais, selon ses disponibilités, il travaille également avec des laboratoires externes, français ou étrangers. Son expertise technique lui permet de développer et de suivre des projets précliniques et cliniques (phase 1) incluant la rédaction des dossiers réglementaires. Pour l’instant, l’ETGC est capable de produire 18 lots de vecteurs/an (6 lots par suite de production). Cette production suffit pour les essais de phase I et II, réalisés chez un petit nombre de patients. Le 1er lot de vecteurs libérés par Généthon sera ainsi utilisé dans le cadre de son premier essai sur la gamma-sarcoglycanopathie. Mais cette capacité de production sera rapidement insuffisante s’il veut assurer la production de lots pour des essais en phase IIb-III. C’est pourquoi il anticipe en réfléchissant dès maintenant au moyen de disposer d’un site de production plus important. Car ces capacités n’existent pas davantage ailleurs en Europe. 1.2 Le maître de stage Mon maître de stage est M. Tien Dung LEVAN responsable informatique, ancien étudiant à l’université d’Évry. 1.3 Résumé des travaux proposés par l'entreprise Le sujet du stage était présenté comme suit : 1. Étudier les exigences en système d’information des systèmes de production dans le monde pharmaceutique en générale 2. Analyser la situation actuelle du système de production à Généthon, collecter les expressions des besoins sur les nouvelles demandes en SI liées à la mise en place d’un nouveau site de production (Projet Gamma), notamment concernant les exigences des instances règlementaires pharmaceutique en France (BPF4, AFSSaPS5) et aux États-Unis (GMP6, FDA7) (enquêtes auprès des différents acteurs : Responsables de production, règlementaires, contrôle et qualité,…) 4 5 6 Bonnes Pratiques de Fabrication Agence Française de Sécurité Sanitaire des Produits de Santé Good Manufacturing Practices Virus, spyware, spam : Une course perdue d’avance ? 8/123 3. Élaborer un cahier des charges pour mettre en place le nouveau système de production à Généthon 4. Prospecter auprès des différents éditeurs de progiciels du marché afin d’identifier la solution la mieux adaptée au cahier des charges de Généthon et faire une analyse comparative des solutions proposées 5. En marge des phases d’analyses 1 à 4, participer à la mise en œuvre du progiciel PharmStar8 en collaboration avec le service informatique de Généthon, les utilisateurs et l’éditeur. Ce système d’information a été choisi par le Généthon pour anticiper la gestion de la traçabilité des matières premières utilisées dans la production des lots pharmaceutiques du site de production actuelle. Les attentes sont : • Installer les infrastructures : matériels et logiciels pour assurer le déploiement de ce progiciel • Paramétrer l’application • Mettre en production l’application • Former les utilisateurs • Accompagner les utilisateurs dans la phase post-installation (modification de paramétrage, support utilisateur, rédaction de procédure d’installation et exploitation…) Cette démarche avait été initiée il y a un an par Alain DOUCHET du service informatique, mais sans succès d’une part car les recueils de besoins étaient minimalistes et d’autres part parce que la démarche avait été présentée sous l’aspect d’un éventuel ERP9, ce qui a dissuadé la direction de se lancer dans un tel investissement. C’est donc sur la base de ce travail que j’ai entrepris de reprendre contact avec les services concernés. Il n’y a pas eu véritablement de planning prévisionnel des travaux étant donné que les différents points du sujet étaient traités en parallèle et pouvaient évoluer en fonction de l’allocation de budgets. Le stage s’est déroulé en immersion dans le service informatique puisque j’étais dans le même bureau et que j’ai été convié à une journée de formation sur la nouvelle solution anti-spam qui a été déployée. Mais n’étant pas impacté par l’opérationnel et œuvrant pour le site de production, j’ai eu à travailler en complète autonomie. Le site de production, aussi appelé site B, étant séparé géographiquement du reste du Généthon, j’ai eu à me déplacer (accessible à pieds) sur place. 7 Food and Drug Administration Logiciel de gestion de stock et de suivi de production valley.fr/images/PDF/fiche_pharmastar.pdf 9 Progiciel de Gestion Intégré (PGI) [Enterprise Resource Planning] 8 Virus, spyware, spam : Une course perdue d’avance ? www.aquitaine- 9/123 1.4 Les travaux effectués en entreprise J’ai principalement répondu aux 3 premiers points du sujet de stage, car le contexte interne du Généthon n’a pas permis d’aborder certains aspects du sujet, à savoir que le point numéro 5 a été annulé et que le point numéro 4 se résume à une seule rencontre avec la société FELTEN10 importée par COETIC11. En effet, une réorganisation complète de la direction et des services a eu lieu au cours du stage qui a eu pour conséquence de remanier les priorités ainsi que les budgets qui n’ont pas été débloqués pour acquérir le logiciel en question. Aujourd’hui il reste à faire valider le document par les personnes intéressées avant de poursuivre sur un cahier des charges techniques. Et suivant la politique de déploiement de cet outil, éventuellement à présenter le cahier des charges fonctionnel à l’éditeur que nous avons rencontré afin d’avoir son sentiment. Après une période d’adaptation au domaine et métiers du Généthon, j’ai entrepris en parallèle de rencontrer les acteurs des différents services du site de productions (responsables et exécutants) afin de comprendre leur quotidien et leurs attentes en matière de SI, et de me familiariser avec les contraintes réglementaires liées à ce type d’activité. À cette occasion, j’ai développé une connaissance des exigences réglementaires notamment en termes de système d’information avec la norme 21 CFR Part 1112. J’ai donc recueilli les besoins de l’ETGC et pour cela j’ai rencontré une dizaine de personnes et ai produit des comptes rendus d’entretien. Puis j’ai rédigé un cahier des charges fonctionnel sur lequel j’ai ensuite apporté des corrections au vu des remarques de mon maître de stage. En parallèle nous avons rencontré un éditeur, il s’agit de la société FELTEN. J’ai principalement utilisé Outlook 2007 et ses fonctions de calendrier pour planifier les rendez-vous avec mes interlocuteurs et mes participations aux réunions d’informations. Mais aussi l’outil intégré permettant de planifier des tâches à effectuer. Tous les documents ont été rédigés sous Word 2007. 10 FELTEN est un spécialiste de l'automatisation de processus et des technologies de l'information www.felten-group.com/fr/ 11 COETIC est une société de conseil qui propose à ses clients des méthodes innovantes pour résoudre des problèmes fonctionnels et réglementaires grâce aux Technologies de l’Information et de la Communication (TIC). 12 Le 21 CFR Part 11 est un texte édicté par la FDA (Food & Drug Administration), applicable depuis 1997, dont l'objet est de spécifier la façon dont doivent être gérés les documents ou données électroniques et les signatures électroniques www.21cfrpart11.com Virus, spyware, spam : Une course perdue d’avance ? 10/123 Les matières enseignées en master, comme droit, emploi, gestion stratégique des organisations, anglais et sécurité des systèmes d’information et des bases de données m’ont permis de mieux appréhender ce stage. Dans le cadre de ma mission j’ai utilisé l’infrastructure bureautique du Généthon, et j’ai pu accéder à de la documentation sur le portail intranet ECM. J’ai eu à ma disposition un ordinateur portable équipé de Windows XP. J’ai aussi bénéficié d’un accès internet indispensable pour la consultation des normes réglementaires aussi bien française qu’européenne et américaine qui font autorité en la matière. Par ailleurs, j’ai reçu plusieurs formations : • Outlook 2007 (planification de tâche et gestion de calendrier) • Formation générale à la sécurité avec une sensibilisation particulière aux problèmes inhérents à ce type d’établissement • École de l’ADN (vulgarisation scientifique) Quantitativement, j’ai consulté une dizaine de personnes et produit autant de compte-rendu d’entretien, ainsi qu’un rapport d’une cinquantaine de pages. Virus, spyware, spam : Une course perdue d’avance ? 11/123 2 Présentation et synthèse du mémoire 2.1 Présentation du sujet sur lesquels les apports sont novateurs Le sujet de ce mémoire est : « Virus, spyware, spam : Une course perdue d’avance ? » Je me propose d’étudier ces menaces et leurs impactes. Par une étude approfondie je tenterai de répondre à la question qui est de savoir si les avancées techniques et législatives peuvent nous prémunir contre cela. Par ailleurs, le fait d’aborder ce sujet sous des angles différents permettra de donner un éclairage plus complet sur le problème. Virus et spyware étant les termes les plus connus, j’entends par là toute sorte de malware (programme malveillant), dont le vecteur de transmission est aujourd’hui devenu en grande partie le Spam.13 Cependant, ces menaces s’inscrivent comme des outils dans une activité plus vaste appelée cybercriminalité que j’évoquerai, mais qui n’est pas le propos de ce mémoire. C’est pourquoi je n’aborderais pas certains types de fraudes et d’attaques tel le « pharming », puisque dans ce cas l’ordinateur de l’utilisateur n’est pas corrompu, mais cela illustre l’étendue du sujet. En dehors du fait que la lecture de ce document synthétisant l’état de l’art en 2009 sur le sujet constituera, je l’espère, en elle-même un apport non négligeable pour le lecteur, je ne pense pas apporter dans un domaine si vaste, si pointu et si mouvant une réelle contribution (un anti-virus ou un anti-spam miraculeux, non plus qu’une méthode d’identification infalsifiable). Mais, parmi l’ensemble des solutions qui essayent aujourd’hui de tirer profit de cette situation, j’identifierai celles qui sont pertinentes, en plus d’identifier les comportements à risques. Je tenterai par ailleurs de rétablir certaines vérités afin de mieux se prémunir contre ces phénomènes sans tomber dans la psychose. Je produirais une plaquette indépendante résumant très simplement les règles et réflexes de bases, ainsi que les outils les plus efficaces en l’état actuel des connaissances. Il s’agira d’une sorte de chartre qualité avec un nombre restreint de règles d’or à respecter pour éviter d’être victime ou de contribuer malgré nous à ce phénomène. 13 « Les FAI ont conscience du spam mais gèrent plutôt leur réputation » www.journaldunet.com/solutions/securite/chat/arnaud-kopp-ironport-les-fai-ontconscience-du-spam-mais-grerent-plutot-leur-reputation.shtml Virus, spyware, spam : Une course perdue d’avance ? 12/123 J’envisage de mettre cette plaquette en ligne sous forme d’un mini-site (viruspam.free.fr) qui permettra de tirer partie de mes recherches en proposant des liens sur des outils de scan en ligne et de test de sécurité face à ces menaces. 2.1.1 Motivations principales Mon intérêt pour ce sujet est multiple. D’une part, l’évolution constante des techniques employées dans ce domaine en fait un sujet d’étude très intéressant. D’autre part, comme tout phénomène non conventionnel il attire nombres de spéculations et de phantasmes que j’aimerais démêler. 2.1.1.1 Intérêt personnel Nous subissons tous le poids de ces problèmes à titre personnel et il est indispensable, dans un monde où tout se numérise et se virtualise, de connaître ses ennemis afin de mieux les combattre ou tout au moins de mieux s’en prémunir. En effet, aujourd’hui plus que notre vie privé il est indispensable d’être vigilant afin de préserver notre intégrité bancaire voire tout simplement notre identité numérique qui intervient et interviendra de plus en plus dans toutes les étapes importantes de notre vie (argent, vie sociale, rapport avec l’état, santé, etc.) Ce stage, bien que très intéressant, ne m’a pas permis de mettre ne pratique les matières techniques enseignée en Master. C’est aussi la raison pour laquelle j’ai souhaité étendre la portée de ce mémoire par la réalisation d’un site web. De plus, pour l’élaboration de ce mémoire et de son prolongement dans un site web j’ai pu mettre en œuvre en plus les matières suivantes : fouille de données et technologies et langages du web. Par ailleurs, certaines matières étudiées cette année sont en rapport direct avec ce sujet : • • • Droit Fouille de données Sécurité des systèmes d’information et des bases de données 2.1.1.2 Intérêt professionnel Ces menaces peuvent avoir un impacte considérable dans le milieu professionnel et occasionner des dégâts très couteux. Chacun étant un maillon de la chaîne qui forme un rempart contre de tels agissements, le respect et la compréhension de bonnes pratiques sont essentielles pour limiter l’impacte de ces problèmes. Virus, spyware, spam : Une course perdue d’avance ? 13/123 Ce sujet est un axe majeur de préoccupation des SI aujourd’hui, car l’informatisation grandissante fait qu’une entreprise ne peut plus fonctionner si son SI n’est pas opérationnel. Aujourd’hui les DSI siègent au conseil d’administration et le SI n’est plus simplement un avantage concurrentiel par rapport à ses concurrents, mais bien un élément indispensable à la marche de l’entreprise. Donc le Généthon comme toute organisation se doit de se protéger efficacement contre ces menaces que sont les Virus et le Spam. Justement, lors de mon stage j’ai vu assister au déploiement d’une solution anti-spam. 2.2 Ce qui est déjà connu sur les sujets traités dans le mémoire Le sujet que je me propose d’étudier est un vaste sujet traité maintes et maintes fois. Des recherches théoriques au niveau des universités14 ont été entreprises, des sociétés commerciales cotées en bourse15 en ont fait leur cheval de bataille, mais surtout de nombreux médias relayent ce type d’information. De nombreuses sociétés se sont spécialisées dans le traitement de ces menaces, les principales sont citées en annexe dans le chapitre « Webologie/Éditeurs ». De nombreuses techniques ont été mises au point au fil du temps pour contrer ces menaces, je les évoquerai dans ce mémoire, ainsi que leurs limites. Ce sujet étant en perpétuel évolution, très pointue et lié à l’utilisation des réseaux, ainsi qu’au courrier électronique, j’ai donc tout naturellement porté mes recherches sur internet afin d’accéder facilement à diverses sources d’informations. En dehors d’internet, la lecture de magazines informatiques français référents en la matière m’a permis d’approfondir le sujet. 2.3 Ce que le travail de mémoire apporte de nouveau Ce mémoire apporte une synthèse sur l’ensemble de ce phénomène. Habituellement en dehors de livres sur le sujet qui n’ont pas la réactivité nécessaire pour ce type de domaine en mouvement perpétuel, on ne trouve sur internet que de cours articles sur un aspect technique bien 14 Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA) qsl.loria.fr/commun/vvv/description_fr.pdf 15 Symantec www.boursier.com/vals/US/US8715031089-cours-symantec.html Virus, spyware, spam : Une course perdue d’avance ? 14/123 précis, et les rares livres blancs un peu plus étoffés sont souvent le fait de sociétés. Cependant, tout en produisant des documents de qualité plus complète que les articles que l’on rencontre habituellement sur internet, elles peuvent orienter la réflexion dans le sens des produits qu’elles ont à vendre. Ici le propos est libre, ouvert et pragmatique. De nombreux travaux existent sur le sujet et je n’ai pas la prétention de croire pouvoir y apporter une véritable avancée. Cependant, je pense pouvoir en faire une synthèse accessible aux non initiés et ainsi participer à ce que ces menaces fassent moins de victimes et soient donc moins efficaces. D’autant que le sensationnalisme et le business lié à ce domaine de la sécurité informatique qui peut potentiellement frapper tout le monde du particulier à l’organisation gouvernementale et militaire16 a de quoi faire peur et permet donc tous les phantasmes. Induisant des dérives et donc des pertes d’efficacité dans la lutte contre ces phénomènes. Ce mémoire aborde les aspects préventifs et curatifs et prolonge sa réflexion dans un site web (viruspam.free.fr) qui en œuvre des conseils simples et efficaces au travers d’outils et de liens informatifs de références. 2.4 Utilisation potentielle des travaux du sujet de mémoire La meilleure utilisation de ce mémoire et surtout du site qui l’accompagnera est de porter la bonne parole en vulgarisant ces thèmes sensibles que ce soit à titre personnel ou en tant qu’individu au sein d’une entreprise. En effet, que ce soit la surestimation du danger lié à une peur panique irraisonnée pour ceux qui n’ont pas les moyens de prendre du recul, ou encore une minoration par ceux qui se croient à l’abri ou par négligence, tous participent à l’impact de ce phénomène. Le mémoire pourrait servir de support à un court d’autoformation ou de sensibilisation à ces problèmes au sein de l’entreprise, et le site permettra de pointer vers des ressources officielles en cas de doute sur la conduite à tenir, ou bien pour dénoncer un problème aux organismes adéquats. De plus, il permettra aussi d’opérer un scan d’un fichier douteux ou de son ordinateur en cas de problème. 16 Les réseaux informatiques de l'armée touchés par un virus www.01net.com/editorial/402849/les-reseaux-informatiques-de-larmee-touches-par-unvirus/ Virus, spyware, spam : Une course perdue d’avance ? 15/123 2.5 Principales perspectives des travaux Il est difficile de prétendre être exhaustif sur un sujet aussi vaste, donc on pourrait creuser certains aspects. Par ailleurs, ce type de document bien que pertinent dans la démarche se démode très vite du fait de l’évolution des techniques impliquant de nouvelles menaces. Il serait bon de le faire évoluer régulièrement et d’en archiver les parties obsolètes. Il s’agit donc d’un travail régulier de veille technologique à part entière. Concernant le site qui reprendra une synthèse de ce mémoire, je pense le finaliser avant la soutenance afin d’en faire la présentation comme d’un aboutissement de ce travail de mémoire. Je pense maintenir le site à jour sur le fond et sur la forme afin qu’il reste un outil pertinent. Virus, spyware, spam : Une course perdue d’avance ? 16/123 Mémoire 1 Comment lire ce document 1.1 Nomenclature Afin de faciliter la lecture de ce mémoire, j’ai pris quelques conventions qui sont expliquées ici : • Un terme entre crochets et en italique [uk-us] indique un terme anglo-saxon couramment utilisée que l’on retrouve même dans des textes en français, et qui constitue souvent un mot clé. Je le place généralement immédiatement après le terme francisé. • Les mots, expressions ou sigles en italique indiquent ainsi leur présence dans l’index. Le sujet de ce mémoire comporte de nombreux termes anglo-saxons, parfois francisés notamment par nos amis québécois. Je me suis efforcé lorsque des traductions faisaient l’unanimité de les employer en lieu et place des termes d’origine dans les têtes de chapitres. 1.2 Sources On trouve énormément d’informations sur le sujet de ce mémoire sur internet, notamment en français. Mais si mes lectures m’ont amenées à consulter des sources d’information non officielles (blogs, sites personnels) qui m’ont appris quelques choses, je m’efforce de toujours confirmer ces dires par une source officielle. Cela est parfois rendu possible dans les articles qui citent leurs sources, mais ce n’est pas toujours le cas. Par source officielle j’entends une institution gouvernementale, une association d’industriels ou de particuliers, ou une entreprise faisant référence dans le domaine en question. Certaines institutions et certaines entreprises publient annuellement des livres blancs rendant compte de l’état actuel des menaces, qui sont de véritables mines d’informations. Je m’y réfèrerais donc naturellement. La seule source non officielle que je citerais est Wikipédia car ses articles permettent une approche neutre, claire et précise qui cite ses références. Par ailleurs, le domaine informatique étant assez récent et facilement vérifiable, ses articles sur Wikipédia sont peu enclins aux modifications délictuelles, contrairement aux articles historiques et politiques. J’indique en annexe les sources de valeurs, c'est-à-dire ayant un contenu fiable, intéressant et conséquent. Virus, spyware, spam : Une course perdue d’avance ? 17/123 Par ailleurs, on retrouve souvent les mêmes informations à peine remaniées que chacun reprend à son compte comme une analyse personnelle, j’ai alors essayé de remonter à la source de l’information. Cependant, pour certaines, elles proviennent de sociétés commerciales dont on ne peut totalement exclure que les analyses et notamment les chiffres avancés, même si ces sociétés sont aux premières lignes pour l’observation de ces phénomènes, qu’ils soient parfois légèrement arrangés. Il existe de nombreuses sources d’information officielles et d’organismes où dénoncer des agissements frauduleux à travers le monde, je me suis donc naturellement orienté vers ceux destinés à la France et aux pays francophones. Virus, spyware, spam : Une course perdue d’avance ? 18/123 2 Introduction Les menaces provenant d’Internet sont toujours plus nombreuses et insidieuses. Si certaines de ces attaques informatiques existent depuis plusieurs années déjà, les motivations qui les engendrent sont aujourd’hui bien différentes et par là-même beaucoup plus pernicieuses et difficiles à contrer. Le piratage informatique était auparavant réalisé Aujourd’hui il s’agit principalement de faire de l’argent. pour la gloire. De plus les attaques étaient auparavant ultra-visibles. Par exemple le célèbre virus « I love you »17 était véritablement destiné à faire parler de lui au maximum. Dorénavant, les attaques sont discrètes et le pirate ne veut surtout pas se faire repérer. Lorsque les virus sont apparus, et pendant quelques années, le but était de faire sensation en créant des effets démonstratifs, voire au pire de faire planter un ordinateur. Aujourd’hui le but est le vol d’informations personnelles et l’utilisation des ordinateurs comme force de frappe pour des activités frauduleuses. Le sujet traité ici s’inscrit dans le panel des outils utilisés en cybercriminalité. On y traite de certains aspects de la sécurité informatique mais uniquement liés aux menaces figurant dans le sujet. 2.1 Contexte Alors que le nombre de connectés à internet augmente avec le déploiement de l’ADSL en Europe et notamment en France18, nombre d’internaute ne soupçonnent pas les risques qu’ils encourent en naviguant sur internet. Risque pour leurs données personnelles, mais aussi risque de participer à leur insu à la cybercriminalité. En effet, il est devenu de plus en plus facile de s'introduire dans les machines des particuliers, non rompus aux techniques de sécurisation et dont les machines sont parfois connectées à Internet 24h/24h. Si les menaces sont de plus en plus nombreuses, les ordinateurs sont aussi de plus en plus protégés. 17 « I love you » est le nom d'un ver informatique, apparu pour la première fois le 4 mai 2000 fr.wikipedia.org/wiki/I_love_you_(ver_informatique). 18 Europe : Population d'internautes www.journaldunet.com/cc/01_internautes/inter_nbr_eu.shtml Virus, spyware, spam : Une course perdue d’avance ? 19/123 Cependant leur ouverture sur le monde étant un de leurs atouts majeurs ils ne peuvent complètement se refermer sur eux-mêmes. C’est pourquoi certains ports restent ouverts même s’ils sont filtrés, comme le port 8019 utile à la navigation web ou le port 2520 indispensable au courrier électronique. Parfois la faille n’est pas du côté de la technique et l’exploitation des travers humains est souvent utilisée de manière redoutable, ce qu’on appelle l’ingénierie sociale. Désormais le point d’entrée privilégié pour toutes les menaces est le courriel. Le courriel devient un élément essentiel, que ce soit au sein de l’entreprise ou à titre privé. Qui plus est il constitue une donnée personnelle dont on sous-estime généralement l’importance. En effet, l’adresse classique se décline comme suit : nom.prénom@société_ou_fai.fr Avec cette simple donnée on apprend beaucoup sur son propriétaire. En plus du patronyme, on connait le nom de son entreprise ou de son fournisseur internet ainsi que son pays de résidence. Et parfois à cause des homonymes sont ajoutés, année de naissance ou encore département de résidence pour se différencier. Ainsi l’adresse électronique est porteuse de nombreuses informations en plus d’être un vecteur privilégié pour vous atteindre, il est donc nécessaire de la considérer comme une donnée confidentielle qui a de plus une valeur marchande aux yeux des cybercriminels. Internet a évolué doucement d'un espace fermé (non éditable) à un espace ouvert (éditable). Les premiers espaces d'échanges furent les livres d'or qui permettaient de déposer un message au webmestre. Aujourd'hui, avec le Web 2.0, l'ouverture est partout (forums, blogs, wiki, réseaux sociaux, site de partage de musique/vidéo, sites communautaires en tout genre, etc.) Cela à créée autant d’ouvertures possibles pour des menaces toujours plus intrusives. 2.1.1 Médias Le phénomène, de par son ampleur, a de quoi faire peur et les médias relayent l’information dans des documentaires sensationnalistes. Néanmoins cette exposition a le mérite de sensibiliser le grand public à ce problème, reste alors à l’éduquer afin de lui donner les moyens de se défendre et de ne pas tomber dans une psychose du numérique. 19 20 Hypertext Transfer Protocol fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol Simple Mail Transfer Protocol fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol Virus, spyware, spam : Une course perdue d’avance ? 20/123 Dernièrement des chaînes nationales ont diffusé des documentaires sur ce sujet : • Mars 2009 sur France 5 : o Cyber guérilla - Hackers, pirates et guerres secrètes21 • Mai 2009 dans l’émission « Envoyé spécial » sur France 2 : o Les cybercriminels22 2.2 Motivations Pour bien comprendre ces phénomènes il est nécessaire de s’intéresser aux motivations. Ce qui apparaît rapidement c’est que celles-ci ont évoluées et se sont diversifiées ces dernières années. Comme je l’évoquais en introduction, ces phénomènes ne sont plus le fait de quelques étudiants isolés, mais bien le fait d’organisations criminelles qui découvrent dans ces techniques un ratio rentabilité/risque bien supérieur à d’autres trafics comme la drogue ou la prostitution. La motivation principale est désormais l’appât du gain, bien loin des démonstrations de savoir faire de quelques initiés du début de l’ère informatique. Il n’en reste pas moins que l’ère numérique met en exergue la puissance de l’individu, et à plus forte raison celle d’un groupe d’individu. En effet, aujourd’hui un individu isolé doté d’un matériel standard mais d’une détermination et de compétence adéquate (quoi que nous verrons que ces compétences peuvent s’acheter) peut mettre à mal une organisation qu’elle soit commerciale ou institutionnelle. Que ce soit par vengeance personnelle envers un employeur, ou par représailles envers un état comme ce fut le cas de l’Estonie23, où la structure même de ce jeune pays très informatisé fut mise à mal, les motivations bien que diverses empruntent les mêmes outils. Une autre motivation, est la revendication de certaines valeurs, comme ce fut le cas avec la création du vers MyDoom24. En effet, dans ce cas on évoque la possibilité que certains individus issus de la communauté Linux aient réalisé ce type d’attaque en représailles envers une société cherchant à nuire à cette communauté. 21 Cyber guérilla - Hackers, pirates et guerres secrètes wiki.france5.fr/index.php/CYBER_GUERILLA__HACKERS,_PIRATES_ET_GUERRES_SECRETES 22 Les cybercriminels envoye-special.france2.fr/indexfr.php?page=reportage&id_rubrique=926 23 Cyber-attaque en Estonie www.journaldunet.com/solutions/securite/dossier/07/1123piratages-mediatiques/4.shtml 24 Quand MyDoom fait boom, article de Libération paru le 02/02/2004 www.liberation.fr/economie/0101476777-quand-mydoom-fait-boom Virus, spyware, spam : Une course perdue d’avance ? 21/123 Mais les motivations peuvent prendre les aspects les plus divers, même si ce ne sont pas des cas représentatifs, comme la recherche d’OVNIS25. Gary McKinnon, un anglais se serait introduit sur plusieurs réseaux militaires critiques américains espérant trouver les preuves cachées par l’armée américaine de l’existence d’une vie extra-terrestre et aurait causé des centaines de milliers de dollars de dégâts. Une demande d’extradition est en cours le concernant depuis 2006. 25 Un hacker recherche des OVNIS et risque l'extradition www.journaldunet.com/solutions/securite/actualite/un-hacker-recherche-des-ovnis-etrisque-l-extradition.shtml Virus, spyware, spam : Une course perdue d’avance ? 22/123 3 Risques et enjeux Comme dans beaucoup de domaines l’étude de l’évolution d’un phénomène nous permet de mieux appréhender son état actuel, mais ne permet pas malheureusement de bien définir son devenir surtout dans un domaine comme l’informatique ou règne « la puissance de l’imprévisible »26. En effet, dans un domaine en pleine explosion comme l’informatique où la récurrence est très forte et très rapide, l’observation sur une période d’un phénomène ne permet pas forcément de prédire avec justesse son avenir. Les risques sont multiples, comme je le montrerais dans l’énumération des déclinaisons des types de menaces, et les désagréments peuvent se faire sentir aussi de nombreuses façons : • Ordinateur corrompu induisant des nuisances diverses : o Ralentissement o Perte de données • Vole d’informations confidentielles • Usurpation d’identité et toutes ses conséquences • Chantage • Prise de contrôle à distance Mais cela reste à un niveau individuel, même si dans certaines organisations plusieurs personnes peuvent être touchées simultanément. Par contre si ces menaces visent un organe d’état ou des entreprises critiques pour la bonne marche du pays, les effets peuvent être dévastateurs. C’est pourquoi certains états collaborent, dont la France, à la prise de conscience de la nécessité d’une cyber-défense27 pour garantir le bon fonctionnement de l’état en cas d’attaque. Aujourd’hui, une guerre sur internet n'implique pas toujours une guerre réelle, mais l'inverse oui. 26 « Le Cygne Noir La puissance de l'imprévisible » de Nassim Nicholas Taleb, livre conseillé par notre professeur de SOA, Henry Boccon-Gibod. www.lesbelleslettres.com/livre/?GCOI=22510100957220 27 Cyberdéfense : un nouvel enjeu de sécurité nationale www.senat.fr/rap/r07-449/r074490.html Virus, spyware, spam : Une course perdue d’avance ? 23/123 Dans le fonctionnement d’un état, les menaces informatiques peuvent intervenir à différents niveaux, militaire, financier, sociale. Dans l’hypothèse du déploiement de machines à voter, une menace informatique ciblant ces machines remettrait en question les fondements même d’un état. Virus, spyware, spam : Une course perdue d’avance ? 24/123 4 Logiciel malveillant/Maliciel [Malware]28 Ce chapitre qui à pour but de présenter les différentes déclinaisons de menaces n’est pas qu’une simple liste énumérant les prouesses techniques des hackers. La connaissance des menaces permet de réduire l’exposition au risque et réduit l’impacte de l’ingénierie sociale. 4.1 Définition Un logiciel malveillant est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus. Le sujet de ce mémoire reprend un abus de langage courant qui est d’attribuer le nom de virus à tout logiciel malveillant, mais je vais détailler ici toutes les nuances que ces menaces peuvent prendre. On trouve parfois la terminologie suivante : programme potentiellement indésirable [Potentially Unwanted Program (PUP)] Par contre, il est à noter qu’un anti-virus, fort de cet abus de langage, traite toute sorte de menaces et leur champ d’application s’étant à mesure que les menaces se diversifient, mais en restant toutefois dans le contexte du logiciel malveillant. Il faut noter qu’on différencie les menaces dites « in the wild » et « in the zoo ». Pour la seconde catégorie, il s’agit de ce qu’on appelle des « proof of concept » qui servent à démontrer l’exploitabilité d’une faille et donc l’intérêt de sa correction, ce sont principalement des virus expérimentaux et des virus très anciens qui ne se rencontrent plus actuellement. Tandis que les menaces dites « in the wild » sont issues d’une véritable intention de nuire par leurs auteurs et actuellement à l’œuvre sur les réseaux. Cette distinction est importante, en raison de l'inflation du nombre des virus les éditeurs ont tendance à retirer de la base de signatures les virus les plus anciens, afin d'éviter d'avoir une base de taille excessive qui ralentirait fortement l'analyse. 4.1.1 Historique L’évolution des malwares souvent appelés hâtivement virus peut se constater dans les analogies qui sont faîtes avec la biologie. 29 28 Logiciel malveillant fr.wikipedia.org/wiki/Logiciel_malveillant La virologie informatique : genèse d'un concept ? Anne Bonfante et Jean-Yves Marion www.loria.fr/~marionjy/Research/Publications/Articles/SpecifDec06.pdf 29 Virus, spyware, spam : Une course perdue d’avance ? 25/123 Nombre de termes employés sont empruntés à ce domaine, comme « infection », « antidote » et bien sur le terme « virus » lui même. Mais aussi les représentations comme les logos à base de stéthoscope, de seringue, de gélule, etc. Cependant on remarque une évolution par le biais d’analogie avec l’iconographie et les termes issus de la guerre. En effet, on parle désormais « d’attaque », de « protection » et les logos en forme de bouclier apparaissent laissant deviner une évolution du phénomène, mais aussi une complexité qu’une seule analogie ne saurait rendre. Dans le début des années 60, quelques informaticiens des laboratoires Bell inventent le jeu Core War30. Le principe consiste à implanter dans la mémoire d'un ordinateur deux programmes qui vont alors, sans aucune intervention humaine, lutter l'un contre l'autre en cherchant à se localiser et à se détruire mutuellement. Chaque programme peut en outre se défendre en s'auto-réparant en cas de dommage causé par l'adversaire, et en se dupliquant dans la mémoire. La partie est terminée lorsque l'un des joueurs a perdu tous ses programmes ou si ceux-ci ont été modifiés au point d'être rendus inactifs. Le gagnant est celui qui possède le plus grand nombre de copies actives du programme, que l’on nomme aujourd’hui « virus ». C’est en 1983 que le terme «virus informatique» est défini officiellement pour la première fois par Leonard Adleman, chercheur en informatique théorique et sa définition est : « un virus informatique est un programme informatique qui peut infecter d'autres programmes en les modifiant de manière à y inclure une copie de lui-même (éventuellement évoluée) ». Le premier virus fut un virus pour Apple, nommé Elk Cloner en 1982 créé pour son amusement par un adolescent. Il s’agissait d’un virus inoffensif mais gênant.31 La première concrétisation sur PC apparait en 1986 sur l'Arpanet, l’ancêtre d’Internet, infecté par Brain32. Depuis, les virus informatiques frappent tous les systèmes d’exploitations, et sont en pleine expansion avec l’apparition de nouveaux moyens de connexion ces dernières années, tels que la messagerie instantanée, les téléchargements peer to peer et la technologie Bluetooth qui rend les téléphones mobiles de plus en plus vulnérables. 30 31 32 Core War assiste.com.free.fr/p/abc/a/core_war.html Elk Cloner en.wikipedia.org/wiki/Elk_Cloner Brain (computer virus) en.wikipedia.org/wiki/Brain_(computer_virus) Virus, spyware, spam : Une course perdue d’avance ? 26/123 Aujourd’hui les virus ont différentes origines, cela a peut être par jeu, dans une moindre mesure pour se venger ou pour nuire, mais c’est aujourd’hui surtout par intérêt mercantile qu’ils sont créés. 4.1.2 Chiffres D’après le CERTA (Centre d'Expertise Gouvernemental Réponse et de Traitement des Attaques informatiques) : de « Il n'existe pas de statistiques fiables en matière de virus. Beaucoup de sources d'informations sur les virus, citant le nombre de spécimens en circulation sans parler du montant des dégâts imputés aux virus, sont particulièrement fantaisistes. »33 Ce flou est entretenu par les sociétés éditrices de solutions anti-virus, et contrairement aux spams, il est plus difficile pour des organismes indépendants de mesurer l’ampleur du phénomène. 4.2 Techniques Les contrôles de sécurité destinés à endiguer les codes malveillants se sont montrés efficaces pendant un temps. Cependant, cela a eu pour résultat d’obliger les pirates à être plus créatifs et du coup en 2007 la plupart des menaces ont gagné en discrétion et en sophistication. On classe ce type de menace suivant 3 critères principaux communément admis aujourd’hui, bien que certaines menaces peuvent, suivant l’interprétation qui en est faite, être rangées dans une catégorie ou une autre : • Mécanisme de propagation : permet comme son nom l’indique de propager la menace. • Mécanisme de déclenchement : c’est la condition qui doit être remplie pour que la charge utile entre en action, qu’on appelle aussi bombe logique. • Charge utile : c’est la partie du programme qui contient véritablement l’action malveillante. Une règle d’or est qu’un logiciel malveillant doit être exécuter pour être dangereux. Il a donc besoin de votre aide, mais utilise parfois certaines facilités de votre système d’exploitation pour s’activer automatiquement. Il est donc nécessaire d’avoir connaissance de ces mécanismes pour comprendre quand il y a danger et quand on ne risque rien. Ou tout 33 Rappel sur les virus de messagerie www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/ Virus, spyware, spam : Une course perdue d’avance ? 27/123 simplement pour comprendre l’intérêt des fenêtres qui pose la question de savoir si l’on veut bien exécuter telle ou telle action. Ces mécanismes sont entre autres : • • • • Exécution de macro-langages dans les documents Exécution automatique [autorun] d’un cédérom ou d’une clé USB Ouverture et exécution automatique de courriel au format HTML Exécution de code dynamique sur les sites web Cependant, une nuance est à apporter car un programme anodin mais comportant une faille de sécurité peut constituer une menace. 4.2.1 Vecteurs d’infection/Transmission Le malware est un fichier exécutable. Donc toute donnée inerte i.e. qui ne contient pas de code exécutable par la machine ne peut constituer une menace en ce sens. Sauf si elle est lu par exécutable lui-même buggé et présentant une faille de sécurité. C’est pourquoi il peut être utile de reconnaître les extensions courantes de programmes exécutables et donc susceptibles de contenir un virus. Ci-dessous un tableau récapitulatif des extensions exécutables Windows : Virus, spyware, spam : Une course perdue d’avance ? 28/123 34 Attention toutefois à ne pas se faire abuser par un réglage qui permet de masquer les extensions connues (justement celles précitées) car dans ce cas le fichier nommé « un_nom_qui_donne_envie_de_cliquer.jpg.exe » apparaîtra sans l’extension « .exe ». Seul le mode « Détail » le fera apparaître avec le type « Application » indiquant qu’il s’agit bien d’un exécutable et nom d’une image. De même un nom du type « un_nom_qui_donne_envie_de_cliquer.jpg .exe » pourra abuser l’utilisateur en l’incitant à cliquer croyant qu’il ne court aucun risque. 34 Tableau issu d’un cours coursgratuits.net/securite/ordinateur3.php sur la Virus, spyware, spam : Une course perdue d’avance ? sécurité informatique cf. 29/123 Il est à noter que sous Linux un fichier doit acquérir des droits en exécution explicites, qui ne peuvent être donnés que par l’utilisateur. Ce dernier procède donc à une démarche volontaire. De plus Linux ne fonctionne pas comme Windows sur la base d’extensions de fichiers, mais se fie au « Magic Number », qui est une donnée intrinsèque au fichier renseignant sur sa finalité (image, binaire, document quelconque). Les vecteurs permettant aux malware de pénétrer dans votre machine sont principalement les suivants : • • • • • Courriel : via les pièces jointes Navigation sur des sites web à haut risque d'infections Ingénierie sociale Faux codec Piratage o Crack et keygen (qui sont des exécutables) o Warez en tout genre (mp3, avi, etc.) • Logiciel gratuit • Rogue (faux logiciel de sécurité) • Messagerie instantanée Aujourd’hui il est devenu difficile de savoir lorsqu’on est infecté car les malwares se font de plus en plus discrets. Certains indices peuvent malgré tout éveiller les soupçons : • Programmes qui se lancent au démarrage • Occupation CPU importante alors que l’ordinateur n’est pas utilisé • Trafic réseau sans raison Ces indicateurs, difficiles à considérer tant il y a d’activité normales échappant à notre contrôle ne remplacent pas l’utilisation de logiciels de protection adéquats. 4.3 Prise de contrôle à distance Les malware entrant dans cette catégorie pourraient très bien appartenir aux chapitres suivants, notamment « Menaces financières » suivant l’utilisation qui en ait faite. 4.3.1 Cheval de Troie/Troyen [Trojan horse] Comme dans la mythologie grecque ce programme se présente sous des dehors aguicheurs, incitant l’utilisateur à l’exécuter afin de pouvoir lancer un code malicieux. Contrairement au vers et virus il ne cherche pas à se propager. Virus, spyware, spam : Une course perdue d’avance ? 30/123 Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte dérobée [backdoor]. Le champ d’action d’un tel logiciel n’est limité que par l’imagination de son concepteur et peut par exemple : • voler des mots de passe • copier des données sensibles • exécuter toute autre action nuisible Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur. Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps de compromettre votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert. Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP. Donc, soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée, soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem, auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées. Mais il peut agir de manière moins discrète et de lui-même contacter un serveur pour vous identifier. Pour se protéger de ce genre d'intrusion, il suffit d'installer un pare-feu [firewall], c'est-à-dire un programme filtrant les communications entrantes et sortantes de votre machine. Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la connexion aux programmes que vous ne connaissez pas, car il peut très bien s'agir d'un cheval de Troie. 4.3.2 Exploitation de faille [Exploit] Virus, spyware, spam : Une course perdue d’avance ? 31/123 Cette technique utilise les vulnérabilités d’un système ou d’un logiciel pour commettre des actions à priori interdites. Ces failles de sécurité sont en faite des erreurs ou oublis lors de la programmation, qui une fois découverts peuvent parfois être exploités à des fins frauduleuses. La catégorie des exploits « zero day » s’est spécialisée dans l’utilisation de ces failles de sécurité dans les premières heures de leur découverte. Indiquant ainsi la professionnalisation de ce type d’activité et démontrant que dans cette cyber-guerre un des atouts majeurs est la rapidité. En effet, face aux multinationales de la sécurité dont les produits équipes de nombreux ordinateurs, seule la rapidité permet d’outrepasser les protections avant que celles-ci ne soient mises à jour. 4.3.3 Kit racine [Rootkit] Ce type de malware s’attaque directement au cœur du système d’exploitation du poste, afin de contourner les restrictions de sécurité du système. Un rootkit peut également camoufler d’autres malwares. Généralement il s’interface entre les programmes légitimes et les commandes de bas niveau, livrant ainsi en réponse à des requêtes légitimes les réponses de son choix. En 2005, Sony à distribué des cédéroms qui installaient un rootkit à l’insu de leur propriétaire afin de collecter des informations personnelles. La controverse qui s’en est suivie a permis une prise de conscience concernant ce type de menace. 4.4 Vol d’informations Certains malwares se sont spécialisés dans le vol d’informations. Une fois introduit sur une machine, il leurs est aisé d’espionner les agissements de l’utilisateur et d’envoyer à son insu les informations collectées. Ces informations peuvent être de tout ordre, mais permettent généralement de cibler les habitudes des internautes à des fins publicitaires. 4.4.1 Enregistreur de frappe/écran [Keylogger/Screenlogger] Le but de ces techniques est essentiellement le vol d’identifiants et de mots de passes. Les screenloggers permettent en plus des données du clavier et de la souris, d’enregistrer en simultané des captures d’écrans, associant ainsi un clic clavier ou souris à un écran particulier. Ce type de malware permet ainsi de contourner les systèmes de sécurité utilisés par certains sites web, où les utilisateurs sont amenés à Virus, spyware, spam : Une course perdue d’avance ? 32/123 s’authentifier sur un clavier virtuel à l’écran, ce qui est une méthode justement mise en place pour contourner les keyloggers. Actuellement, la banque postale35 propose une technique de clavier virtuelle où le simple passage de la souris sur les touches provoque la saisie du code, déjouant ainsi les 2 techniques précitées. 4.4.2 Espiogiciel/Mouchard [Spyware] La confidentialité de la navigation sur Internet est souvent illusoire et certaines informations récoltées sont plus intrusives que d'autres. Pour récolter des informations pouvant être utilisées à des fins commerciales ou à des fins moins avouables, certains éditeurs ont recours à des spywares. Un espiogiciel est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage). Les récoltes d'informations peuvent ainsi être : • • • • • la traçabilité des URL des sites visités le traçage des mots-clés saisis dans les moteurs de recherche l'analyse des achats réalisés via internet les données bancaires des informations personnelles. Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps lors de téléchargements de freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme gratuit, par de la vente d'informations statistiques. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel. Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils accompagnent précise que ce programme tiers va être installé. En revanche étant donné que la longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très rarement qu'un tel logiciel effectue ce profilage à leur insu. Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel, les spywares peuvent également être une source de nuisances diverses : 35 Accéder à son compte www.labanquepostale.fr Virus, spyware, spam : Une course perdue d’avance ? 33/123 • • • • • consommation de mémoire vive utilisation d'espace disque mobilisation des ressources du processeur plantages d'autres applications gêne occasionnée par l'ouverture d'écrans publicitaires intempestifs La principale difficulté avec les spywares est de les détecter. La meilleure façon de se protéger est encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité. Notamment les freewares, les sharewares dont c’est un mode de rémunération plus ou moins caché en ce sens que généralement cette fonctionnalité apparaît dans la licence dont la lecture nous apparaît souvent comme superflue. D’ailleurs, les systèmes Windows récents alertent avant chaque installation qu’il convient de se poser la question de la provenance du programme qu’on est sur le point d’installer. En plus des confirmations de l’environnement Windows, certains logiciels demandent d’eux même une confirmation, comme pour nous rassurer, mais rien n’empêche le concepteur du programme d’effectuer la même action que l’on clique sur « Accepter » ou « Annuler ». Qui plus est, la désinstallation de ce type de logiciels ne supprime que rarement les spywares qui l'accompagnent. Pire, elle peut entraîner des dysfonctionnements sur d'autres applications. Dans la pratique il est quasiment impossible de ne pas installer de logiciels. Ainsi la présence de processus d'arrière plans suspects, de fichiers étranges ou d'entrées inquiétantes dans la base de registre peuvent parfois trahir la présence de spywares dans le système. La solution à privilégié reste les anti-spywares, dont j’indiquerais quelques références dans le chapitre « Solutions/Anti-spyware », conjugué avec un pare-feu qui permet d'une part de détecter la présence d'espiogiciels, d'autre part de les empêcher d'accéder à Internet (donc de transmettre les informations collectées). 4.5 Menaces financières Certaines malwares ont pour but unique d’extorquer de l’argent par divers moyens plus ou moins discrets. 4.5.1 Composeur téléphonique [Dialer] Un dialer n'est ni plus ni moins qu'un programme chargé de composer des numéros de téléphone depuis votre ordinateur. Habituellement vous l'utilisez afin d'établir votre connexion internet, mais, si on lui en donne Virus, spyware, spam : Une course perdue d’avance ? 34/123 l'ordre, il peut aussi bien composer depuis votre machine n'importe quel numéro en passant par votre ligne téléphonique, par exemple des numéros surtaxés à votre insu. 4.5.2 Rançonnage [Ransonware] Comme leur nom l’indique ces programmes une fois installé sur votre demande une rançon après avoir effectué certaines opérations. Ils cryptent ou effacent vos fichiers si vous ne réaliser pas un achat sur un site complice. Cela démontre une fois encore l’utilité d’avoir des sauvegardes. 4.6 Nuisances diverses Mais les malware peuvent aussi prendre diverses formes. 4.6.1 Escroc [Rogue] C’est un type de malware particulier, en ce sens que son apparence même fait appel à l’ingénierie sociale, puisqu’il se présente sous la forme d’un logiciel justement sensé vous protéger ou vous débarrasser des logiciels malveillants. N’hésitez pas à consulter cette liste de plus de 1.000 logiciels crapuleux jouant sur la peur pour que vous achetiez et installiez à votre insu un malware : • Logiciels inutiles ou piégés ou trompeurs ou crapuleux (ne pas utiliser, ne pas acheter, ne pas tester) : o assiste.com.free.fr/p/craptheque/craptheque.html 4.6.2 Mulet [Piggyback] Il s’agit de codes malicieux intégrés dans un logiciel tout à fait légitime, ou plus simplement d’une action malicieuse induite par un fichier. Par exemple, une vidéo peut nécessiter l’installation d’un codec particulier, qui en s’installant déposera un malware. En cela, ce type de menace s’apparente à de l’ingénierie sociale. 4.6.3 Pirate de navigateur [Browser Hijacker]36 Il s’agit d’un script qui s’exécute suite à la visite d’un site malveillant, dont le but est de modifier les paramétrages de votre navigateur de manière à vous diriger vers certains sites. 36 Hijack - Hijacker – Hijacking assiste.com.free.fr/p/abc/a/hijack_hijacker_hijacking.html Virus, spyware, spam : Une course perdue d’avance ? 35/123 Les réglages qui peuvent être modifiés sont multiples et parfois même irréversibles par une altération des menus de votre navigateur (un utilisateur éclairé pourra malgré tout récupérer sa configuration). Ces modifications peuvent toucher les points suivants : • • • Page de démarrage Page de moteur de recherche par défaut Ajout de favoris à votre insu Tout cela à pour but que vous visitiez certains sites web, le plus souvent simplement pour augmenter le trafic de ces sites et ainsi les revenus liés à la publicité. 4.6.4 Publiciel [Adwares]37 Des logiciels s'installent parfois à l'insu de l'utilisateur afin de l'orienter dans sa navigation. Ils ont généralement une vocation commerciale mais peuvent aussi altérer la sécurité du poste ou du réseau. 4.6.5 Téléchargement forcé [Drive-by download] Il s’agit de l’exploitation des failles des navigateurs pour l’installation automatique de malwares. Il n’est plus besoin de passer par l’ingénierie sociale pour forcer l’utilisateur à accepter une installation, cela se fait complètement à son insu. 4.6.6 Vers [worm] Le vers à l’instar du virus n’a pas besoin d’un programme hôte pour se propager, il se suffit à lui-même, mais les motivations et les possibilités sont identiques. C’est en 1988 qu’est apparu le premier vers dénommé Morris38 (du nom de son créateur), création d’un étudiant exploitant des failles de sécurité. A l’origine inoffensif, malgré son intention de se dupliquer sur le réseau, le programme comportait une erreur de programmation (bug), qui a provoqué une « surinfection » (engorgement du réseau et des machines contaminés) provoquant un effondrement des systèmes par saturation, dévoilant ainsi sa présence et créant des dommages considérables. Cet évènement a participé à la prise de conscience collective de la vulnérabilité des systèmes d’information. 37 38 Publiciel fr.wikipedia.org/wiki/Publiciel Morris (ver informatique) fr.wikipedia.org/wiki/Morris_(ver_informatique) Virus, spyware, spam : Une course perdue d’avance ? 36/123 Un ver est un programme qui peut s'auto reproduire (contrairement au cheval de Troie qui lui n a pas cette fonction) et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier) pour se propager. Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-mêmes à tous ces destinataires. Ces vers sont la plupart du temps des scripts ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché. 4.6.7 Virus39 Du fait de l’amalgame de cette dénomination de nombreux programmes malveillant qui sont traités par ailleurs, j’évoquerais ici simplement les différents aspects de ce que sont réellement les virus informatique dans leur dénomination stricte. Selon la définition donnée par Fred Cohen, le premier chercheur qui a décrit le phénomène dans une thèse publiée en 1985, le virus est un programme informatique capable d'infecter d'autres programmes en les modifiant afin d'y intégrer une copie de lui-même qui pourra avoir légèrement évolué. A la manière de son frère biologique, il se reproduit rapidement à l'intérieur de l'environnement infecté sans que le porteur (l'utilisateur) en ait conscience. Indépendamment de sa fonction reproductive, le virus contient généralement une charge qui peut causer des dégâts insignifiants ou redoutables. Mais il ne peut pas agir de façon autonome car le programme infecté doit être exécuté pour devenir actif. L’illustration ci-dessous représente l’empilement des fonctions de base d’un virus détaillées dans la suite : • Séquence de camouflage : facultative, permet au virus d’avoir une durée de vie plus longue • Séquence de commande : c’est la charge utile du programme, sa raison d’être • Condition : ce sont les circonstances de déclenchement • Séquence de reproduction : c’est la partie du code qui assure la survie par propagation 39 Virus informatique fr.wikipedia.org/wiki/Virus_informatique Virus, spyware, spam : Une course perdue d’avance ? 37/123 40 Il existe une multitude de modes de propagation des virus, dont voici les plus courants : • Blindé : c’est un virus qui utilise des techniques spéciales, pour que son désassemblage et la compréhension de son code soient plus difficile et pour rendre son fonctionnement quasiment incompréhensible. La motivation de leurs auteurs restant floue, il est plus difficile de s’en prémunir. • Cavité : c’est un virus qui écrase une partie du fichier hôte qui est constitué d'une constante (en général, des 0) sans augmenter la taille du fichier et tout en préservant sa fonctionnalité, afin de mieux se dissimuler aux yeux des anti-virus. • Compagnon : c’est un virus qui, au lieu de modifier un fichier existant, crée un nouveau programme qui est exécuté à l'insu de l'utilisateur au lieu du programme voulu. Le programme original est ensuite exécuté de telle sorte que tout apparaît normal à l'utilisateur. Les anti-virus qui ne cherchent que les modifications apportées aux fichiers existants (vérificateurs d'intégrité) ne détecteront pas ce type de virus. • Compte-goutte : c’est un programme conçu pour installer un virus sur le système visé. Le code du virus est en règle générale contenu dans ce programme de telle manière qu'il ne sera pas détecté par un anti-virus qui, dans d'autres circonstances, détecte ce virus (le compte-gouttes n'est pas infecté par ce virus). • Furtif : c’est un virus qui, lorsqu'il est actif, dissimule les modifications apportées aux fichiers ou au secteur de boot. Cette méthode permet au virus de ne pas être détecté par les utilitaires 40 Les virus informatiques www.futura-sciences.com/fr/doc/t/informatique-2/d/les-virusinformatiques_28/c3/221/p2/ Virus, spyware, spam : Une course perdue d’avance ? 38/123 anti-virus qui recherchent des modifications éventuelles apportées aux fichiers. Néanmoins, pour que cela soit possible, le virus doit être actif en mémoire résidente, ce qui est détectable par les antivirus. • Polymorphe : c’est un virus qui produit des copies variées de luimême, mais qui restent opérationnelles. Cette stratégie a été mise au point dans l'espoir que les utilitaires anti-virus ne puissent pas détecter toutes les variantes du virus et/ou ne puissent pas produire de signatures dans des délais raisonnable, laissant ainsi tout le temps nécessaire au virus d’opérer. Parallèlement à ces différents types de propagation, les virus se différencient également par leur vitesse de réplication : • Normal : le virus infecte les programmes au fur et à mesure que ces derniers sont exécutés. • Rapide : le virus lorsqu'il est activé en mémoire, infecte non seulement le programme qui est exécuté mais également ceux qui sont simplement ouverts. Le résultat est que, si on lance un scan anti-virus ou un vérificateur d'intégrité, tout ou partie des programmes seront infectés. • Lent : Cela fait référence aux virus qui n'infecteront des fichiers que s'ils sont modifiés ou créés. Le but est de faire croire aux utilisateurs de vérificateurs d'intégrité que les rapports de modifications sont dus à des raisons légitimes. • Occasionnel : le virus infecte de manière sporadique (par exemple, 1 programme exécuté sur 10, programmes dont la taille dépasse un certains nombres d'octets, etc.). En infectant moins souvent, ces virus réduisent la probabilité d'être découverts. Mais les virus ne s’en tiennent pas simplement à cette description. Le virus étant un programme, il faut que son hôte soit exécuté pour qu’il s’active, ce qui signifie qu’un virus peut rester inerte sans danger si l’on est conscient de sa présence dans un programme. Une nuance est à apporter cependant, car certains documents comme les feuilles de tableur se sont vu doté au cours de leur évolution de fonctionnalités visant à les rendre interactives via des macro-langages et tout naturellement sont apparues les macro-virus. Par rapport aux virus décrits ci-dessus, les macro-virus constituent une catégorie à part. En effet, ces virus ne sont pas spécifiques à un système d'exploitation et infectent indifféremment des ordinateurs tournant sous Windows, Macintosh ou Linux. De plus, ces virus n'infectent pas des programmes mais des documents. A leurs débuts, ces virus étaient sans danger et se contentaient d'afficher des boites de dialogues de manière inopinée. Aujourd'hui certains de ces virus ont un but destructeur et peuvent aller jusqu'à l'effacement pur et simple de fichiers. C’est pourquoi par défaut la fonctionnalité d’exécution Virus, spyware, spam : Une course perdue d’avance ? 39/123 des macro-langages est souvent désactivée et demande votre accord avant de se lancer. Virus, spyware, spam : Une course perdue d’avance ? 40/123 5 Courrier indésirable/Pourriel [Spam]41 5.1 Définition On appelle « spam » l’envoi répété de courriers électroniques non sollicités, le plus souvent à but commercial, à des personnes dont l’adresse électronique a été captée de façon irrégulière sur des sites web, des forums de discussion, des annuaires…, et qui n’ont jamais consenti à les recevoir.42 Ce type de courrier peut être décliné en 2 catégories : 1. Les envois de masse [Unsolicited Bulk Email (UBE)] 2. Les courriers commerciaux [Unsolicited Commercial Email (UCE)] Communément appelé « junk mail », le terme de référence reste « spam », francisé par pourriel, contraction de poubelle et courriel. Le mot « pourriel » a été créé par l’office québécois de la langue française en 1997 pour traduire le terme anglais de « spam ». Il a été rejeté par l’Académie française parce que trop proche de « courriel », la terminologie francophone utilisée pour e-mail. La détermination du spam se fait sur un critère de volume et de loyauté de la collecte des adresses. En effet, certaines démarches de publipostage [emailing] sont tout à fait légales et il est parfois difficile de faire le tri parmi toutes les sollicitations reçues par courriel de celles qui relèvent effectivement du spam. Je reviendrais sur ces nuances subtiles dans le chapitre « Législation ». Le but premier du spam est de faire de la publicité à moindre frais par envoi massif de courrier électronique non sollicité. Les spammeurs prétendent parfois, pour leur défense, que le courrier est facile à supprimer, et qu'il est par conséquent un moyen écologique de faire de la publicité. Mais devant l’ampleur du phénomène certaines études montrent qu’en dehors du coût du spam, celui-ci à aussi une empreinte écologique équivalente à plusieurs millions de véhicules (détails dans le chapitre « Chiffres »). Le but est soit de vendre un produit, soit d’inciter à cliquer sur un lien qui finira par infecter l’ordinateur et servira ensuite de diverses manières. 41 42 Pourriel fr.wikipedia.org/wiki/Pourriel Définitions www.cnil.fr/dossiers/conso-pub-spam/halte-au-spam/definitions/ Virus, spyware, spam : Une course perdue d’avance ? 41/123 Peu de gens donne suite, que ce soit en achetant un produit ou en cliquant sur un lien. Mais même avec un très faible taux de réponse, au vu du nombre de messages envoyés pour un coût quasi nul, l’opération reste rentable. Comme nous le verrons plus loin dans le chapitre « Solutions/Règles d’or », ne pas donner suite aux spams reste un moyen de lutte efficace contre ce fléau. Le principal inconvénient du spamming, en dehors de la gêne occasionnée pour l’utilisateur, est l'espace qu'il occupe sur le réseau, utilisant inutilement une bonne partie de la bande-passante, rendant internet moins rapide, et induisant des coûts de structure supplémentaires pour les Fournisseurs d'Accès à Internet (FAI), et indirectement à leurs abonnés, car ils doivent : • • • • Mettre en place une plus grande largeur de bande Acheter des serveurs supplémentaires Disposer d'un plus grand espace de stockage Engager du personnel supplémentaire et le former De plus, en suscitant la méfiance des utilisateurs à l’égard du courrier électronique et de l’internet, le « spam » est un obstacle au développement de la société de l’information. 43 Aujourd’hui tous les acteurs et utilisateurs d’internet sont unanimes pour considérer que le spam est un vrai fléau. Il dépasse le cadre du courrier électronique pour envahir les forums, les blogs, les messageries instantanées et autres lieux d’expression ouvert au publique. L’explosion des réseaux sociaux, tel Facebook, permettent, après usurpation d’identité, de contacter leurs adhérents avec plus de chance de les convaincre d’ouvrir les courriels frauduleux, ceux-ci semblant venir d’un contact connu. De plus les possibilités de partage de petites applications ludiques sont autant de vecteurs d’infections. Encore une fois l’ingénierie sociale est utilisée par s’assurer que ces courriers touchent un maximum de cibles. En effet, les rédacteurs de messages, peu scrupuleux, utilisent des faits d’actualité brulant, qu’elle soit locale à un pays comme la loi Hadopi en France ou internationale comme le crash d’un avion médiatisé ou encore la mort de Michael Jackson pour inciter les gens à cliquer sur des liens prometteurs. Par exemple, profitant de l’engouement autour de la mort de Michael Jackson au niveau planétaire, des spams sont apparus très rapidement 43 Ministère de la culture et de la communication, Direction du développement des médias www.ddm.gouv.fr/rubrique.php3?id_rubrique=69 Virus, spyware, spam : Une course perdue d’avance ? 42/123 invitant à cliquer sur un lien permettant d’accéder à une vidéo montrant le corps de l’artiste défunt, mais menant en fait vers un site malveillant.44 D’autres, profitant de l’annulation de sa tournée ont utilisé l’aubaine pour récolter des informations bancaires, prétextant un remboursement des billets de concert.45 5.1.1 Historique46 Le terme « spam » vient d’un sketch des Monty Python dans lequel le mot est répété à l’infini avant d’être repris en chœur dans une chanson. Datant de 1975, ce classique de l’émission de la BBC Monty Python’s Flying Circus parodie une publicité ringarde pour un pâté de jambon en gelée bas de gamme, appelé Spam, pour Spiced ham (« jambon épicé »). C’est à la fois à cause de la répétition qui tourne à l’absurde, mais aussi en souvenir de la fadeur indigeste du produit, que les messages électroniques publicitaires qui inondent les boîtes mails ont fini par être baptisés ainsi. L'histoire veut d'ailleurs que le sketch en question ait été inspiré par une publicité anglo-saxonne pour la dite boite de jambon, dans laquelle son nom "spam" était répété de nombreuses fois. Le spam est né en 1978, quand Gray Thuerk a l’idée de récupérer les adresses de 600 utilisateurs de l’Arpanet, réseau alors utilisé par le gouvernement et les universités, pour leur envoyer le même mail. Il est considéré comme le père du spam. Le premier envoi massif commercial date de 1994, lorsque 2 avocats américains, Laurence Canter et Martha Siegel, envoient cette année-là des millions de mails aux immigrants cherchant à vivre aux États-Unis. Cette campagne, qui leur aurait rapporté 100 000 dollars, est considérée comme le premier envoi massif commercial. 5.1.2 Chiffres Aujourd’hui on est bien loin de ces premiers chiffres. Il est assez difficile d’avoir des statistiques précises, car le phénomène est complexe, sujet à polémique et les détenteurs de chiffres sont souvent des sociétés privés qui pourraient modifier légèrement les résultats pour 44 Mort de Michael Jackson : les spammeurs en profitent www.journaldunet.com/solutions/breve/virus/40286/mort-de-michael-jackson---lesspammeurs-en-profitent.shtml 45 State of Spam - A Monthly Report - July 2009 Report #31 (p. 2) www.magsecurs.com/IMG/pdf/Symantec_State_of_Spam_and_Phishing_Report_-_juin_09.pdf 46 Quelques données essentielles sur le spam, par Astrid Girardeau www.ecrans.fr/Spama-savoir,1913.html Virus, spyware, spam : Une course perdue d’avance ? 43/123 aller dans le sens de leur produit. De plus leurs données ne sont issues que des spams qui tombent dans leurs filets. 100 milliards ! Selon un numéro d’août 2007 du magazine américain New Yorker, c’est la quantité de courriers électroniques non désirés envoyés chaque jour dans le monde. Les spams représentent environ 80 % de l’ensemble des mails qui s’échangent dans le monde, soit 62 milliards de spams en 2008.47 Ils concernent principalement les produits pharmaceutiques, les services sur Internet, les produits financiers, les jeux d’argent en ligne et divers type de fraudes. « La prolifération du spam au cours des dernières années est un fait avéré et préoccupant. La part du spam était évaluée, dans une étude de Pew Internet & American Life d’octobre 2003, à 50% du trafic email total. A l’heure actuelle, les estimations basses des différents instituts et entreprises ne descendent pas en dessous des 80 % (MessageLabs, qui commercialise des solutions pour messageries, avance le chiffre de 86,2 % à fin 2006). Certains avancent le chiffre de 16 milliards pour le nombre de spams routés chaque jour en Europe (Radicati, octobre 2006). Selon le ministère de l’économie, le coût des courriers électroniques non sollicités a été estimé à 39 milliards d’euros au niveau mondial. En Europe, il a été estimé à environ 3,5 milliards d’euros en Allemagne, 1,9 milliards d’euros au Royaume-Uni et 1,4 milliards d’euros en France. »48 Un rapport datant du mois de juillet 2009 et émanant de Symantec annonce même 90% de spam. 47 Rapport sur l'empreinte carbone du spam dans les messageries (p. 1) www.3dcommunication.fr/pdf/EmpreinteCarboneSpam.pdf 48 Ministère de la culture et de la communication, Direction du développement des médias www.ddm.gouv.fr/rubrique.php3?id_rubrique=69 Virus, spyware, spam : Une course perdue d’avance ? 44/123 49 Le spam est un phénomène mondial où les États-Unis tiennent le haut du podium depuis plusieurs années. Ci-dessous la répartition sur le dernier mois des émissions de spam : 50 Le spam qui nous apparaît virtuel passe tout de même par des relais physique et consomme de l’électricité, sans compter les actions humaines qu’il engendre. 49 State of Spam - A Monthly Report - July 2009 Report #31 (p. 1) www.magsecurs.com/IMG/pdf/Symantec_State_of_Spam_and_Phishing_Report_-_juin_09.pdf 50 State of Spam - A Monthly Report - July 2009 Report #31 (p. 7) www.magsecurs.com/IMG/pdf/Symantec_State_of_Spam_and_Phishing_Report_-_juin_09.pdf Virus, spyware, spam : Une course perdue d’avance ? 45/123 D’ailleurs, d’après une étude de McAfee les spams polluent. 51 L'empreinte carbone laissée par les spams à l'échelle mondiale équivaut aux rejets de CO2 de plus de 3 millions de voitures selon un rapport de McAffee. Les 62 milliards de spams envoyés en 2008 dans le monde représenteraient ainsi 17 millions de tonnes de CO2 (0,2% des émissions mondiales). Pour arriver à de tels résultats, l'étude prend en compte l'énergie annuelle nécessaire à la création, l'envoi, la réception, le stockage et la consultation des spams. La part la plus énergivore serait l'affichage et la suppression des messages. L'ampleur du phénomène, s’explique simplement par le fait que l'envoi de spam a un coût quasi nul pour l’émetteur et que tous les coûts sont supportés par le destinataire et son fournisseur d’accès. Le coût d'un spam électronique en comparaison de celui d'une publicité papier est vraiment dérisoire. Ce qui explique les résultats suivant qui sont éloquents : 52 Les réactions face au spam sont aussi démonstratives d’une certaines résignation et d’un manque de compréhension du phénomène : 51 Rapport sur l'empreinte carbone du spam dans les messageries (p. 4) www.3dcommunication.fr/pdf/EmpreinteCarboneSpam.pdf 52 Le spam omniprésent au quotidien www.journaldunet.com/solutions/securite/dossier/08/0423-enquete-lecteurs-spam-etantispam/2.shtml Virus, spyware, spam : Une course perdue d’avance ? 46/123 53 En effet, on constate la résignation dans le faible taux de personnes qui tentent une action, certainement du au manque d’information sur les possibilités de plaintes qui en s’accumulant permettent des actions en justices. Mais aussi, par le nombre de personnes qui tentent de filtrer ces messages indésirables on note un manque d’information sur les techniques employées par les spammeurs qui devraient faire comprendre la quasi inutilité d’une telle démarche. Le coût de gestion des spams par les entreprises est colossal. Si l’on considère qu’un utilisateur passe en moyenne 5 à 10 minutes pour supprimer ses spams, ce temps perdu en équivalent salaire coûte 13,5 milliards d’euros aux entreprises du monde entier. A ce coût indirect (car le temps passé à la gestion des spams n’est pas utilisé à des tâches plus productives), il convient de rajouter les coûts directs : les pertes de données résultants des effets des spams ou d’erreurs humaines réalisées à l’occasion de leur suppression.54 5.2 Techniques Le Spam qui est aujourd’hui reconnu comme un, si ce n’est le plus grand vecteur d’infection des ordinateurs avec des programmes malicieux. Il est nécessaire de revenir sur la base technique de ce phénomène pour en comprendre les contraintes et limites, à savoir le fonctionnement des 53 Le découragement face au spam ? www.journaldunet.com/solutions/securite/dossier/08/0423-enquete-lecteurs-spam-etantispam/12.shtml 54 Source IronPort Virus, spyware, spam : Une course perdue d’avance ? 47/123 messageries électroniques, et notamment le protocole d’échange de message électronique SMTP. 5.2.1 SMTP55 Le protocole SMTP, pour Simple Mail Transfer Protocol, a été créé en 1982, bien avant l’explosion d’Internet. L’objectif de ce protocole était d’assurer une livraison maximale. Les préoccupations actuelles sur l’utilisation malveillante du courriel étaient alors inexistantes. C’est pourquoi aucune mesure d’intégrité stricte ne fait partie de la définition du protocole. Le laxisme entourant l’implémentation de ce protocole rend inapplicable certaines solutions basiques visant à exiger une authentification avant l’acceptation d’un courriel. SMTP est un protocole peu sécurisé qui n'intègre pas de système d'authentification. 5.2.2 Filtrage Pour éviter que leurs spams ne soient filtrés et donc perdus, les spammeurs doivent faire face à plusieurs problèmes : • Éviter les filtres de contenu : on verra qu’une technique à la mode est le spam image • Éviter les filtres à base de réputation : si on sait qu’une personne ou un ordinateur envoie des spams il suffit de ne plus accepter ces messages Un des sports favoris des spammeurs est donc de falsifier la provenance de leurs messages, et pour cela plusieurs techniques ont été mises au point. On peut infecter de nombreux ordinateur à l’aide de chevaux de Troie afin d’en prendre le contrôle au sein d’un réseau d’ordinateurs zombies [botnet], et ainsi d’envoyer des mails semblant provenir d’une multitude d’endroits. Mais on peut aussi tout simplement envoyer les spams depuis des adresses légitimes mais anonymes qui sont fournies gratuitement sur internet. Cependant comme ces adresses sont limitées dans leur nombre d’envois il faut en créer de nombreuses. Et pour endiguer ce phénomène, les fournisseurs d’adresses email afin d’éviter qu’un robot (un programme) puisse effectuer cette tâche, subordonne l’attribution d’une adresse au fait de répondre à un captcha. La parade des spammeurs ne 55 Le protocole SMTP traduit abcdrfc.free.fr/rfc-vf/rfc821.html Virus, spyware, spam : Une course perdue d’avance ? 48/123 s’est pas faite attendre, en effet afin d’obtenir ces indispensables adresses émettrices de spams il aurait fallu une armée d’humain pour répondre à ces énigmes (captcha). Qu’a cela ne tienne les internautes le feront à leur insu en y répondant pour accéder à des sites à contenu aguicheur. Le pirate n’aura plus alors qu’à récolter les réponses automatiquement et à créer ses adresses. 5.2.3 Adresse de rebond [Bounce address]56 Il s’agit d’email de non-délivrance émis par des serveurs de mails pour indiquer à l’émetteur que son message n’a pas été remis. Ce type de message très souvent en anglais donne les raisons de la non délivrance. Ce ne sont pas des spams, puisqu’ils sont théoriquement légitimes. Cependant étant donné que beaucoup de spammeurs usurpent l’identité d’individus légitimes, il arrive que certains bounces vous parviennent alors que vous n’êtes pas à l’origine du mail initial. Cela peut polluer votre boîte aux lettres et donc s’apparenter à du spam. 5.2.4 Redirection d’erreur [DNS Backscatter] Le problème évoqué plus haut n’a pas échappé aux spammeur, qui n’ont pourtant pas d’intérêt à ce que ces messages vous parviennent. Dans le cas des bounces il s’agit simplement d’un dommage collatéral. Mais ce comportement des serveurs de mail peut être utilisé tout autrement lorsque les mails en erreur sont en très grand nombre. C’est le cas lors d’un pillage d’annuaire (cf. chapitre « Collecte d’adresse » ci-après), ou d’innombrables mails sont envoyés au hasard générant donc de nombreux bounces. Généralement l’émetteur des messages à falsifié son adresse et ne sera pas importuné par ces retours, mais par contre il peut indiquer une adresse de retour, ciblant ainsi un réseau (entreprise ou autre) qui devant le déluge de bounces expérimentera une attaque par déni de service. Le spammeur fait donc d’une pierre 2 coups puisqu’il pille un annuaire et demande implicitement à celui qu’il est en train de piller d’attaquer pour son compte une tierce partie. 5.2.5 Collecte d’adresse Recevoir un mail non sollicité et frauduleux qui cache sont origine profitant des faiblesses d’un protocole inadapté aux besoins d’échange sécuritaire de notre époque est une chose, mais comment font-il pour obtenir autant d’adresse mail et comment ont-ils pu obtenir la mienne ? 56 Définition de BOUNCE www.altospam.com/glossaire/bounce.php Virus, spyware, spam : Une course perdue d’avance ? 49/123 Cette question, tout le monde se la pose et il est essentiel de comprendre ces mécanismes pour s’en défendre. Par ailleurs, même une fois collectée une adresse n’est pas pour autant rentable pour un spammeur, car il peut s’agir d’une adresse qui n’est plus utilisée. C’est pourquoi la majorité des liens contenus dans un spam contiennent une extension, plus ou moins camouflée, qui permet de savoir qui est l’auteur de ce clic. En agissant de la sorte vous « accusez réception » du spam, donnant ainsi à l’envoyeur une information primordiale sur cette adresse, à savoir qu’un humain la consulte. Vous aurez par la suite toutes les chances de voir le nombre de spams visant cette adresse exploser. 5.2.5.1 Pillage d’annuaire [Directory Harvest] Une telle attaque sert à identifier les adresses courriels valides d’un domaine donné. Pour ce faire un spammeur envoie un grand nombre de combinaisons d’adresses sur un domaine. Si aucun message d’erreur n’est renvoyé alors l’adresse est validée. 5.2.5.2 Robot d’indexation [Crawler/Spambot] Le crawler est un logiciel qui parcourt automatiquement le Web et qui indexe les ressources rencontrées, comme le font les moteurs de recherche. Fonctionnant sur le même principe, certains robots d’indexation malveillants [spambots] sont utilisés pour collecter des adresses électroniques de manière déloyale sur les sites Web, les forums, les newsgroups, etc. 5.3 Évolutions Devant l’ampleur du phénomène, des techniques de plus en plus efficaces ont été mises au point afin d’appliquer des filtres automatiques qui redirigent automatiquement les spams en dehors de la boîte de réception du destinataire. Les spammeurs ont donc été contraints de s’adapter en innovant afin que leurs messages atteignent leur cible dans des proportions compatibles avec leurs objectifs. Le spam afin de s’adapter aux mesures mises en place pour l’éradiquer est contraint de s’adapter et d’évoluer. Mais il peut aussi en dehors de son adaptation technique, évoluer avec les mœurs, les usages d’internet, et les nouvelles possibilités techniques comme les appareils mobiles. Ce chapitre explore les déclinaisons verticales des différents types de spams. Virus, spyware, spam : Une course perdue d’avance ? 50/123 Voici une liste de techniques qui sont apparu au fil du temps et qui perdure encore aujourd’hui. 5.3.1 Arnaque par SMS [SMiShing] Le SMiShing est tout simplement le même phénomène que le phishing, mais transposé sur les téléphones mobile où l’on vous invite à cliquer sur un lien ou plus simplement à envoyer un SMS sur un numéro surtaxé sous des prétexte fallacieux. 5.3.2 Art ASCII [ASCII art] Il s’agit d’une technique artistique remontant au début de l’ère informatique consistant à agencer les caractères du clavier de sorte qu’il forme une image. L’exemple ci-dessous, bien que rudimentaire, rempli bien son rôle puisqu’il est vecteur d’un message parfaitement clair pour un humain sans contenir aucun mot clé qui puisse être filtré ni aucune image qui attire la suspicion. De plus dans cet exemple, même s’il faudra au destinataire taper luimême l’URL du site à visiter, l’absence de lien ne permet pas d’identifier un site de mauvaise réputation. Les caractères utilisés peuvent être facilement remplacés par d’autres avec le même effet visuel mais en changeant la signature du courriel, le rendant difficile à identifier comme spam. 5.3.3 Hameçonnage vocal [Vishing]57 Comparable au phishing dans la finalité recherchée, le vishing incite la victime à appeler un numéro vert en raison d'un problème supposé avec sa banque. Le numéro en question renvoie la victime vers un serveur vocal interactif. Celui-ci, imitant le logiciel de connexion aux comptes en ligne, demande à la victime de saisir ses codes de connexion personnels. 57 Vishing (Phishing et ingénierie sociale en Voix sur assiste.com.free.fr/p/abc/a/vishing_phishing_sur_voip.html Virus, spyware, spam : Une course perdue d’avance ? IP - Skipe Wengo...) 51/123 Les codes sont alors enregistrés et prêts à être utilisés pour une opération frauduleuse. Le terme de « vishing » est une contraction de « VoIP » (téléphonie par Voix IP) et « phishing ». Là encore c’est la gratuité des appels par VoIP qui rend ce type de démarche rentable. 5.3.4 Spam image58 Il s’agit d’une évolution relativement récente et se généralisant du phénomène spam qui commençait à être sérieusement endigué par les nombreuses techniques mis en œuvre dans des outils de plus en plus accessibles (abordées dans le chapitre « solutions »). Les spammeurs se devaient d’y trouver une parade sans quoi, malgré le nombre important de mails envoyés, leur taux de pénétration devenait trop faible. Afin de déjouer les filtres anti-spam, le texte a été remplacé par des images. Une des incidences directe est l’augmentation de la bande passante et donc l’amplification d’un des effets de bords de ce phénomène mondiale. De plus, bien que des techniques existent pour parer ce genre de spam, celles-ci n’ont pas toujours été déployées tant à cause du coût des solutions qu’à cause du coût humain d’un tel déploiement sans compter le temps nécessaire pour généraliser ce type de réponse. Il en résulte que les PME/PMI et les pays en voie de développement y sont plus exposés que les autres. Par ailleurs, là aussi les spammeurs innovent en modifiant très légèrement les images, mettant ainsi à mal les techniques de checksum. En effet, il suffit de quelques pixels placés aléatoirement sur l’image ou encore de changer le niveau de couleur de la palette pour qu’une image n’est plus la même signature. Par ailleurs, ces images étant généralement constituées principalement de texte, une simple modification sur la police de caractère avant de générer l’image produit un fichier techniquement différent. Ou plus simplement une rotation de quelques degrés peut produire les mêmes effets. Ci-dessous un exemple d’image avec un fond aléatoirement modifié pour tromper la détection à base de signature : 58 Spam image fr.wikipedia.org/wiki/Spam_image Virus, spyware, spam : Une course perdue d’avance ? 52/123 59 On le voit bien ici, une course à l’innovation est en cours, qui ne change pas à proprement parlé le problème, mais qui nécessite de déployer des moyens toujours plus puissants (reconnaissance de forme, bande passante saturée) dont les destinataires doivent assurer le coût. 5.4 Variantes Initialement utilisé pour relayer un message au plus grand nombre à peu de frais, et donc être rentable même avec un très faible taux de réponse, l’utilisation principale des spams était l’envoi de publicité. Mais devant un outil si puissant et si bon marché les tentations furent grandes de l’employer pour appliquer d’autres techniques tenant plus de l’escroquerie en passant par la désinformation, la rumeur ou encore l’arnaque pur et simple. Ce chapitre explore les déclinaisons horizontales des différents types de spams. Voici une liste des variantes de l’utilisation du spam. 5.4.1 Canular [Hoax] Il s’agit d’une catégorie un peu à part, mais que j’ai classé dans les spams, car le vecteur est un courriel et qu’il n’y a pas de programmes malveillants associé. De plus ce sont souvent des connaissances qui vous envoient ce genre de message. 59 State of Spam - A Monthly Report - July 2009 Report #31 (p. 5) www.magsecurs.com/IMG/pdf/Symantec_State_of_Spam_and_Phishing_Report_-_juin_09.pdf Virus, spyware, spam : Une course perdue d’avance ? 53/123 Cependant, cela peut parfois prendre une tournure dramatique lorsque le canular évoque un risque imaginaire, prétendant qu’un fichier système est infecté (sulfnbk.exe) et qu’il est urgent que vous l’effaciez.60 5.4.2 Fraude 419 [419 Scam]61 Aussi appelé escroquerie « à la nigériane », cela débute toujours par la réception d’un courriel non sollicité, arborant un titre du genre "URGENT & CONFIDENTIAL" ou "SERIEUX & CONFIDENTIEL". Il émane d'une veuve d'officier, d'un médecin, d'un avocat, d'un grand patron ou encore d'un soi-disant officiel important d’un gouvernement africain qui vous demande de l'aide pour sortir illégalement une très grosse somme d'argent de son pays. En échange, vous toucherez une commission sur cette somme. Il vous suffit de donner votre numéro de compte en banque afin que l'argent y soit versé. Ce courriel que vous venez de recevoir n’a qu’un seul but : vous extorquer de l’argent. Si vous répondez favorablement à ce genre de mail, vous rejoindrez les milliers de victimes déjà recensées de par le monde. L'arnaque n'est pas nouvelle. Elle existait bien avant la popularisation d'Internet et se faisait alors par courrier postal ou par fax. Ce genre de lettre est apparu dans les années 80 en provenance du Nigéria, d’où son nom. Elle est aussi connue sous l’appellation « fraude 419 » car elle viole la section 419 du code pénal nigérian qui réprime l'escroquerie. Aujourd'hui, ces spams ne proviennent plus seulement du Nigéria mais aussi des autres pays d’Afrique. De nombreux internautes tombent dans le panneau car ces courriers électroniques paraissent plausibles. Le caractère urgent du texte pousse les gens à prendre une décision très rapide et la somme proposée en rémunération est attrayante. Mais l'affaire peut se révéler encore plus dangereuse que la perte de son pécule. Les arnaqueurs cherchent à faire venir leurs « partenaires » en Afrique, avant que ceux-ci ne prennent conscience de l’arnaque. Certains s'arrangent même pour que leur victime entre dans le pays sans visa moyennant par la suite leur départ ou la kidnappent pour demander une rançon. Il ne faut en aucun cas répondre à ces messages. L’attitude la plus sage consiste à détruire directement ce mail très facilement identifiable. 60 Virus Sulfnbk.exe, le ver est déjà dans le fruit www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2863 61 Fraude 4-1-9 fr.wikipedia.org/wiki/Fraude_4-1-9 Virus, spyware, spam : Une course perdue d’avance ? 54/123 5.4.3 Hameçonnage [Phishing]62 Le phishing est une nouvelle technique de piratage qui consiste à adresser à des internautes un email prenant l'apparence d'un message émis, par exemple par leur banque. Ce message les invite à se connecter sur leur compte pour confirmer leur mot de passe ou mettre à jour leurs données personnelles sur un site qui ressemble à s'y méprendre au site de leur banque, y compris au niveau de l'adresse. Les internautes saisissent alors leurs codes d'accès, leur numéro de carte bancaire sans se rendre compte de la fraude. Les pirates récupèrent ainsi facilement ces codes afin d'effectuer des opérations pour leur propre compte. Malgré l’apparente ressemblance du site, on peut se rendre compte de la supercherie en étant attentif à l’adresse du site qui ne correspond pas exactement à celui de la banque en question et par le fait qu’il n’y a pas utilisation du protocole HTTPS (symbolisé par un cadenas à côté de l’adresse). Ce type de reflexe étant désormais largement répandu, la technique du phishing s’est développée et propose désormais en arrière plan le véritable site de la banque, mais c’est une fenêtre pop-up en surimpression qui demande les renseignements pour ensuite laisser la main au site institutionnel, laissant le client dans l’illusion que tout est normal. Cette technique de piratage repose sur notre crédulité. Nous sommes mis en confiance par l’apparition au second plan du site officiel de notre banque, tandis que la fenêtre saisissant nos données a une toute autre origine. Il suffit d’un clic droit sur la fenêtre, en choisissant le menu « Propriétés », pour se rendre compte alors que l'adresse URL de la fenêtre n'est pas celle de la banque en question, mais celle d'un site complètement inconnu vers lequel seront redirigées vos informations confidentielles. 5.4.3.1 Pêche à la lance [Spear phishing] Il est possible de comparer ce type de phishing à une frappe chirurgicale, dans laquelle un courriel est bien envoyé, mais de façon très ciblée, contrairement au phishing standard. Le courriel est dans ce cas envoyé à un groupe précis de destinataires (par exemple, les collaborateurs d’une seule entreprise), rendant ainsi le message beaucoup plus crédible. 62 Hameçonnage fr.wikipedia.org/wiki/Hame%C3%A7onnage Virus, spyware, spam : Une course perdue d’avance ? 55/123 Le pirate se fait par exemple passé pour le DRH ou pour l’administrateur réseau, et demande aux collaborateurs de donner un certain nombre d’informations confidentielles (mot de passe, etc.) Le courriel peut aussi se revendiquer d’un organisme réglementaire demandant à l’entreprise de révéler des informations techniques confidentielles sur un produit. 5.4.4 Bouc émissaire [Joe job] Du nom du premier spam de cette nature ayant fait l'objet d'un commentaire, cette forme de spam vise à ternir la réputation d’une personne ou d’une entreprise en envoyant des courriels en son nom (on dit que l’identité est forgée) dont le contenu est propre à créer la réaction voulue. En ce sens il s’agit d’une sorte de Hoax. Le contenu du courriel peut même inciter le receveur à mener des représailles à l’encontre du présumé émetteur. 5.4.5 Gonfler puis vendre [Pump and dump] Cette technique consiste à diffuser de fausses informations par spams pour faire légèrement évoluer un cours de bourse. Le spam présente une action ordinaire comme une affaire dans laquelle investir et créé de cette manière une demande artificielle surélevée. Les fraudeurs revendent ensuite leurs actions au prix le plus fort, avant qu’elles reviennent à un cours normal. « Dans ce cas de figure, plus de 500 millions de mails ont été expédiés, selon la firme de sécurité informatique britannique Sophos, qui souligne qu’il s’agit là de la plus importante campagne de ce genre jamais vue, représentant quelque 30 % du volume des spams dans le monde. »63 63 Spam : la justice décidée à vider la corbeille www.ecrans.fr/Spam-la-justice-decidee-avider-la,1907.html Virus, spyware, spam : Une course perdue d’avance ? 56/123 6 Modèle économique Il est difficile de recueillir des informations valables sur l’économie souterraine qui gravite autour de la cybercriminalité, par nature peu enclin à donner des chiffres. Mais on peut supposer qu’elle est florissante au vu de son activité visible grandissante. Ce qui est sur c’est que de l’autre côté, les sociétés qui éditent des logiciels de sécurité font recette, tels Symantec, McAfee, Trend Micro, F-Secure qui sont toutes cotées en bourse. La spécialisation des malwares implique des compétences accrues, et on trouve aujourd’hui des spécialistes qui vendent leurs compétences. Au delà des coûts, les entreprises courent des risques stratégiques liés à leur positionnement concurrentiel. En effet, IronPort évalue à 60 millions le nombre d’individus dont des données ont été divulguées au cours des 13 derniers mois. Les solutions existantes de sécurisation des réseaux (pare-feux ou autres) n’incorporent pas de fonctions préventives destinées à protéger les données en transit. Lorsque l’on sait que de nombreuses entreprises ont 60% de leurs données stockées sur des ordinateurs non suffisamment protégés, cela laisse perplexe. 6.1 Pourriel Le métier de spammeur professionnel est devenu une réalité. Il existe véritablement des programmes de recherche et de développement permettant de concevoir des spams de plus en plus intrusifs. D’après une étude64 sortie en 2008, le spam se porterait plutôt bien grâce aux spammés qui achètent les produits qui leur sont proposés par ce biais. L’érotisme et la contrefaçon font recette et réussissent même à fidéliser leurs clients. Le chiffre de 250 millions d’internautes potentiellement acheteurs est avancé. 65 Les spammeurs font aussi vivre leurs intermédiaires techniques, qui sont en possession de réseaux d’ordinateurs zombies [botnets]. En effet, 64 Sex, Drugs and Software Lead Spam Purchase Growth www.marshal8e6.com/newsitem.asp?article=748&thesection=news 65 L'économie du Spam durablement implantée dans Internet - 250 millions d'internautes achètent au travers du Spam pignonsurmail.typepad.fr/pignonsurmail/2008/09/lconomie-du-spa.html Virus, spyware, spam : Une course perdue d’avance ? 57/123 même si l’envoi d’un million de spams coute moins de 10 €, quand on sait que plus de 100 milliards de spams sont envoyés chaque jour, cela donne environ 1 millions € de chiffre d’affaire par jour pour ce type d’activité, soit près de 400 millions € par an réparti entre plusieurs prestataires, dont 5 seulement tiennent environ 80% du trafic. 66 6.2 Publicité Dans notre société de consommation, la publicité est une source de profit quasiment inépuisable, et internet n’échappe pas à la règle. Au travers de régies publicitaires techniquement très évoluées tout le monde peut disposer des bannières publicitaires sur son site personnel afin de récolter quelques centimes d’euros par clique sur ces publicités. Il s’agit donc d’un modèle économique intéressant où la renommée d’un site, via son intérêt, peut faire la fortune de son propriétaire. Mais là aussi tous les moyens sont bons pour « voler » quelques clics. Cela n’a de sens que lorsque le nombre de visiteurs est très élevés, car le taux de clic pour mille visiteurs étant faible, il faut beaucoup de visite pour que cela soit rentable. C’est là qu’interviennent les spams et les botnets, qui peuvent simuler des clics de provenances diverses, leurrant ainsi le contrôle des régies publicitaires et apportant des gains substantiels à ces malfaiteurs quasiment en toute légalité. 66 L'économie du Spam durablement implantée dans Internet - 250 millions d'internautes achètent au travers du Spam pignonsurmail.typepad.fr/pignonsurmail/2008/09/lconomie-du-spa.html Virus, spyware, spam : Une course perdue d’avance ? 58/123 7 Législation 7.1 Contexte Dans certains pays le trafic de drogue encours la peine de mort, tandis que la cybercriminalité, moins risquée, est beaucoup moins sanctionnée. Tout naturellement les mafias du monde entier se tournent vers ce nouvel Eldorado du crime où l’on peut commettre des méfaits très rentables en restant complètement anonymes. La France dispose déjà depuis longtemps de l’arsenal juridique visant à réprimer toutes sortes de malversations dans les systèmes d’information. En effet, l’utilisation, à l’insu des personnes, de leur matériel informatique est sanctionnée à l’article 323-1 du Code pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de 2 ans d'emprisonnement et de 30.000 € d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 3 ans d'emprisonnement et de 45.000 € d'amende. »67 Par contre, l’émergence du phénomène spam est resté quelques temps dans le floue avant que ne s’organise la justice. La base des législations concernant le spam, quelque soit le pays, repose sur la loyauté de la collecte des adresses et la possibilité de désabonnement. Par ailleurs, il est nécessaire de rappeler qu’une industrie prospère évolue autour du marketing et du démarchage et que la volonté de l’état français n’est pas de faire mettre la clé sous la porte à cette industrie. C’est pourquoi nombre de courriel reçu sont identifiés par leur destinataire à tord comme du spam bien qu’ils aient le même effet sur la BAL du destinataire. En effet, il ne faut pas assimiler au spam les chaînes que vous font suivre, malgré vos demandes, vos connaissances, les lettres d’informations des organismes ou associations ou commerçant auprès desquels vous avez été en contact ou eu une relation commercial, ainsi que les messages 67 Article 323-1 du code pénal www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte =LEGITEXT000006070719&dateTexte=20090722&oldAction=rechCodeArticle Virus, spyware, spam : Une course perdue d’avance ? 59/123 d’erreurs que vous recevez en retour d’une tentative d’envoi d’un courriel infructueuse. 7.2 LCEN68 La LCEN (Loi pour la Confiance dans l'Économie Numérique) du 21 juin 2004, qui transpose une directive européenne de juillet 2002, interdit d’utiliser une adresse mail pour prospection commerciale sans avoir d’abord obtenu le consentement de la personne concernée, c’est que qu’on appelle « opt-in ». Chaque mail publicitaire envoyé doit proposer une option pour ne pas recevoir les messages à venir, c’est ce qu’on appelle « opt-out ». Le non-respect de ces règles peut entraîner une condamnation allant jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende pour les personnes physiques. Les personnes morales risquent, quant à elles jusqu’à 1,5 million € d'amende. Chaque message irrégulièrement expédié serait alors facturé 750 €. 7.2.1 Consentement actif/Option de retrait [Optin/opt-out]69 70 Principe de l’accord préalable et de la possibilité de se désabonner. Une nuance a été apporté après coup concernant l’opt-in qui veut qu’une collecte d’information dans le cadre d’une relation commerciale puisse être utilisé pour un démarchage restant dans le même domaine.71 L’opt-out est souvent un piège que les spammeurs exploitent en vous proposant un lien qui, s’il est suivi, n’a d’autre but que de confirmer que l’adresse est active (qu’il y a bien un humain qui lit son contenu) et généralement cela a pour effet d’accentuer le phénomène du spam. Cependant, dans le cas de société d’e-marketing français (bien vérifier le fait que la société en question soit en France), on peut raisonnablement utiliser le lien opt-out, car même si l’adresse à souvent été collectée sans accord préalable, ou sous de faux prétexte, cette option est valide au vu des sanctions encourues dans la législation française. 68 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L 69 Ministère de la culture et de la communication, Direction du développement des médias www.ddm.gouv.fr/article.php3?id_article=593 70 Spam et publicité par mail : l'état des lois www.arobase.org/spam/comprendreregulation.htm 71 www.zdnet.fr/actualites/telecoms/0,39040748,39191670,00.htm Virus, spyware, spam : Une course perdue d’avance ? 60/123 Attention toutefois à ne pas confondre écrit en français et provenant d’une société française, ce qui nécessite parfois une petite enquête (cf. chapitre « Annexe/Cas concrets »). L’option de retrait est souvent assimilée, à tord d’ailleurs, à un consentement tacite lorsqu’elle n’est pas exercée. 7.3 CNIL72 La déclaration d’un fichier à la CNIL (Commission Nationale de l'Informatique et des Libertés) consiste à déclarer le type et la nature des informations personnelles (ce mot à toute son importance) qu’on est amené à collecter, ainsi que le but de cette collecte. La CNIL n’effectue aucun contrôle, sauf en cas de plainte. Il faut saisir la CNIL avec un solide dossier pour que des contrôles et le cas échéant des poursuites soient engagés. Toute société qui collecte des informations personnelles doit obligatoirement déclarer son fichier auprès de la CNIL pour ne pas être en infraction. 7.3.1 Loi informatique et liberté L’article 38 de la loi Informatique et Libertés du 6 janvier 1978 donne à l’internaute le droit de refuser que des données le concernant soient utilisées à des fins commerciales ou fassent l’objet d’un quelconque traitement. Mais pour en arriver là c’est un vrai parcours du combattant. En effet, des tas de subtilités permettent d’envoyer des spams en toute légalité, sous couvert de respecter les conditions suivantes : 1. L’aspect nominatif de l’adresse mail : si votre adresse ne comporte pas votre nom mais un pseudo. 2. Si vous avez un jour donné votre accord pour recevoir des sollicitations, cet accord a pu être vendu, en même temps que votre adresse. 3. Si vous avez une adresse professionnelle qui ne contient pas votre nom mais votre fonction, par exemple « service_paye@société.fr » (cf. point n°1). 4. Si votre adresse professionnelle est bien du type « prénom.nom@société.fr », on peut vous spammer en toute légalité, à la condition que les messages reçus soient en rapport avec votre fonction dans l’entreprise, ceci pour le respect des 72 « Nous comptons menage,1910.html faire le ménage » www.ecrans.fr/Nous-comptons-faire-le- Virus, spyware, spam : Une course perdue d’avance ? 61/123 échange « B to B ».73 Ce point semble être sujet à controverse car il n’apparaît pas dans les textes en clair et le service juridique de la CNIL donne des réponses variées à ce sujet. 5. Ou tout simplement si vous avez été un jour en relation avec une entreprise, celle-ci peut vous démarcher pour des produits similaires.74 Si l’adresse à laquelle vous recevez du spam n’est pas nominative, il faudra alors se retourner vers le Procureur de la république car la CNIL sera impuissante face à ce problème. On entend par adresse nominative, une adresse quelle soit privée ou professionnelle qui contient le nom de son propriétaire. C'est-à-dire qu’une adresse constituée d’un pseudo ou d’un nom d’emprunt à la littérature ou autre n’est pas considérée comme nominative et qu’il devient beaucoup plus difficile à faire les démarches visant à dénoncer du spam. Ces points de subtilité que je n’arrivais pas à trancher par mes lectures m’ont été confirmés par téléphone auprès du service juridique de la CNIL75. Heureusement, même dans tous ces cas où votre consentement n’aura pas été requis pour recevoir des sollicitations, on doit malgré tout respecter votre choix de désinscription (opt-out). Ce qu’il faut retenir, c’est qu’il suffit qu’une fois en donnant son adresse mail on ait coché (ou oublié de décocher) la mention « recevoir des offres des partenaires » pour que notre adresse, ainsi que notre accord soit vendu de sociétés en sociétés et qu’on reçoive des spam de manière tout à fait légale. Il suffit donc d’une seule erreur pour que légitimement on reçoive plein de spam, même si le spammeur peut être mis en demeure par la CNIL de fournir la preuve de notre accord préalable. Cependant, quelles preuve avons-nous et pouvons-nous garder de notre absence d’accord ? Il est tellement aisé pour un site malhonnête lorsque l’on coche la case « ne pas recevoir » d’enregistrer notre action comme si nous avions accepté. Comme on le voit nul besoin d’invoquer un obscure groupe mafieux des pays de l’est ou de la Chine qui se cacherait derrière une législation floue voire inexistante, si tant est qu’on ait réussi à les identifier. 73 Prospection par courrier électronique & Autorisation www.scaraye.com/article.php?a=185 74 Guide - La pub si je veux ! (p. 10) www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_Guide_pub.pdf 75 Renseignements juridiques www.cnil.fr/acces/contactez-nous/ Virus, spyware, spam : Une course perdue d’avance ? préalable 62/123 Comme on peut le voir dans le chapitre « Cas concrets » en annexe, j’ai examiné de près le cas de 2 sociétés qui vendent leur service en démarchant par le spam et leur service n’est autre que de vendre ce qu’ils appellent de l’emailing. Cependant, toute société qui, en dehors des subtilités précédemment évoquées, vous enverrait du courriel sans votre accord préalable s’expose à une amende de 750 € par message non sollicité.76 7.4 Can-Spam Act Le « CAN-SPAM Act », qui fut adopté par le Congrès américain en janvier 2004, est la principale législation visant spécifiquement le pourriel en Amérique du Nord. Cette loi n’interdit pas les envois non sollicités mais elle exige simplement qu’un envoyeur fournisse un lien ou une méthode de désabonnement, c’est ce qu’on appelle l’« opt-out », et une mention explicite de l’aspect commercial du courriel. En rendant le « opt-out » obligatoire la loi a instantanément légitimé la pratique du pollupostage. Pour opérer légalement, les polluposteurs n’ont qu’à fournir un lien de désabonnement. C’est ainsi que les utilisateurs de courriel se sont retrouvés face un dilemme. En effet, comment faire la distinction entre un lien de désabonnement factice, qui une fois cliqué validera l’adresse et aura pour effet de multiplier les pourriels, et un lien légitime ? Mais là aussi il y a des exceptions, dans le cas d’un consentement « optin » la mention indiquant l’intention du courriel n’est plus obligatoire et dans d’une relation commerciale antérieure aucune mesure n’est requise.77 Les États-Unis restent encore aujourd’hui le plus gros spammeur du monde. Mais doté de cet acte de loi, ils ont déjà pu mettre un terme aux activités de quelques uns des plus gros spammeurs, notamment ceux sévissant au travers des réseaux sociaux.78 7.5 Sanctions Comme le montre l’affaire McColo, qui a conduit à la fermeture d’un FAI peu scrupuleux, une action 76 Article R10-1 du code des postes et des communications électroniques. La législation des États-Unis en matière de www.ddm.gouv.fr/article.php3?id_article=603 78 873 millions de dollars d'amende contre le spammeur de www.zdnet.fr/actualites/internet/0,39020774,39385082,00.htm 77 Virus, spyware, spam : Une course perdue d’avance ? "spam" Facebook 63/123 concertée peut avoir des effets significatifs sur l’émission de spam.79 En effet, cela aurait eu pour effet de réduire immédiatement de 70% le nombre de spams envoyés à travers le monde.80 Malheureusement, il n’aura fallu que quelques semaines aux spammeurs pour se réorganiser, et que le niveau de spams ne revienne à sa valeur antérieure. Autre exemple, malgré les rappels à l’ordre, le site de vente en ligne CDiscount continuait d’abreuver de courriels publicitaires ses clients désinscrits. Résultat, 30.000 € d’amendes. 81 Un des travers de certaines techniques anti-spam à base de listes noires est de déclarer à tord, généralement suite à une usurpation d’identité, un émetteur comme problématique et ainsi de bloquer les courriers de sa provenance. Il faut alors « montrer patte blanche » pour sortir de ces listes. C’est dans ce contexte que la justice américaine a condamné une société de blacklist82 anglaise (Spamhaus) pour avoir bloqué une entreprise faisant pourtant du mailing abusif. 79 Analyse du volume de spams depuis l’affaire McColo Corp www.altospam.com/actualite/2008/12/analyse-du-volume-de-spams-depuisl%E2%80%99affaire-mccolo-corp/ 80 Rapport sur l'empreinte carbone du spam dans les messageries (p. 2) www.3dcommunication.fr/pdf/EmpreinteCarboneSpam.pdf 81 Délibération n°2008-422 du 6 novembre 2008 portant décision de la formation restreinte à l’égard de la société CDISCOUNT www.cnil.fr/en-savoirplus/deliberations/deliberation/delib/147/ 82 Spamhaus condamné par la justice américaine pour blacklistage illégal www.journaldunet.com/solutions/0609/060918-affaire-spamhaus.shtml Virus, spyware, spam : Une course perdue d’avance ? 64/123 8 Démystification Je tiens à ce chapitre car le sujet de ce mémoire est jalonné au cours de son histoire de fantasmes qui entourent ce sujet sulfureux et j’aimerais avoir une approche sceptique afin de démêler le vrai du faux. Cette démarche, en dehors d’être didactique permet de pouvoir faire face au problème sans à priori. 8.1 Dégâts matériels ? Certains phantasmes circulent autour des dégâts matériels que pourraient causer les malwares. Même s’il est vrai que certains virus peuvent s’en prendre au BIOS83 et donc véritablement endommager l’ordinateur et le rendre non opérationnel, cela n’affecte en rien le hardware, et après une reconfiguration, soit fastidieuse, l’ordinateur est fonctionnel. 8.2 Linux/Mac épargnés ? Fer de lance de ces 2 systèmes d’exploitation, l’argument est de taille et mériterait d’être considéré s’il était véridique, même si, force est de constater que ces environnements sont moins touchés. Dans la pratique, il existe très peu de virus pour Linux (on en recense une trentaine84), à comparer au million85 de virus existant sous Windows. Aujourd’hui les menaces se diversifient et le panel de menaces issu du spam n’ont que faire de l’OS, et on voit même l’apparition de malware multiplateformes, sans compter les macro-virus. Par ailleurs, un pare-feu et un anti-spyware sont nécessaires quelques soit la plateforme. Et si on ne peut se fier aux éditeurs de solution de sécurité pour savoir si réellement un anti-virus est nécessaire sur ces plateformes, on peut constater que de nombreux éditeurs proposent des anti-virus pour Mac et Linux. Par ailleurs, je trouve dangereux d’entretenir une illusion d’impunité qui ne peut qu’être nuisible quant à la vigilance nécessaire par rapport à d’autres menaces bien réelles, tel le phishing. De plus, même si de nombreux virus, conçus pour Windows sont inopérants sur Mac/Linux, il n’est pas raisonnable de se satisfaire d’être 83 Tchernobyl (= CIH) www.secuser.com/alertes/1999/tchernobyl.htm Linux malware en.wikipedia.org/wiki/Linux_malware 85 Virus statistics en.wikipedia.org/wiki/Virus_statistics#Generalpurpose_operating_systems 84 Virus, spyware, spam : Une course perdue d’avance ? 65/123 porteur sain et ainsi de contribuer malgré soi en étant un maillon de la chaîne de transmission des menaces. Théoriquement ces 2 environnements peuvent être touchés par des virus. Linux, tout comme Mac ou Windows possèdent des failles de sécurité. Ces failles peuvent être exploitées par des programmes malveillants. Linux et Mac sont donc également sensibles aux virus, tout comme Windows, mais dans une moindre mesure pour plusieurs raisons : 1. L’argument classique qui indique que Windows serait plus ciblé par les auteurs de virus de part sa notoriété n’est pas à exclure, mais ne constitue pas la seule raison. 2. Par défaut, les utilisateurs de Linux/Mac n'ont pas les droits administrateur, et l’ensemble de la configuration est plus sécurisée. Ils ne peuvent donc pas modifier les fichiers système. Donc difficile pour un virus d'infecter la machine en profondeur et de manière durable. 3. Les utilisateurs Linux/Mac ont souvent du faire une démarche pour adopter ces environnements et sont plus éclairés que la masse d’utilisateurs des produits Microsoft, en ce sens leur culture informatique constitue un rempart. 4. Linux vous oblige à déclarer si un fichier est exécutable ou non. Impossible d'être infecté par « pamela.jpg.exe » en pensant que c'est une image. 5. Les failles sont généralement plus vite corrigées (Microsoft a mis plusieurs mois à corriger certaines failles, et a même dû en corriger certaines sous la menace86. 6. Le fait que Linux soit open source fait que tout le monde peut examiner le code source, y compris divers experts en sécurité. Les failles ont donc plus de chances d'être détectées. 7. Les utilisateurs de Linux téléchargent généralement leurs logiciels dans des dépôts de logiciels dont le contenu est contrôlé. Il y a rarement besoin de prendre des logiciels hors de ces dépôts, et donc moins de risques de tomber sur un site douteux. Avec Windows, il faut tout aller télécharger sur divers sites, et s'assurer qu'un site de téléchargement est sain n'est pas toujours facile. 8. Mac étant basé sur un noyau Unix tous les arguments énumérés autour de Linux lui sont transposables. 9. Enfin, il existe une grande variété de distributions Linux différentes. Elles sont toutes légèrement différentes, ce qui rend la vie des virus beaucoup plus difficile (c'est exactement comme en biologie: une grande diversité génétique assure que toute la population ne sera pas décimée par un virus trop ciblé). 86 Sept failles de Windows encore en attente de correctifs www.zdnet.fr/actualites/informatique/0,39040745,39141505,00.htm Virus, spyware, spam : Une course perdue d’avance ? chez Microsoft 66/123 Tous ces éléments font que Linux/Mac sont naturellement moins sujet aux virus. Mais cela ne veut absolument pas dire qu'ils y soient totalement invulnérables. On peut constater d’ailleurs que les grands éditeurs d’anti-virus proposent des solutions pour ces environnements. Bien que leur démarche commerciale ne puisse être considérée comme un argument de poids, il faut néanmoins reconnaitre, d’une part, que ce marché étant marginal comparer à celui ciblant Windows, qu’il ne peut être dicté que par l’intérêt mercantile, d’autre part si ces produits voient le jour, c’est aussi parce qu’ils vont trouver un écho favorable. 8.2.1 Linux87 On trouve de nombreux malware dans la littérature Linux88 et leur peu de succès vient essentiellement du fait des réactions avisées des utilisateurs. 8.2.2 Mac89 Les macro-virus sont par nature portables sur d’autres OS, pour peu que ceux-ci y possèdent la même suite logiciel comme c’est le cas sur Mac de la suite bureautique Microsoft Office. Cependant, Mac a aussi ses propres failles comme l’a démontré le virus « Simpson » en 2001 basé sur une vulnérabilité du langage AppleScript. Mais plus récemment, iBotnet90 a montré que le système d’exploitation des Mac OSX n’était pas infaillible, car même si cette menace n’est pas virulente elle montre la faisabilité de malwares dédiés à cette plateforme. 8.3 Virus dans les images ?91 À l’origine il s’agissait d’un cas d’école (« in the zoo »), qui nécessite l’infection préalable par un cheval de Troie. L’image joue le rôle de déclencheur, et peut contenir des instructions spécifiques, ne nuisant pas à son affichage par ailleurs. L’image dans ce cas jour le rôle de la charge utile du malware installé au préalable. Même si ce mode opératoire est peu banal, il n’offre pas de possibilité particulière, pour preuve on ne le trouve pas « in the wild ». 87 How to write a Linux virus in 5 easy steps www.geekzone.co.nz/foobar/6229 Virus – Documentation Ubuntu Francophone doc.ubuntu-fr.org/virus 89 Macintosh et PC : égaux devant les virus ? www.symantec.com/region/fr/resources/mac_pc_virus.html 90 Qu'est-ce que "iBotnet" ? www.symantec.com/fr/fr/norton/theme.jsp?themeid=ibotnet 91 Les virus infiltrent les images www.01net.com/editorial/355882/les-virus-infiltrent-lesimages/ 88 Virus, spyware, spam : Une course perdue d’avance ? 67/123 Par contre, une technique récente dite par dépassement de tampon [buffer overflow] permet à tout document utilisé par un logiciel comportant une faille de sécurité d’être corrompu et d’exécuter un code injecté. Dans ce cas, une image ou un fichier audio/vidéo peut devenir dangereux. Il est donc nécessaire d’une part de mettre à jour ses logiciels de lecture [players], et d’autre part de vérifier la provenance des fichiers que l’on souhaite lire et donc d’éviter les fichiers piratés sur les réseaux peer to peer. Donc oui, en quelque sorte un document inerte (pas exécutable) peut contenir une menace, mais il a besoin pour cela de la complicité involontaire d’un logiciel buggé. En tout état de cause, la lecture d’un tel fichier avec un autre lecteur que celui ciblé par la menace ne provoquera au pire qu’un message d’erreur indiquant que le fichier n’est pas lisible et au mieux rien du tout, c'est-à-dire que vous pourrez profiter dudit fichier en toute tranquillité. 8.4 Les sources d’informations fiables J’ai listé en annexe les sources fiables en séparant les sources officielles, principalement de l’état français des sources associatives (sans but lucratif) et enfin les sources commerciales. Virus, spyware, spam : Une course perdue d’avance ? 68/123 9 Initiatives 9.1 Boîte à spams Cette opération menée en 2002 par la CNIL, a donné lieu à 5 procédures, dont 2 furent rapidement abandonnés car impliquant des sociétés basés aux US. Une seule fut poursuivie en justice. En France, un seul procès a opposé un spammeur à la justice. Dénoncée par la Cnil en 2002, une entreprise accusée de spam a d’abord été relaxée avant d’être condamnée à 3.000 € d’amende pour collecte de données personnelles par un moyen déloyal, jugement confirmé par la Cour de cassation en 2006. Malgré tout cette opération a eu le mérite de faire le point sur la situation en France auprès des internautes en leur permettant de soumettre leur spams à la CNIL. Il en a résulté des actions techniques et juridiques et la création d’un module pédagogique « Halte au SPAM ! » : • Ne plus recevoir de publicités non sollicitées : o www.cnil.fr/dossiers/commerce-publicite-spam/halte-auspam/ 9.2 Signal SPAM Suite à l’opération « Boîte à spams », le Gouvernement a souhaité apporter des réponses adaptées. C’est pourquoi il a confié à la DDM (Direction du Développement et des Médias) en partenariat avec les principaux acteurs publics et privés d’Internet, la création d’un groupe dont les travaux ont abouti à la création fin 2005 d’une solution concrète, à savoir une plate-forme nationale de signalement automatique des spams. Cette plate-forme public-privée constitue une première dans la lutte contre le spam et permet d’offrir une réponse efficace, concrète et coordonnée au problème du spam. Depuis le 10 mai 2007, le service de signalement est opérationnel, et disponible gratuitement à l’adresse suivante : • Plate-forme nationale de signalement des spams : Virus, spyware, spam : Une course perdue d’avance ? 69/123 o www.signal-spam.fr92 À l’international d’autres initiatives existe à l’image de SpamCop93 & SpamHaus94. 9.3 Euro-CAUCE95 CAUCE (Coalition Against Unsolicited Commercial E-mail) est une organisation non gouvernementale regroupant des associations représentatives d’internautes, qui participe activement, notamment aux États-Unis, au dépôt de projets de loi visant à limiter ou prohiber le publipostage électronique commercial non sollicité. Sa branche européenne est l’Euro-CAUCE. 9.4 CERT En sécurité informatique, il existe des organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous. En France ils prennent le nom Gouvernemental de Réponse et informatiques). de CERTA (Centre d'Expertise de Traitement des Attaques 9.5 Pot de miel [Honeypot]96 Un honeypot est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les pirates informatiques. Ce type d’initiative communautaire à but non lucratif existe depuis plusieurs années à travers le monde et se propose de collecter des données sur les attaques informatiques à des fins d’études par des chercheurs. 92 Ministère de la culture et de la communication, Direction du développement des médias www.ddm.gouv.fr/rubrique.php3?id_rubrique=69 93 SpamCop is the premier service for reporting spam www.spamcop.net 94 Working to protect internet networks worlwide www.spamhaus.org 95 Coalition européenne contre le courrier électronique commercial non sollicité www.euro.cauce.org/fr/ 96 Honeypot project www.leurrecom.org Virus, spyware, spam : Une course perdue d’avance ? 70/123 Le but de ce type de leurre est de faire croire à l'intrus qu'il peut prendre le contrôle d'une véritable machine de production pour observer les moyens de compromission des pirates. Une utilisation correcte d’un honeypot repose essentiellement sur la résolution et la mise en parallèle de trois problématiques : • Surveillance • Collecte d'information • Analyse d'information Virus, spyware, spam : Une course perdue d’avance ? 71/123 10 Prévention La prévention en matière de menaces informatique passe par la formation. En effet, beaucoup de menaces se propagent et agissent en utilisant l’accord tacite du destinataire qui autorise à son insu des actions frauduleuse par manque d’information. Dès lors, se tenir au courant des menaces existantes et de leur mode opératoire devient le premier rempart.97 Bien sur, certains logiciels, tels qu’un pare-feu, un anti-virus ou encore un anti-spyware et un anti-spam sont devenus indispensables. L’anti-virus et l’anti-spyware sont nécessaires même si l’ordinateur en question n’est pas connecté à internet, car dès qu’une donnée provient de l’extérieur du système (clé USB, cédérom, etc.) il y a un risque. Les systèmes Windows récents intègrent tout un panel de protections passant par une pop-up demandant confirmation avant d’effectuer une action potentiellement dangereuse (installation d’un logiciel, ouverture d’une macro, dialogue réseau, visite d’un site web, etc.). Mais les enjeux nous échappent souvent, et la banalisation de ces fenêtres de confirmation est un risque. Après avoir automatisé nombre de processus afin de faciliter l’utilisation des ordinateurs (lancement automatique de nombreuses actions évidentes et récurrentes), on arrive aujourd’hui à l’effet inverse où l’on doit confirmer toutes ses actions. Un seul employé qui fait preuve de négligence dans une entreprise en ouvrant une pièce jointe douteuse, et c’est tout le réseau de cette entreprise qui est en péril, d’où la nécessité de formation. Je passe ici en revue quelques points d’importance sur lesquels je pense pouvoir apporter un éclairage propre à sensibiliser les esprits sur leur importance dans la lutte contre les menaces, et je finirai en récapitulant ces bonnes pratiques dans une série de règles d’or à respecter. 10.1 Maintenance La prévention passe par une maintenance régulière du SI. 97 « Les FAI ont conscience du spam mais gèrent plutôt leur réputation » www.journaldunet.com/solutions/securite/chat/arnaud-kopp-ironport-les-fai-ontconscience-du-spam-mais-grerent-plutot-leur-reputation.shtml Virus, spyware, spam : Une course perdue d’avance ? 72/123 En effet, nombre de menaces s’introduise dans nos système au travers de failles de sécurité, qui ne sont ni plus ni moins que des erreurs de conception, des bugs ou des oublis. Tous les programmes d’un ordinateur sont concernés, du système d’exploitation lui-même, en passant par la mise à jour indispensable des logiciels de sécurité, jusqu’au nombreux logiciels utilisés, particulièrement ceux en relation avec internet qui sont le navigateur web et les logiciels de messagerie entre autre. Mais la maintenance amène aussi à vérifier régulièrement l’état de sa configuration en dehors de la simple mise à jour des logiciels rendue de plus en plus souvent automatiques et dont il faut veiller à ce que cet automatisme n’est pas été désactive par un logiciel malveillant. 10.1.1 Programmes au démarrage Un bon moyen de se prémunir de la gêne occasionnée par certains malware est de vérifier les programmes qui sont lancés au démarrage afin d’éradiquer ceux qui n’ont rien à faire là. C’est une opération technique, qui nécessite de savoir discerner ce qui est nécessaire au fonctionnement de l’ordinateur et ce qui ne l’est pas et qui peut être dangereuse si elle est conduite sous la panique et en l’absence de connaissance spécifiques. 10.1.2 Trafic réseau On peut aussi surveiller son trafic réseau afin d’y déceler une activité anormale. Attention toutefois, car des logiciels tout à fait standard se connectent automatiquement sans votre autorisation (qui est implicite) afin de se mettre à jour et ceci dans votre intérêt. 10.2 Droits restreints Il est essentiel de travailler dans un compte utilisateur avec des droits restreints, c'est-à-dire pas en tant qu’administrateur. Cette remarque pourrait sembler anodine aux utilisateurs de Linux/Mac, mais est essentielle pour les utilisateurs de Windows. Cela limite les installations immodérées qui sont rendus attrayantes et faciles, mais qui en contrepartie permettent aux spywares de s’introduire sur votre système. Si un besoin d’outil se fait sentir il faut étudier les solutions via logiciel libre (code source disponible) et gratuit plutôt que de succomber à la tentation de pirater un logiciel payant car cela est souvent rendu possible même aux novices, mais au prix de codes malicieux qui s’installeront en même temps. Cette démarche de réflexion au lieu du clic instantané pourra paraître inutile pour certains, mais elle est pourtant nécessaire. Virus, spyware, spam : Une course perdue d’avance ? 73/123 Ce comportement qui est celui par défaut des systèmes Unix, Linux et Mac et le premier rempart contre les intrusions, mais peut dans certains cas poser problèmes sous Windows dont ce n’est pas dans la culture à tel point que certains logiciels ne fonctionneront pas s’ils n’ont pas les privilèges administrateurs (ce qui constitue une hérésie de programmation). Dans ce cas la solution consiste à lancer ces programmes « en tant que » administrateur afin de contourner localement le problème. La sécurité informatique pour être efficace ne se conçoit pas comme une restriction de droits successifs, mais plutôt comme une interdiction globale avec des autorisations successivement attribuée en fonction des besoins de l’utilisateur. Cette démarche assure qu’il y ait le moins possible d’oublis, et donc que moins de risques soient pris.98 10.3 Mot de passe [Password] Il est important de choisir de bons mots de passes, pour se prémunir contre un vol d’identité ou autre. Par bon mot de passe on entend un mot de passe d’au moins 8 caractères avec au moins 3 types de caractères parmi alphabétique de minuscule et majuscule, numérique et symbole ou ponctuation. Les erreurs à ne pas commettre sont de choisir un mot ou une concaténation de mots ou avec un chiffre, a base de noms courants (nom commun ou nom propre). Un bon moyen de choisir un bon mot de passe sans risque de l’oublier est de choisir une phrase facile à retenir et de ne prendre que la première lettre de chaque mot, par exemple : « Tous les matins, je me lave les dents à 8 heures !» donne « Tlm,jmllda8h! ». Ce mot de passe, impossible à retenir autrement, demande au programme malveillant de tester « toutes » les possibilités aléatoirement pour découvrir votre mot de passe, soit 26 lettres minuscules + 26 lettres majuscules + 10 chiffres + 40 symboles le tout à la puissance 13 dans notre exemple car votre mot de passe comporte 13 caractères (d’où l’importance de la longueur du mot de passe), cela donne 10213 soit un peu plus de 1026 combinaisons. 98 Cf. cours de SSIB (Sécurité des Systèmes d’Information et des Bases de données) enseigné par Aleksander BACZKO. Virus, spyware, spam : Une course perdue d’avance ? 74/123 Il en résulte qu’une tentative pour trouver ce type de mot de passe serait trop longue. 99 Pourtant, même avec un bon mot de passe, cela n’empêche pas un programme de finir par le découvrir même si cela prend beaucoup de temps. En effet, les capacités de calcul des machines augmentent régulièrement et une utilisation de plusieurs machines en parallèle n’est pas exclue, sans compter le facteur dû au hasard. Il faut donc penser à le changer régulièrement, on préconise généralement tous les 90 jours. Pour cela, pensez à une phrase en relation avec la date, par exemple le mois en cours : « Le mois de Juin est le 6ème mois de l’année » donne « LmdJel6mdla ». D’autres techniques existent dont le but est de produire un mot de passe dont la combinatoire est suffisamment élevée, et dont le but est d’éviter que vous choisissiez des mots courants comme l’utilisation du leet speak Ou encore du langage phonétique (couramment utilisé dans les messages SMS) ou même la combinaison de plusieurs techniques, par exemple si vous comptiez choisir comme mot de passe « C’est une belle journée ! », cela peut donner : « 71Be11eJourn3E! » On peut aussi symboliser les espaces par un caractère spécial, ou même incrémenter ce caractère spécial en fonction de l’indice de l’espace. Cela donnerait pour l’exemple précédent : « 7_1_Be11e_Journ3E! » ou « 7#1#Be11e#Journ3E! » Ou en prenant les caractères spéciaux placés sur votre clavier sous les chiffres, qui donnent dans l’ordre : 1= &, 2=~,3=#, 4={, 5=[, 6=|, 7=`, 8=\, 9=^ et 0=@. Ce qui donne dans ce cas : « 7&1~Be11e#Journ3E! » Bref, on peut varier à loisir les techniques, en inventer de nouvelles et les combiner, mais surtout choisir un bon compromis entre robustesse et mémorisation. Enfin, pour tester vos trouvailles il existe des sites qui notent la robustesse de vos mots de passes et donnent des conseils pour l’augmenter : 99 Attaque par force brute fr.wikipedia.org/wiki/Attaque_par_force_brute Virus, spyware, spam : Une course perdue d’avance ? 75/123 • Test de mot de passe, qui donne une leçon supplémentaire d’ingénierie sociale : o cs76.free.fr/test-mot-passe.php Tester l´efficacité d´un mot de passe, qui donne une notation détaillée : o www.pc-optimise.com/securite/password.php Par ailleurs, pour conserver tout l’intérêt d’un mot de passe robuste, il faut éviter de choisir l’option qui permet au navigateur web de se souvenir du mot de passe en particulier lorsqu’on utilise une machine qui ne nous appartient pas, et de manière générale, il est recommandé de fermer sa connexion de manière à ce que personne ne puisse ré-ouvrir la page que l’on vient de visiter sans avoir à saisir de mot de passe. 10.4 Pourriel Le respect de certaines règles permet d’éviter de recevoir du spam, elles sont explicitées dans le chapitre « Collecte ». D’autres sont simplement des actions liées au bon sens afin de limiter l’impacte du spam, comme s’abstenir de donner suite à un spam, et surtout ne rien acheter et ne faire appel à aucun service vanté dans un spam. Les spammeurs spamment pour gagner de l’argent, c’est le nerf de la guerre, alors ne leurs en faisons pas gagner. Ne faites jamais confiance à l'expéditeur, même si c'est une personne ou un organisme connu (son identité à pu être usurpée ou il peut agir par négligence). En cas de doute sur la légitimité d'une demande d’informations personnelles de la part d'une société, contacter celle-ci directement par téléphone (ne pas répondre au message) ou bien se rendre directement sur son site en tapant son URL dans le navigateur, surtout ne cliquez sur aucun lien. En effet, ces liens, si vous y regardez de plus près, comportent des extensions qui enverront des informations au spammeur sur sa campagne de spam et lui permettront de savoir que vous avez cliqué sur sa publicité. Les fournisseurs et hébergeurs de sites doivent eux aussi faire l’effort de déceler les sites et comportements à problèmes dans les services qu’ils proposent. Mais cela leur prends énormément de temps, sans compter qu’ils peuvent devenir à leur tour la cible de ces malfaiteurs en représailles de leur démarche citoyenne.100 100 Exemple chez Gandi.net, bureau d'enregistrement de nom de domaine [registrar] www.lebardegandi.net/post/2007/01/11/Gandi-contre-le-spam Virus, spyware, spam : Une course perdue d’avance ? 76/123 10.4.1 Collecte Pour ne pas s’exposer à être victime, il est essentiel de limiter la diffusion de son adresse mail. Il faut éviter de la communiquer et ne pas la faire apparaître sur les supports suivant : • • • • Blog Forum Newsgroup Site web Cela limite la diffusion, mais n’empêche pas le spam. Lorsque vous êtes obligé de donner votre courriel pour recevoir un mail d’activation d’un compte ou autre, il suffit de prendre une adresse jetable. Et préférez l’abonnement aux flux RSS qui ne vous exposent pas puisque vous ne laissez pas vos coordonnées. Ne faites pas suivre les chaînes de messages que vous recevez car, d’une part quel qu’en soit le contenu, cela peut théoriquement mettre à mal un réseau, d’autre part car cela permet surtout à des personnes mal intentionnées de récolter des centaines d’emails valides. De plus, ces chaînes pour s’assurer de leur transmission font souvent appel au sensationnel ou encore à votre humanité mais sont toujours des canulars [hoax]. Si d’aventure vous êtes amené à faire suivre ce type de chaîne ayez au moins le reflexe d’effacer dans le corps du message les adresses qui y figurent et de mettre celles que vous y ajoutez en copie cachée. Soyez vigilant lorsque vous communiquez votre adresse, même à des organismes ou sociétés qui n’ont rien d’obscure, en lisant les conditions sous lesquels vous fournissez votre adresse. Si un site web vous demande votre adresse email, c'est qu'il compte en faire quelque chose. Lisez les Conditions d'utilisation et les notices de respect de vie privée sur les sites web avant de leur donner votre adresse. Si vous ne trouvez pas ces notices sur les sites, ne donnez surtout pas votre adresse. 10.4.1.1 Adresse masquée Il est bien connu qu’il ne faut pas laisser son adresse mail sur les lieux publics d’internet, qui d’ailleurs proposent souvent des alternatives pour vous contacter comme sur les forums par exemple. Mais comment faire sur un site internet ? Plusieurs possibilités se présentent : • Modifier son adresse, sans mettre de lien : Virus, spyware, spam : Une course perdue d’avance ? 77/123 En la modifiant légèrement de sorte qu’un humain rectifie de luimême l’adresse mais qu’un robot n’y parvienne pas, il suffira au visiteur de recopier l’adresse corrigée dans sa messagerie pour vous écrire (par exemple : moi(arobase)fournisseur.fr) • Mettre en place un formulaire, avec captcha : La mise en œuvre est assez lourde, et les possibilités sont moindre qu’en utilisant son outils de messagerie habituel (pièce jointe, signature, etc.) • Encoder l’adresse à l’aide d’un script : Une solution simple consiste à utiliser un moteur de cryptage en ligne (www.caspam.org) qui vous fournira le code à placer sur vos pages web. Cela permettra ainsi à vos visiteurs de cliquer simplement sur un lien pour vous écrire via leur messagerie habituelle. Ces solutions permettent de déjouer la traque aux adresses des robots d’indexation des spammeurs. 10.4.1.2 Adresse jetable Si l’on part du principe qu’il est trop contraignant de suivre avec attention toutes ces précautions, il est alors nécessaire d’avoir plusieurs adresses mail (au moins 2) : 1. Une adresse privée que vous ne communiquez qu’avec une extrême réserve et qu’à des tiers de confiance. 2. Une adresse publique que vous communiquez plus aisément, mais en observant tout de même des règles élémentaires afin qu’elle ne soit pas trop rapidement saturée de spam. Cette adresse doit pouvoir disparaître sans vous poser de désagrément car elle est amenée à disparaître. Vous pouvez allonger la durée de vie de cette adresse publique en utilisant des adresses jetables à durée limitée ou à usage unique. Certains site se sont fait pour spécialité de fournir ce type de service, mais comme vous serez parfois amené à communiquer une adresse vers laquelle ces BAL temporaires seront redirigées, soyez vigilant et ne communiquez votre adresse qu’avec circonspection. Par contre, lorsque ces services ne vous demandent pas votre mail, soyez conscient que la boîte que vous créez, bien que temporaire n’offre aucune confidentialité. Voici quelques services qui pourront être d’une grande utilité : • E-mail jetable et anonyme, et donc non confidentiel puisque sans inscription : o www.yopmail.com • Ce service sans publicité de l’APINC (Association Pour l'Internet Non Commercial), permet de créer une adresse valable une heure, un Virus, spyware, spam : Une course perdue d’avance ? 78/123 jour, une semaine ou un mois redirigé vers votre adresse et propose une extension pour Firefox : o www.jetable.org • Plus complexe et nécessitant la création d'un compte, ce service ravira ceux qui traquent le spam. Il vous permettra de créer plusieurs adresses jetables, ou vous recevrez un nombre choisi d'email. De plus, vous pourrez créer des adresses email jetable sans être connecté à internet : o www.spamgourmet.com Une technique plus ancienne mais qui fonctionne bien consiste à ne conserver qu’une seule adresse et à créer des alias (autre nom décrivant en fait la même BAL), ainsi vous communiquez uniquement l’alias et le détruisez quand il est corrompu. 10.4.2 Changement d’adresse En dernier recours cela peut être la bonne solution s’il est déjà trop tard pour appliquer les règles précédemment citées. Si c’est votre adresse principale qui est spammée cela peut-être désagréable mais nécessaire. Dans ce cas, il faut savoir que les mails que vous recevez essentiellement de 2 types : • Émetteur humain • Lettre d’abonnement automatique Dans le cas d’un correspondant humain, il vous suffira sur l’adresse que vous ne souhaitez plus utiliser de ne pas la détruire, en tout cas pas tout de suite afin de la paramétrer pour envoyer une réponse automatique indiquant que vous ne consultez plus cette BAL et indiquant votre nouvelle adresse (en la masquant pour plus de sécurité). Un humain aura tôt fait de corriger votre adresse dans son carnet d’adresse tandis qu’un robot ne sera que faire de ce message de retour si tant est qu’il le reçoive, ce qui comme nous l’avons vu plus haut est extrêmement rare vu que cela constituerait un moyen d’identifier les spammeurs. En suite concernant, les newsletters que vous recevez, il vous suffira d’observer votre ancienne BAL pendant quelque temps afin d’identifier celles que vous souhaitez conserver et de faire la démarche de leur communiquer votre nouvelle adresse « secondaire » pour plus de sécurité. 10.4.3 Captcha101 Ce sigle signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ». 101 Captcha fr.wikipedia.org/wiki/Captcha Virus, spyware, spam : Une course perdue d’avance ? 79/123 Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Cette technique permet d’éviter que des robots remplissent un formulaire ou participent à un forum ou à un blog. Cela permet donc de s’assurer qu’il s’agit bien d’un humain qui utilise un service et non un programme automatisé qui va abuser du service. On rencontre 2 types de captchas, basés chacun sur des techniques sensées n’être résolues que par un humain : • Reconnaissance de formes : Il s’agit de devoir saisir quelques lettres et chiffres dessinés dans une image. Ces caractères sont parfois même difficiles à déchiffrer pour un humain car des outils existent et sont performants si le brouillage n’est pas assez fort. De ce fait, les images sont très dures à déchiffrer (texte déformé, couleurs peu contrastées, etc.) En corollaire, on retrouve le risque pour les déficients visuel de ne pouvoir être reconnu, d’où l’ajout de captchas auditifs. • À base d’énigmes : Ce type de captcha offre l’avantage d’être facilement mis en œuvre (pas de traitement d’image) et de ne faire appel qu’aux fonctions cognitives, mais peut rapidement, après une période d’apprentissage d’un logiciel d’intelligence artificielle, être dépassé. Le principe de ces techniques, qui ne sont pas sans solution technique, n’est pas tant de proposer quelque chose qu’un robot ne sait pas faire, que de proposer quelque chose qu’il ne peut pas faire dans des conditions économiques acceptables. Car comme on l’a vu, c’est le faible coût des techniques de spam qui en font un outil de prédilection pour les malfaiteurs du web. Tout comme un billet de banque n’est pas Virus, spyware, spam : Une course perdue d’avance ? 80/123 infalsifiable, c’est l’ampleur des techniques à mettre en œuvre pour le réaliser qui dissuade dans la majorité des cas. 10.5 Règles d’or 10.5.1 Virus La prévention provient essentiellement de l'attitude des utilisateurs, qui représente la première ligne de défense contre les infections. Les utilisateurs devraient respecter certaines règles, afin d'éviter tout risque d'infection, telles que : 1. Installer un pare-feu, un antivirus et un anti-spyware. 2. Maintenir à jour son ordinateur, système d’exploitation, logiciel de sécurité bien sûr et tous les logiciels, particulièrement ceux en contact avec le réseau (navigateur web, messagerie, etc.) 3. Travailler dans un compte/session avec des droits restreints (pas en administrateur). 4. Sauvegarder régulièrement ses fichiers importants, cela évitera le désagrément de la perte de données sensibles. 5. Ne pas cliquer trop hâtivement sur les fichiers, vérifier la provenance, l’extension, scanner les avec des outils en ligne. 6. Protéger ses comptes par des mots de passe robuste. Ces règles sont classées dans un ordre qui n’est pas anodin, bien que discutable, et sont réduites au strict minimum afin de ne pas noyer l’utilisateur sous un déluge d’informations inapplicables. L’ordre que j’ai appliqué ici tient compte d’un ratio facilité/résultat, qui est un compromis entre la facilité de mise en place de ces règles et le niveau de protection qu’elles apportent. Bien sûr, pleins d’autres règles seraient et sont à appliquer, qui dérivent ou viennent compléter celles-ci, mais ces 6 règles sont le plus petit ensemble concrètement applicable. 10.5.2 Pourriel Dans le domaine des spams des règles d’or peuvent s’ajouter aux règles décrites ci-dessus afin de spécifiquement diminuer l’impacte du problème : 1. Ne communiquez pas votre adresse email principale sans savoir comment elle va être utilisée, surtout sur les places publiques d’internet (forum, blog, site web, etc.). Si vous le faites, donnez une adresse secondaire/temporaire. 2. Méfiez-vous des titres de courriels et de pièces jointes trop racoleur et des communications institutionnelles inhabituelles. Virus, spyware, spam : Une course perdue d’avance ? 81/123 3. Utilisez un filtre anti-spam, n’ouvrez pas et détruisez tous les emails non sollicités. 4. N'achetez jamais rien, n'utilisez aucun service dont un spam fait la pub et ne cliquez pas par curiosité. 5. Ne participez pas aux chaînes de messages. 6. Dénoncez les agissements frauduleux aux autorités compétentes. Virus, spyware, spam : Une course perdue d’avance ? 82/123 11 Solutions Il existe des solutions face à ces menaces. Certaines sont payantes, d’autres sont gratuites et toutes n’ont pas la même efficacité, mais même les plus efficaces sont en sursit et doivent évoluer constamment comme le font les menaces pour rester pertinentes. Il y a l’indispensable trilogie pare-feu, anti-virus et anti-spyware dont tout ordinateur devrait être équipé, mais il est devenu désormais quasiment indispensable de s’équiper d’un anti-spam, à moins d’utiliser en amont celui du FAI (Fournisseur d’Accès à Internet). 11.1 Anti-spam102 Plusieurs techniques coexistent et sont souvent utilisées en conjonction, mais il y a 2 angles d’attaque possible. On peut soit tenter d’identifier les messages indésirables, dont le nombre est souvent supérieur au courriel légitimes, soit se concentrer sur l’identification des expéditeurs légitimes et n’autoriser que la réception de ce type de messages. 11.1.1 DKIM DKIM pour « Domain Keys Identified Mail » est une norme datant de 2005. Elle encadre l'utilisation de signatures numériques pour l'authentification des courriels. Disponible gratuitement, cette technologie, à laquelle Microsoft souscrit, n'impose aucune modification des logiciels clients. En clair, DKIM permet de garantir que l’envoyeur d’un message est effectivement autorisé et considéré comme un envoyeur légitime pour ce domaine et que le contenu du message est intègre. 11.1.2 Filtres Bayésiens Sortis de l’imagination de Paul Graham103 en août 2002, les filtres basés sur cette technique sont désormais bien répandus, mais revers de la médaille aussi bien contournés. Avantages : • Apprentissage automatique • Facilité de mise en œuvre 102 103 Choisir son logiciel anti spam www.logiciel-antispam.com A Plan for Spam par Paul Graham www.paulgraham.com/spam.html Virus, spyware, spam : Une course perdue d’avance ? 83/123 Inconvénients : • Occupe les capacités CPU • Faillible par contournement : o Spam image o Texte littéraire 11.1.3 Liste grise [Greylisting] Cette technique nécessite d'avoir un serveur de courriel (appelé « serveur SMTP »). L'idée est de se baser sur une liste blanche [whitelist] des serveurs autorisés à envoyer des courriels. La nouveauté est que cette liste va se constituer automatiquement au fil des réceptions de courriels. Le principe est que si un expéditeur est inconnu son mail sera refusé. Le serveur émetteur devra alors retenter l’envoi après un délai (dépendant de sa configuration) et le courriel sera alors accepter et l’expéditeur ajouté à la liste blanche. Ceci se base essentiellement sur le fait que les serveurs utilisés par les spammeurs sont configurés de telle sorte (a des fins de performance et de non traçabilité) qu’ils ne prennent pas en compte le message de non distribution. Au final, le premier envoi sera retardé uniquement, tandis que les spams n’atteindront même pas la boîte du destinataire, économisant ainsi les ressources qui sont d’ordinaires nécessaires pour filtrer. 11.1.4 IM2000 Comme je l’ai montré, le problème du protocole de courriel actuel SMTP est double. D’une part on ne peut identifier avec certitude l’expéditeur et d’autre part les coûts de stockage sont à la charge du destinataire. Ce qui laisse libre court à toutes les malversations. L’idée est ici d’inverser le protocole. Le serveur de l'expéditeur garderait le message disponible tant que le destinataire ne l'a pas lu. C'est la proposition "Internet Mail 2000" (IM2000). Un des avantages, c'est que le serveur de l'expéditeur serait identifiable et ne pourrait plus disparaître 1 minute après avoir expédié un million de spams. Mais toute médaille à son revers et ici il s’agirait du fait que les spammeurs connaitraient avec précision les adresses des destinataires ayant ouvert leur courrier ce qui est un atout considérable dans leur pratique. Il semble que cette proposition ne soit pas encore implémentée. 11.1.5 Liste noire/blanche [Blacklist/Whitelist] Virus, spyware, spam : Une course perdue d’avance ? 84/123 Le principe est assez simple, puisqu’il s’agit de comparer l’adresse ou même plus largement le nom de domaine de l’expéditeur avec une liste avant de décider quoi faire d’un courriel, et ce quelque soit son contenu. Ce type de liste peut être constitué à un niveau individuel, c’est notamment le cas des listes blanches qui contiennent généralement l’ensemble de votre carnet d’adresse, ou pour une entreprise les noms de domaines des ses clients et fournisseurs. Dans les listes noires on retrouve des adresses/domaine que l’on souhaite bannir. Le principe des listes noires est même étendu par la mise en commun d’informations afin de recenser les émetteurs de courriels indésirables. Ces listes communautaires sont souvent utilisées par les solutions antispam (cf. chapitre « Initiatives/Signal SPAM »). 11.1.5.1 Réputation La première approche pour combattre le spam était basée sur la blacklist (liste noire de bannissement). Elle fonctionnait au début quand le phénomène était mineur. Mais aujourd'hui c'est une peine perdue : il est beaucoup trop facile aujourd'hui d'envoyer un courriel avec une adresse fictive, de cacher son identité, de générer des adresses ou des noms de serveurs aléatoires qu'il est vain de vouloir en faire une liste exhaustive. Le spam étant un phénomène mouvant en perpétuelle évolution, il est nécessaire d’identifier, comme les signatures de virus, la partie stable. Dans le cas des spams que ce soit pour vendre un produit ou pour infecter un ordinateur, le plus souvent ces messages redirigent vers des sites, qui eux aussi peuvent être mouvant, mais aussi depuis des noms de domaines. Il s’agit alors de placer, après toutes les vérifications nécessaires ces nom de domaines ou de site sur des listes104. L’inconvénient c’est le risque de liste noire sur des sites corrompus à leur insu, mais aussi de voir grandir la taille de ces listes jusqu’à saturation. Ces listes de réputation sont donc utilisées aussi bien pour déterminer si un courriel est un spam que pour identifier les sites présentant des menaces. À titre d’exemple, la société Coetic105 avec laquelle j’ai été en relation durant mon stage et qui est intégrateur de la solution de GPAO de la société Felten a eu quelques déboires avec son site web, sur lesquels je les ai alerté. En effet suite à une recherche dans Google afin de trouver leur site, je suis tombé sur l’encart ci-dessous. 104 Lists of web sites that have appeared in unsolicited messages www.surbl.org COETIC est une société de conseil en Technologies de l’Information et de la Communication (TIC) www.coetic.com 105 Virus, spyware, spam : Une course perdue d’avance ? 85/123 Ceci est le résultat du classement par la communauté BadwareBuster106 de leur site comme site à risque. À raison semble-t-il car ayant été piraté celui-ci comportait une menace pour ses visiteurs. Après correction et action auprès de cette communauté le site a retrouvé une réputation standard. 106 Communauté centralisant la réputation de sites web badwarebusters.org Virus, spyware, spam : Une course perdue d’avance ? 86/123 Virus, spyware, spam : Une course perdue d’avance ? 87/123 Une grande partie des bases de réputations est obtenue par la mise en place de systèmes de délation dans lesquels il est fait appel aux internautes pour dénoncer les spams. Les éditeurs de solutions anti-spam ordinaires facilitent cette délation en proposant de dénoncer un courriel comme étant un spam via un simple clic. Ceci à ouvert la porte aux fausses dénonciations (concurrences commerciales, etc.)107 11.1.6 Mobile Avec l’avènement des téléphones portables de plus en plus sophistiqués et intégrant des technologies proche de celle des ordinateurs, ces fléaux risquent de se répandre sur les mobiles dès que leurs auteurs auront trouvé comment faire fructifier ces malversations. Mais d’ors et déjà, les mobiles sont victimes de messages abusifs et les opérateurs, à l’image de SFR108, guident leur abonnés afin de leur éviter ce désagrément. 11.1.7 Signature Ce mécanisme, commun aux spam et aux menaces de types malware (cf. chapitre « Anti-virus/Signature » plus bas) est très répandu. Il s’agit de calculer le hashcode ou checksum du corps du message de sorte qu’une fois ajouté dans la base de données de l’anti-spam il permette de détecter un spam par comparaison de cette valeur. 11.1.8 SPF109 « SPF » pour Sender Policy Framework est un système visant à authentifier un nom de domaine lors de l'envoi d'un courrier électronique. C’est un effort communautaire qui gagne rapidement du terrain. SPF fonctionne par la publication, dans le DNS d'un enregistrement indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré. 11.2 Anti-spyware 107 Le livre blanc du spam (p. 8) www.mailinblack.com/site/upload/MIB_Livre%20Blanc%20-%20Le%20Spam.pdf 108 Que faire en cas de spam ? www.sfr.fr/securite-sante/spam/que-faire-en-cas-de-spam/ 109 Sender Policy Framework, project overview www.openspf.org Virus, spyware, spam : Une course perdue d’avance ? 88/123 Il existe des solutions dédiées à ce type de malware, bien que le spectre d’action des anti-virus classiques se soient élargi et intègre ce type de détection désormais. Néanmoins devant la spécificité de ces menaces des outils dédiés sont disponibles et on conseille leur utilisation en conjonction d’un anti-virus afin de couvrir l’ensemble des risques. 11.3 Anti-virus Il y a deux stratégies fondamentales d'utilisation des anti-virus. La première est d'utiliser ces outils pour scanner tout fichier nouveau avant exécution (installation d’un logiciel), ainsi que tous les supports extérieurs (clé USB, cédérom etc.) Par précaution il est également recommandé de scanner périodiquement son disque dur. La deuxième technique consiste à installer un anti-virus résidant, plus efficaces car offrant une protection en temps réel. Il surveille en permanence l'activité de l'ordinateur, détecte et empêche tout comportement suspect comme, les tentatives d'écriture sur le secteur d'amorçage, les modifications de la table d'allocation en dehors des procédures normales, l’effacement inopiné de fichier, le formatage du disque, l’écriture directe sur le disque (en particulier dans un fichier exécutable), le contournement des fonctions du système d'exploitation ou le détournement de celles-ci de leur rôle normal, etc. Cette stratégie permet, en théorie, d'intercepter à la source les tentatives de contamination ou d'agression des virus même inconnus. Chaque anti-virus a ses limites en terme de détection et l’idéal serait d’utiliser en conjonction plusieurs anti-virus.110 Cependant, les anti-virus résidants, cohabitent difficilement. En effet, ils ont tendance à se détecter mutuellement comme des menaces du fait de leur fonctionnement intrusif, sans compter le ralentissement que cela occasionnerait. Comme malgré une mise à jour régulière ils ne détectent pas toutes les menaces, il peut donc être utile d’utiliser les outils en ligne de différents éditeurs lorsqu’il y a suspicion, ainsi que d’effectuer un scan périodique de son ordinateur. La plupart des anti-virus actuels utilisent des fichiers de signatures mais incorporent aussi d'autres méthodes de détection dites heuristiques qui reposent par exemple sur l'analyse empirique de certains détails de 110 Pourquoi un seul moteur antivirus ne suffit www.gfsfrance.com/fr/whitepapers/why-one-virus-engine-is-not-enough.pdf Virus, spyware, spam : Une course perdue d’avance ? pas 89/123 structure des fichiers. Ceci leur permet parfois de détecter un nouveau virus avant que sa signature soit connue. 11.3.1 Bac à sable [sandboxing] Cette méthode consiste à isoler un programme, sur une machine virtuelle, et à constater « in vivo » son comportement sans incidence sur la machine. 11.3.2 Empreinte Cette méthode consiste à prendre une « empreinte » de chaque fichier de programme et à contrôler périodiquement que ce fichier n'a subi aucune modification. Cela ne permet que la détermination a posteriori d'une contamination, mais elle offre théoriquement l'avantage de détecter la présence de virus encore inconnus. L'empreinte du fichier comprend généralement son nom, sa date et heure de création ou modification, sa longueur et une « somme de contrôle » [checksum]. Le logiciel anti-virus enregistre ces données lors d'un premier examen du disque et, lors des examens ultérieurs, compare ces données initiales avec celles que lui fournit l'examen en cours. En théorie, toute modification, même minime, d'un fichier doit pouvoir être détectée. En réalité, certains virus utilisent des méthodes sophistiquées pour leurrer ces logiciels de contrôle. 11.3.3 Heuristique Cette méthode est utile quand il n’y a pas encore de signature disponible pour la menace (cas des virus polymorphes). Il s’agit de technique visant à détecter des comportements suspects dans une application. 11.3.4 Signature On peut identifier dans le code de la plupart des virus des séquences d'octets caractéristiques de ce virus, c’est ce qu’on appelle la signature. Si cette séquence est bien choisie, elle a de fortes chances de se retrouver également dans la plupart des virus obtenus par modification d'un même virus souche En conséquence, on doit fournir une liste de signatures aux anti-virus utilisant cette méthode. Bien entendu on ne peut détecter que des virus déjà connus. C'est pourquoi la liste des signatures doit être complétée périodiquement. Posséder un anti-virus a peu d'intérêt si on ne dispose pas de mises à jour fréquentes. Les anti-virus doivent en effet être mis à jour régulièrement en téléchargeant sur Internet les nouveaux fichiers de définitions virales. Cette opération peut être automatisée sur la plupart Virus, spyware, spam : Une course perdue d’avance ? 90/123 des anti-virus actuels, sachant qu’il peut y avoir plusieurs mises à jour dans une même journée. Ci-dessous un schéma explicatif du concept de signature : 111 Les virus polymorphes posent problème à cette méthode de détection, car ils sont cryptés et auto-mutants. À chaque réplication le virus se crypte lui-même avec une clé aléatoire. On ne peut donc définir aucune signature stable qui permette de le reconnaître. Pour être efficace l'anti-virus doit faire une analyse du contenu pour rechercher d'éventuels mécanismes de cryptage. 112 Les anti-virus ne sont pas fiables à 100%, il faut souvent qu’une menace apparaisse et commence à faire ses premier dégât pour que les anti-virus intègrent sa signature dans leur base de connaissance. Les auteurs de virus ayant connaissance de ce talon d’Achille perfectionnent leur technique en créant des virus « changeant », appelés polymorphes, c'est-à-dire dont la signature évolue à un rythme supérieur aux capacités des sociétés sensées les identifier, créant ainsi une fenêtre d’action suffisante pour infecter des ordinateurs pourtant protégés par anti-virus. D’où la nécessité d’observer certaines règles et d’avoir un comportement adéquat (cf. chapitre « Prévention »). 111 Source professeurs.esiea.fr/wassner/?2007/05/22/73-aprs-les-virus-les-allergiesinformatique-le-prochain-malware 112 idem Virus, spyware, spam : Une course perdue d’avance ? 91/123 11.4 Pare-feu [firewall] Son utilité est principalement de bloquer les communications entrantes et sortantes. Mais comme nous avons vu, la majorité des menaces passent par le spam ou les sites web et un pare-feu ne joue aucun rôle dans ces cas, car les ports dédiés à ce type communication sont par défaut ouvert sous peine de se couper du monde. Par contre, il peut permettre de détecter les communications d’un malware vers l’extérieur. Bien qu’aujourd’hui, contrairement aux anti-virus, antispyware et antispam, les systèmes d’exploitation contiennent un pare-feu d’origine, vous serez peut-être amené à en installer un, dans ce cas vous pouvez vous orienter vers ZoneAlarm113 qui est reconnu pour son efficacité et sa gratuité. 11.5 Comparatifs Ce chapitre, très pragmatique, permet de s’y retrouver parmi l’offre pléthorienne de solutions commerciales et non-commerciales. J’y indique les sources qui inventorient et qui classent les outils et j’en propose un panel pertinent. 11.5.1 Anti-virus Les critères de choix d’un anti-virus sont : • • • • • Délai de détection et fréquence de publication de signatures virales. Détection de formes de malwares variés (spyware et autres…) Heuristiques puissante de nouvelle forme de menaces. Protection en temps réel (messagerie, flux http, etc.) Faible taux de faux positifs/négatifs. Le principe de base étant celui de la publication des signatures des menaces identifiées, il est naturel de comparer la fréquence de parution de ces signatures dans différentes solutions anti-virus afin de s’assurer de leur pertinence. Par contre le nombre de signature, qui pourrait être un indicateur n’est pas vraiment pertinent. En effet, il n’est pas révélateur du taux de détection d’un anti-virus, car ces listes contiennent souvent des signatures « in the zoo » qui ne sont pas représentatives de véritables menaces, bien qu’utilisées comme argument commercial. Voici quelques comparatifs indépendants de solutions : 113 Free firewall www.zonealarm.com/security/fr/zonealarm-pc-security-free-firewall.htm Virus, spyware, spam : Une course perdue d’avance ? 92/123 • Société reconnu de tests d’anti-virus, propose notamment un comparatif de la fréquence de mise à jour de signatures virale pour 40 anti-virus : o www.av-test.org • Organisme indépendant à but non lucratif fournissant des études comparatives des solutions anti-virus (16 étudiés) : o www.av-comparatives.org • Comparatif de logiciels anti-virus et anti-maliciels : o rlwpx.free.fr/WPFF/complam.htm Il ressort de ces différentes études que chaque anti-virus a des points forts et des points faibles (fréquence de mise à jour des signatures élevée pour l’un, détection proactive i.e. en l’absence de signature pour l’autre, faible taux de faux positifs etc.), d’où l’intérêt d’une utilisation croisée de différent anti-virus afin d’obtenir une protection maximale quelque soit le type de menace. Même si la conclusion est que les logiciels payants sont plus performants, comme nous l’avons vu, il serait illusoire de croire pouvoir se reposer sur un seul d’entre eux. Par ailleurs, des solutions gratuites existent et sont tout de même très performantes. Enfin, si vous avez pris conscience de l’intérêt de se munir d’un anti-virus vous trouverez une liste complète sur Wikipédia : • Liste de logiciels anti-virus : o fr.wikipedia.org/wiki/Liste_de_logiciels_antivirus Je ne conseillerais ici comme le fruit de ces recherches que des solutions gratuites dignes d’intérêts : • Les meilleurs : o Antivir d’Avira114 (Windows) o Avast115 (Windows/Linux) • Les performants : o AVG (Windows/Linux) o BitDefender (Windows) o ClamAV116 (Windows/Linux/Mac et open source) 114 Avira AntiVir Personal – Free Antivirus www.freeav.com/fr/products/1/avira_antivir_personal__free_antivirus.html 115 Télécharger avast! Antivirus gratuit (Edition Familiale) www.avast.com/fre/downloadavast-home.html 116 ClamWin fr.clamwin.com/content/view/18/46/ Clam Antivirus www.clamav.net/download/ ClamXav www.clamxav.com/index.php?page=dl Virus, spyware, spam : Une course perdue d’avance ? 93/123 On peut noter qu’il y a beaucoup moins de solution gratuite pour Linux/Mac, mais que cela existe. En ce qui concerne les anti-virus en ligne (donc gratuit) qui permettent un complément de sécurité par le scan d’un fichier ou de tout son ordinateur, on trouve une liste très riche ici (attention à la compatibilité indiquée avec votre navigateur et attention aux rogues) : • • Tableau comparatif des fonctionnalités des anti-virus gratuits en ligne : o assiste.com.free.fr/p/antivirus_gratuits_en_ligne/antivirus_gra tuits_en_ligne.html 61 scans anti-malwares en ligne pour Xp/Vista : o www.commentcamarche.net/faq/sujet-11487-61-scans-antimalwares-en-ligne-pour-xp-vista On peut noter que certains outils ne scannent qu’un seul fichier mais ceci sur la base de plusieurs anti-virus. C’est donc un bon réflexe lorsqu’il y a suspicion ou doute sur l’origine d’un fichier. La marche à suivre est de le télécharger (vous ne risquez rien comme on l’a vu tant qu’il n’est pas exécuté), puis de le scanner et seulement si le résultat est négatif de l’exécuter. Attention toutefois, certains anti-virus détectent et confirment ainsi l’infection mais ne la réparent pas. Il peut alors être nécessaire de faire une recherche pour appliquer un patch de sécurité comblant la faille exploitée, ou un utilitaire de désinfection. Voici une sélection des plus efficaces : • • • Kaspersky117 (détecte mais ne répare pas) Trend Micro HouseCall118 (tout navigateur) Panda119 (IE) Comme on l’a vu, les scans en ligne ne remplacent pas un anti-virus résident et sont donc ponctuels, et il vaut mieux utiliser plusieurs antivirus, d’où l’offre de scan de fichiers par plusieurs moteur anti-virus en une seule opération : • • VirusTotal120 (39 moteurs d’analyse anti-virus, tout navigateur) Jotti121 (21 moteurs d’analyse anti-virus, tout navigateur) 117 Scanner antivirus online www.kaspersky.com/fr/virusscanner Trend Micro scan en ligne d'antivirus housecall.trendmicro.com/fr/ 119 ActiveScan 2.0 – Vous verrez la sécurité de votre PC sous un autre œil www.pandasecurity.com/activescan/index/ 120 VirusTotal – Analyse gratuite en ligne de virus et malware www.virustotal.com/fr/ 121 Le scanner anti-virus de Jotti virusscan.jotti.org/fr 118 Virus, spyware, spam : Une course perdue d’avance ? 94/123 11.5.2 Anti-spyware Bien que certains anti-virus fassent aussi office d’anti-spyware, ces outils spécifiques font souvent l’objet d’une offre à part. Ils ont d’ailleurs été étudiés de près dans cette étude très complète : • Comparatif anti-trojans : o http://assiste.com.free.fr/ftp/comparatif.pdf Voici une liste des outils gratuits offrants de bonnes performances : • Famille des anti-spywares et anti-trojans : o assiste.com.free.fr/p/logitheque_familles/anti_spywares.html Dont je conseille, suite à la lecture des comparatifs, les produits suivants : • • • SpyBot Search & Destroy122 CA Anti-Spyware/PestPatrol123 Windows Defender124 Et voici une liste des outils en lignes, là encore attention aux rogues qui sont nombreux dans ce domaine : • Tableau comparatif des fonctionnalités des anti-spywares gratuits en ligne : o assiste.com.free.fr/p/anti_spywares_gratuits_en_ligne/anti_sp ywares_gratuits_en_ligne.html Dont voici une sélection : • • CA Anti-Spyware/PestPatrol125 (IE) PC Flank126 (tout navigateur) 11.5.3 Anti-Spam Les solutions proposées ici sont des solutions à installer sur un poste client, bien que dans le cas d’une entreprise il est certainement plus intéressant d’installer une solution en amont. Le choix d’un tel outil peut se faire en fonction du client de messagerie que l’on utilise, mais en cas de connaissances techniques suffisantes on peut agir au niveau du proxy. Un autre élément à prendre en compte est 122 123 124 125 126 SpyBot Search & Destroy www.safer-networking.org/fr/ CA Anti-Spyware/PestPatrol www.pestpatrol.com Windows Defender www.microsoft.com/france/protect/spyware/software/default.mspx CA Anti-Spyware/PestPatrol www.pestpatrol.com PC Flank www.pcflank.com Virus, spyware, spam : Une course perdue d’avance ? 95/123 la confidentialité de la solution, car souvent les courriels reçus sont comparés avec une base de données centralisée. Voici une liste des solutions anti-spam : • Outils et services à base de détection et éradication de spam : o assiste.com.free.fr/p/logitheque_familles/outils_et_services_a nti_spam.html Voici quelques solutions à noter : • • SpamFighter127 (fonctionne avec Outlook et Outlook Express ainsi que Thunderbird) MailWasher128 (fonctionne avec tous les clients de messagerie) 11.6 Tests Attention, il s'agit de tests sommaires, ils ne sont pas suffisants pour établir la qualité d'un outil, mais doivent être obligatoirement corrects. Divers menaces peuvent être simulées et donnent un bon aperçu de l’état de sécurité d’une machine : • Symantec propose un scan de sécurité : o security.symantec.com/sscv6/ 11.6.1 Anti-virus Après tout ça vous pensez être protégé et avoir correctement installé votre ou vos logiciels de sécurité, alors n’hésitez à faire ces tests : • Édité par l’EICAR, ce fichier de test inoffensif est une chaîne de caractères destinée à tester le bon fonctionnement des logiciels antivirus : o www.eicar.org/anti_virus_test_file.htm • Un moyen d’infection courant est l’utilisation d’applets Java lors de la navigation web. Tester votre protection contre ces menaces : o www.cigital.com/hostile-applets/ 11.6.2 Pare-feu Pour tester l’efficacité d’un pare-feu, testez vos ports à cette adresse : 127 Filtre Anti Spam pour Outlook, Outlook Express, Windows Mail, Thunderbird et Serveurs www.spamfighter.com/Lang_FR/ 128 MailWasher www.mailwasher.net Virus, spyware, spam : Une course perdue d’avance ? 96/123 • Vérifiez la sécurité réseau de votre ordinateur : o check.sdv.fr • Scanner de ports gratuit : o www.inoculer.com/scannerdeports.php 11.7 Limites Une bonne protection ne repose pas sur un seul élément, mais sur la conjonction de plusieurs, cependant, que ce soit pour des raisons commerciales ou techniques il est souvent impossible d’installer et de faire cohabiter 2 anti-virus. Les solutions à base de listes blanches et surtout de listes noires posent le problème du contrôle avant ajout, car il arrive fréquemment que des ajouts soient faits à tort portant ainsi préjudice. Et le mécanisme pour sortir de ces listes est souvent tortueux et bien plus compliqué que pour y rentrer. 11.7.1 Faux positifs et faux négatifs Le taux de faux-positifs est le pourcentage de courriers électroniques légitimes identifiés à tort comme spams par l’anti-spam. Le taux de fauxnégatifs est le pourcentage de spams interprétés par l’anti-spam comme étant des courriers électroniques légitimes. De la même manière, bien qu’on aborde moins souvent ce problème au sujet des anti-virus, il est un élément à prendre en compte dans l’efficacité de ces outils. Les deux taux précédents sont des éléments de mesure de la qualité d’une solution anti-spam. Plus ces taux sont bas, plus la solution est performante. Cependant, ces deux taux varient toujours de façon inversée. Le réglage d’une solution applicative en termes de taux de faux positifs et de faux négatif est toujours une tâche ardue, et bien souvent le choix de tel ou tel outil induit un réglage type. En effet, certains produits sont connus pour leur taux élevé de faux positifs et d’autres pour leur taux plus élevé de faux négatifs. Dans le cas d’un anti-spam, bien que le compromis revienne toujours en dernier recours à l’utilisateur, il est préférable d’avoir un réglage moins agressif, c'est-à-dire qu’il laissera passer quelques spams dans votre boîte (faux négatif), mais ainsi limitera le nombre de faux positif (messages classées à tord dans votre dossier spam). La raison est simple, tout simplement car un spam s’identifie aisément à « l’œil nu », le problème des spam étant leur multitude et le fait que les courriers légitimes sont noyés dedans. Dans ce cas donc, on pourra aisément écarter le spam et Virus, spyware, spam : Une course perdue d’avance ? 97/123 on évitera la lourde tâche qui consiste à vérifier parmi tous les spams reçus s’il n’y a pas de courriers légitimes. Contrairement, un anti-virus préfèrera, même si c’est toujours problématique, avoir un taux de faux positifs légèrement plus élevé pour limiter les faux négatifs. Encore une fois la raison est simple, car dans le cas des virus on ne peut pas se permettre de laisser passer le moindre virus qui pourrait avoir des conséquences catastrophiques, surtout qu’on ne s’en rend pas toujours compte, tandis que si votre anti-virus vous alerte à tord sur un programme dont vous connaissez l’origine cela est moins impactant car vous pouvez toujours décider d’exécuter le programme malgré tout. 11.7.2 Coût Bien que le coût financier puisse être très bas pour se protéger avec les nombreuses solutions gratuites et performantes existant aujourd’hui, il existe un autre coût « caché » qui se révèle lorsque l’on incrimine la lenteur d’un ordinateur. En effet, l’installation d’anti-virus, antispyware et anti-spam qui fonctionnent pour une meilleure efficacité en temps réel et qui sont résident en mémoire, consomment des ressources que vous avez chèrement acquises (CPU, mémoire) et dégradent votre confort d’utilisation. 11.7.3 Généralisation Dès lors qu’une solution innovante dans un premier temps se généralise suffisamment pour vraiment freiner la diffusion des spams, les spammeurs font alors l’effort de s’adapter, même si cela à un coût. Par exemple, dès lors que les filtres bayésiens se sont répandus et ont été correctement utilisés, les spams images se sont généralisés avec comme effort de bord une plus grande occupation de la bande passante. 11.8 Formation Reste une dernière solution, éduquer les utilisateurs. Car, si le spam continu à inonder nos BAL, c’est qu’il a du succès et qu’il est générateur d’argent. Or un comportement plus éclairé de la part des internautes permettrait de réduire considérablement l’impacte de ces menaces, en commençant par ne rien acheter aux spammeurs et à ceux qui ont recours à leurs services. Et aussi en se protégeant efficacement évitant ainsi de venir grossir les rangs des botnets, grand pourvoyeur de spams. Virus, spyware, spam : Une course perdue d’avance ? 98/123 12 Conclusion La simplification, et l’accessibilité grandissante aux systèmes d’information voulue par un nombre toujours plus grand d’utilisateurs, simples consommateurs de fonctionnalités toujours plus riches en interaction (cf. web 2.0), est synonyme de risques. En effet, pour les non initiés, il est aisé de commettre des erreurs, encouragés en cela par des personnes peu scrupuleuses exploitant cette méconnaissance à la fois des outils mais aussi et surtout du risque. Malgré tout, pour les plus curieux, nombre d’informations, de qualité variable, sont disponible afin d’affiner sa compréhension des enjeux de notre existence « virtuelle ». Et justement, l’utilisation abusive de cette appellation (virtuelle) n’est pas faite pour éveiller les esprits quant aux menaces bien réelles (financière, usurpation d’identité, réputation, etc.) On constate que de nombreux problèmes apparaissent et sont dû à l’acceptation tacite de conditions d’utilisation ou de diffusion d’informations sans nous en rendre compte. Le clic sur un bouton « j’accepte » équivaut à une signature en bas d’un document que vous n’auriez pas lu. Du côté des menaces, le constat est surprenant, puisque c’est souvent le fait qu’une ressource soit gratuite et quasi illimité qui fait que des personnes mal intentionnées se l’approprie à des fins peu scrupuleuses et réussissent à générer autant de problèmes (mail, VoIP, etc.). L’autre point de vue à adopter, est que les menaces qui visent principalement Windows ont un impacte conséquent du fait du quasi monopole de cette société. Une hétérogénéité plus saine serait donc garante de menaces moins radicales. De même, l’utilisation de logiciels alternatifs, en comparaisons avec ceux fournis par défaut (navigateur web, players, etc.) permet de réduire sensiblement l’utilisation de failles de sécurité, sauf lorsque ces logiciels alternatifs eux-mêmes deviennent suffisamment populaire (cf. Firefox). Cependant, l’interopérabilité grandissante annonce la venue de menaces multiplateformes, et sans attendre cela le phénomène du spam dépasse déjà aujourd’hui les frontières des systèmes d’exploitation. Néanmoins, aller vers des systèmes alternatifs comme Linux/Mac, si l’on y va en sachant que ces systèmes ne sont pas exempts de menaces, constitue une bonne démarche en ce sens que cela éveille à un autre mode de fonctionnement et qui plus est va dans le sens d’un équilibre des OS nécessaire à une concurrence saine (corrections des failles). Virus, spyware, spam : Une course perdue d’avance ? 99/123 Dès lors que l’on comprend que les systèmes aujourd’hui moins soumis aux malwares y sont pourtant théoriquement tout aussi vulnérable, il suffit alors de comprendre les motifs qui en font des cibles moins attrayantes afin de reproduire cet état de fait. C’est sous cet angle novateur que le site viruspam.free.fr se propose de guider l’internaute en recherche d’information. Par ailleurs, l’aspect hétéroclite des menaces qui sont l’œuvre de multiples individus et/ou organisations ne peut trouver de solution efficace dans une seule réponse institutionnelle ou commerciale. Il est nécessaire de traiter ces attaques au cas par cas, ce qui demande un effort énorme et souvent sous-estimé. Pour reprendre les termes du titre du mémoire (« Virus, Spyware, Spam : Une course perdue d’avance ? »), c’est une course de relais qui, si l’on veut la gagner, doit reposer sur une équipe (utilisateurs, éditeurs de logiciels, pouvoirs publics) soudée et entrainée. Cette course peut donc être gagnée, encore faut-il avoir conscience que nous aurons à la courir et donc à la préparer sérieusement, et cela ne se fait pas sans peine, voir sans quelques blessures à l’entrainement. Malheureusement, les enjeux commerciaux gigantesques nuisent à une émulation saine entre les différents acteurs anti-spam et anti-virus, à tel point même que certains acteurs anti-spam détectent les courriels de leur concurrent comme du spam et que les anti-virus ne sont pas compatibles entre eux, même si en façade tous ces acteurs affichent une saine unité. Nous sommes tous, par nos agissements sur le web, responsables du devenir d’internet. Virus, spyware, spam : Une course perdue d’avance ? 100/123 13 Annexe 13.1 Le site Je propose un site reprenant l’essentiel de ce mémoire dans un but de vulgarisation et permettant d’accéder en ligne à des outils ou des ressources officielles. J’ai sélectionné des ressources prioritairement en français pour que la langue ne soit pas un obstacle à la compréhension. L’intérêt du site est contrairement à ce rapport de pouvoir offrir une vue en temps réel des menaces sur le web, il constitue en ce sens un prolongement pragmatique et utile de ce mémoire. L’idée est de partager et de faire connaître les efforts déjà déployés pour informer le public. Je me suis appuyé sur des comparatifs d’anti-virus afin d’en sélection quelques uns de qualité (bon taux de détection des menaces), gratuits, et offrant la possibilité de scan en ligne. Par ailleurs, ce site respecte les standards du web par l’intermédiaire de validateurs du W3C, tant au niveau technique (XHTML, CSS) qu’au niveau de l’accessibilité et de l’interopérabilité entre les navigateurs (testé sur 5 navigateurs, à savoir Internet Explorer, Mozilla, Safari, Opéra et Chrome). 13.2 Exemples d’hameçonnage 13.2.1 Caisse d’épargne129 On trouve début juin 2009 sur la page d’accès aux comptes en ligne du site de la caisse d’épargne cet encart : Cela montre que le problème est sérieux et par ailleurs on peut lire dans une section du site des conseils de sécurité fournis en collaboration avec la DDM : 129 Les alertes sécurité www.v4.caisseepargne.fr/asp/modele0.aspx?np=historique_alertes_secu# Virus, spyware, spam : Une course perdue d’avance ? 101/123 « Alerte du 11 juin 2009, une tentative de phishing cible certains clients de la Caisse d'Épargne. » Le mail se présente sous cette forme. Il s’agit d’une fausse information qui vise à obtenir des données personnelles et bancaires vous concernant. 13.2.2 Deezer130 Ci-dessous un courrier de communication du site Deezer reçu au mois de mai 2009, suite à une tentative d’abus de confiance menée par une campagne de spam. 130 Service gratuit et illimité d'écoute de musique en ligne se présentant sous la forme d'un site Internet. Multilingue, le site est, en 2009, proposé en 16 langues. Il compte un effectif de près de 7 millions de membres pour un total de plus de 4 millions de chansons écoutables sur le site www.deezer.com Virus, spyware, spam : Une course perdue d’avance ? 102/123 13.3 Étude de cas Le point faible des sociétés qui démarchent par spam est qu’à un moment ou à un autre elles doivent se dévoiler afin de faire affaire, c’est aussi la raison pour laquelle le spam évolue aujourd’hui vers des mails qui n’ont rien à vendre et qui proposent des choses attrayantes et gratuites afin de contaminer les machines et ainsi par la suite de pouvoir faire des malversations par ordinateur interposé (botnet) ou leur exposition sera moindre puisque c’est la machine infectée qui semblera être à l’origine de l’arnaque. Dans les cas que je traite ci-dessous je suis resté dans l’hexagone afin de faciliter mes recherches et de limiter mes frais d’appels téléphoniques, ceux-ci étant le moyen le plus directe de contacter les spammeurs. Virus, spyware, spam : Une course perdue d’avance ? 103/123 13.3.1 Air E-Mail Suite à la réception d’un spam, de type image, se voulant être une démarche commerciale tout à fait légitime pour proposer des services de publipostage, j’ai pris contact avec cette société. D’abord honnêtement en expliquant mon statut d’étudiant faisant un mémoire, mais ayant pris contact par téléphone puis par courriel sans succès, si ce n’est le spam de l’adresse avec laquelle j’avais pris contact, j’ai décidé d’utiliser les techniques d’ingénierie sociale. Suite à cet essai infructueux, me faisant passer pour un prospect intéressé mais sceptique et surtout ne voulant pas risquer des ennuis j’ai pu obtenir quelques informations, ou tout du moins le discours officiel de cette société. Voici les points que j’ai relevés : • Je n’assumerais aucune responsabilité, seul eux étant ceux qui envoient les mails prendraient la responsabilité. o Faux : Suite à une confirmation par la CNIL, le commanditaire est responsable. • Le démarchage de professionnel serait autorisé. o Faux : Professionnel ou particulier sont protégés contre le démarchage non sollicité. Une petite nuance pour les professionnels a pu exister mais il semblerait que ça ne soit plus le cas (cf. chapitre « Législation/Pourriel »). • Le fichier de particulier serait « opt-in » : o Faux : J’en suis la meilleure preuve. • Les mails contiendraient un lien « opt-out » fonctionnel et quasiinstantané. o Le lien est présent, et après désinscription j’ai pu constater (en comparant avec une autre adresse spammée) qu’il est bien fonctionnel. • Dernier argument d’autorité, la société officierait depuis de nombreuses années. o Faux : Dans l’état actuelle elle a tout juste 1 an d’existence (cf. identité juridique ci-dessous). En jouant sur le fait que j’étais potentiellement intéressé mais sceptique, j’ai pu avoir nombre d’informations, erronées certes mais j’ai obtenu des réponses. Comme cela est difficile à vérifier ils ne prennent pas grand risque et me renvoient vers leur site qui a même l’audace de citer la CNIL au travers de l’article d’un juriste131. 131 Prospection par courrier www.airemail.fr/fichiers/CNIL.pdf électronique Virus, spyware, spam : Une course perdue d’avance ? & autorisation préalable 104/123 Par contre, lorsque j’ai demandé à obtenir le numéro d’enregistrement auprès de la CNIL indispensable à une telle activité, puisque détenteur d’information personnel, je n’ai pas obtenu de réponse. Mais après quelques recherches j’ai pu avoir confirmation que cette société était bien enregistrée auprès de la CNIL. Ci-dessous le message d’origine : Virus, spyware, spam : Une course perdue d’avance ? 105/123 Cette société ne respecte clairement pas l’« opt-in », mais semble respecter l’« opt-out ». Ceci dit sachant que de nombreux internautes ne cliquent pas sur ces liens ayant peur de confirmer leur adresse aux spammeurs et d’accroître la réception de spam, cela permet à cette société de constituer une base toujours plus grande. En effet, de nombreux site de référence indiquent comme règle d’or de ne pas cliquer sur les liens d’un spam, y compris celui de désabonnement. J’apporterais la nuance, que dans le cas de société française qui ne masquent pas leur identité c’est au contraire le meilleur moyen de se débarrasser de leurs spams. Après avoir trouvé des infos sur l’entreprise il me fallait encore le n° de SIRET complet (14 chiffres) que j’ai obtenu auprès de l’INSEE, pour pouvoir me renseigner auprès de la CNIL. Le résultat de ces recherches est exposé au chapitre suivant « Société ». Ce qui est surprenant, c’est que cette société démarche pour vendre ses services d’emailing les mêmes personnes qu’elle spamme et ça marche. Encore une fois rappelons que si personne ne donnait suite à ce type de pratique, leur activité ne serait pas rentable et ils arrêteraient donc de spammer. 13.3.1.1 Informations juridiques Air E-Mail www.airemail.fr Maurice Rambaud 04 76 38 06 67 [email protected] (attention tout mail envoyé à cette société viendra grandir leur base) Virus, spyware, spam : Une course perdue d’avance ? 106/123 132 Ci-dessus seul le n° de SIREN apparaît (9 chiffres), une fois concaténé au n° NIC (3 zéros et 2 chiffres), cela donne le n° de SIRET. 133 13.3.1.2 Client Suite au contact de cette entreprise par mail, j’ai commencé à recevoir des courriers non sollicités dont voici un exemple : 132 Source bilans.lesechos.fr Avis de situation sirene.insee.fr/avisitu/jsp/avis.jsp 133 au répertoire Virus, spyware, spam : Une course perdue d’avance ? SIRENE avis-situation- 107/123 Après avoir pris contact avec le loueur, il apparait que cette personne à du payer une centaine d’euros pour envoyer sa plaquette à environ 100.000 destinataires. Comment a-t’il eu connaissance de cette entreprise situé à l’autre bout de la France ? Simplement en recevant un spam et en y répondant, preuve que cela peut-être un commerce rentable. Ce loueur, un maçon ayant monté lui-même sa maison et désirant rentabiliser son travail par une location d’été, n’a apparemment aucune connaissance de la législation en vigueur et fait entièrement confiance au Virus, spyware, spam : Une course perdue d’avance ? 108/123 prestataire qui selon lui prend seul le risque étant donné que c’est lui qui envoie les mails. Ce que cette personne ne sait pas c’est que c’est le commanditaire de la collecte qui est responsable pas le prestataire (cf. CNIL134). L’effet pervers est que si une action en justice est passée, le véritable spammeur ne sera pas véritablement inquiété. Le service comprend aussi l’envoi au loueur des courriels des gens ayant cliqué sur l’annonce afin qu’il puisse les relancer directement par la suite. 13.3.2 E-Nov Développement Suite à la réception d’un spam promettant des gains alléchants « Vous recherchez un créneau Porteur ? Générez jusqu'à 10 000 euros de marge dès le premier mois sur le secteur des nouvelles technologies. », j’ai pris contact avec la société en question dont j’ai retrouvé la véritable activité, l’emailing. Après avoir contacté cette société en me présentant comme un étudiant devant faire un mémoire sur l’emailing, j’ai été éconduit dès que j’ai refusé de laisser une adresse mail. Suite à cette réaction j’ai décidé de contacter la CNIL et au préalable de vérifier la soit disant l’impunité de leur pratique consistant à ne pas spammer des adresses individuelles mais à viser des adresses dites génériques du genre contact@domaine ou info@domaine. Et comme on peut le lire dans le chapitre « Législation/CNIL », il s’avère que c’est tout à fait exact. Après quelques recherches plus pointues, il s’avère que cette société avait été l’une de celle ciblée par des plaintes de la CNIL suite à l’opération « Boîte à spam » en 2002, à l’époque nommé ABS (Alliance Bureautique Service) et renommé depuis en E-Nov Développement. Poursuivie non pas pour spam mais pour éditer des logiciels de collecte frauduleuse d’email sur internet. D’abord relaxé en 2004 pour une subtilité qui réside dans le fait que les mails ainsi collectés n’étaient pas stockés mais utilisé à la volée pour spammer faisait qu’à l’époque les poursuites n’ont pas pu être engagées contre cette société.135 Puis condamné finalement en appel en 2006136 à 3.000 € d’amende. 134 Renseignements juridiques www.cnil.fr/acces/contactez-nous/ Tribunal de grande instance de Paris, 17e Chambre, 7 décembre 2004 : www.foruminternet.org/specialistes/veille-juridique/jurisprudence/tribunal-de-grandeinstance-de-paris-17e-chambre-7-decembre-2004.html 136 Les logiciels « aspirateurs » d’e-mails condamnés www.scaraye.com/article.php?a=326 135 Virus, spyware, spam : Une course perdue d’avance ? 109/123 Cette société néanmoins habitué à des procédés douteux s’est déjà vu condamnée dans un procès l’opposant à pas moins que Microsoft pour contrefaçon dans l’utilisation douteuse d’une adresse @hotmail.137 Extrait du jugement.138 Néanmoins cette société continue à sévir et à envoyer de nombreux spam depuis des années en jouant sur des subtilités que j’évoque plus haut dans le chapitre « Législation ». Cette société est déclarée auprès de la CNIL, sous son ancien nom (ABS Alliance Bureautique Service), pour un démarchage afin de proposer des service de création de site web. 13.3.2.1 Informations juridiques E-Nov Développement www.adminsarl.com Fabrice HALIMI 01 41 81 36 75 - 01 41 81 38 75 01 45 11 94 75 - 01 45 11 99 49 01 49 76 93 89 - 01 49 76 96 26 - 01 49 76 97 90 01 55 96 69 74 137 Contrefaçon dans une extension d'adresse mail www.avodroits-ntic.com/actualites/id17-contrefacon-dans-une-extension-d-adresse-mail 138 TGI Paris, référé, 6 avril 2004, Microsoft c/ E-Nov Développement www.juriscom.net/actu/visu.php?ID=497 et www.legalis.net/jurisprudencedecision.php3?id_article=1811 Virus, spyware, spam : Une course perdue d’avance ? 110/123 139 13.3.3 Désabonnement Afin de tester le respect de l’opt-out par certaines sociétés françaises de marketing, j’ai observé l’effet de l’utilisation du lien de désabonnement des spammeurs suivants qui s’est avéré efficace, bien qu’ayant été spammé sans mon accord préalable : • • • • • Datalinksolution Direct mailing FC2M (Look Voyages) FootballMercato Montrinvest 13.4 Index 13.4.1 ASCII 139 Sigles et acronymes American Standard Code for Information Interchange Source bilans.lesechos.fr Virus, spyware, spam : Une course perdue d’avance ? 111/123 La norme ASCII (code américain normalisé pour l'échange d'information) est la norme de codage de caractères en informatique la plus connue et la plus largement compatible. BAL Boîte aux lettres (électronique) BIOS Basic Input Output System140 Système élémentaire d'entrée/sortie est, au sens strict, un ensemble de fonctions, contenu dans la mémoire morte (ROM) de la carte mère d'un ordinateur lui permettant d'effectuer des opérations élémentaires lors de sa mise sous tension, par exemple la lecture d'un secteur sur un disque. Par extension, le terme est souvent utilisé pour décrire l'ensemble du micro-logiciel (« logiciel embarqué » ou « firmware ») de la carte mère. Captcha Completely Automated Public Computers and Humans Apart Turing test to tell Cf. chapitre « Prévention/Pourriel/Captcha ». CNIL Commission Nationale de l’Informatique et des Libertés Cf. chapitre « Législation ». DNS Domain Name System (système de noms de domaine) C’est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine. EICAR European Institute for Computer Anti-virus Research C’est une organisation fondée en 1990, dont l'objectif est la recherche en virologie informatique et l'amélioration du développement des logiciels anti-virus. Récemment, EICAR a élargi son programme de recherche en incluant l'ensemble des logiciels malveillants. EICAR est connu pour fournir le fichier de test Eicar, une chaîne de caractères exécutable mais inoffensive, destinée à tester l'intégrité de logiciels anti-virus. FAI Fournisseur d'Accès à Internet141 140 Basic Input Output System fr.wikipedia.org/wiki/Basic_Input_Output_System Fournisseur d'accès à Internet fr.wikipedia.org/wiki/Fournisseur_d'acc%C3%A8s_%C3%A0_Internet 141 Virus, spyware, spam : Une course perdue d’avance ? 112/123 C’est un organisme (généralement une entreprise) offrant une connexion au réseau informatique Internet. Le terme en anglais désignant un FAI est Internet Service Provider (ISP) ou Internet Access Provider (IAP). HTTP/HTTPS HyperText Transfer Protocol (Secured)142 Littéralement le « protocole de transfert hypertexte (sécurisé) », est un protocole de communication client-serveur développé pour le World Wide Web. IE Internet explorer C’est le navigateur du système d’exploitation Microsoft Windows. MISC Multi-system & Internet Security Cookbook Magazine bimestriel français spécialisé dans la sécurité informatique dont le rédacteur en chef est Frédéric Raynal. Il s'agit du magazine français de référence avec des articles écrits par des acteurs reconnus de la sécurité informatique en France, tels que des chercheurs, ou des enseignants par exemple. Il est publié par les éditions Diamond, qui publient aussi GNU/Linux Magazine France et Linux Pratique. OS Operating System (système d’exploitation) C’est un ensemble de programmes responsables de la liaison entre les ressources matérielles d’un ordinateur et les applications informatiques de l’utilisateur. Il fournit aux programmes d'applications des points d’entrée génériques pour les périphériques. Windows, Linux, Mac OSX sont des OS. URL Uniform Resource Locator (localisateur uniforme de ressource) C’est une chaîne de caractères utilisée pour adresser les ressources du World Wide Web. 13.4.2 Autorun Glossaire Démarrage automatique Mécanisme consistant à déclencher automatiquement l’exécution d’une ressource en supposant que c’est le souhait de l’utilisateur. 142 Hypertext Transfer Protocol fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol Virus, spyware, spam : Une course perdue d’avance ? 113/123 Backdoor Porte dérobée143 De la famille des Troyens, elles ouvrent des ports permettant ainsi des actes malveillants à distance. Bande passante C’est un abus de langage qui indique le débit d’information qui peut transiter sur un média. Bayésien Du nom de son auteur Cf. chapitre « Solutions/Anti-spam ». Blacklist Liste noire Cf. chapitre « Solutions/Anti-spam ». Blog144 Un blog ou blogue est un site Web constitué par la réunion de billets agglomérés au fil du temps et souvent classés par ordre antéchronologique (les plus récents en premier). Chaque billet (appelé aussi note ou article) est, à l'image d'un journal de bord ou d'un journal intime, un ajout au blog ; le blogueur (celui qui tient le blog) y délivre un contenu souvent textuel, enrichi d'hyperliens et d'éléments multimédias, sur lequel chaque lecteur peut généralement apporter des commentaires. Boot Amorçage Cela désigne la procédure de démarrage d'un ordinateur, qui comporte notamment le chargement du programme initial. Botnet Réseau de robots C’est le nom donné à un ensemble de machines dites « zombies », c'est-à-dire infectées par un malware permettant leur prise de contrôle à distance. Bounce Rebond Cf. chapitre « Courrier indésirable ». 143 144 Porte dérobée fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e Blog fr.wikipedia.org/wiki/Blog Virus, spyware, spam : Une course perdue d’avance ? 114/123 Buffer overflow Dépassement de tampon Consiste à utiliser une faille de conception et à écrire en mémoire un code malveillant qui sera exécuté en lieu et place du code initial. Checksum Somme de contrôle145 Il s’agit d’un concept de la théorie des codes utilisé pour les codes correcteurs, elle correspond à un cas particulier de contrôle par redondance. Elle est largement utilisée en informatique et en télécommunications numériques. Elle est obtenue en faisant la somme (en utilisant l'opération modulo) de tous les octets du code du logiciel, ou de certaines zones sensibles de celui-ci. Crack Petit utilitaire permettant d’outrepasser les protections d’un logiciel pour l’utiliser sans en acquérir la licence. Cybercriminel Auteur de malversations par ordinateur interposé et/ou utilisation de techniques frauduleuses de type malware. Déni de service [Deny of Service (DoS)]146 Une attaque par déni de service (ou attaque par saturation) est une attaque sur un serveur informatique qui résulte en l'incapacité pour le serveur de répondre aux requêtes de ses clients. Un serveur informatique (par exemple un serveur Web) doit traiter plusieurs requêtes dans un court laps de temps. Lorsque le serveur est incapable de traiter toutes les requêtes qu'il reçoit, il y a déni de service. Une attaque par déni de service distribuée [Distributed Denial of Service attack] ou [DDoS attack] est une attaque par déni de service dans laquelle le serveur cible est attaqué par plusieurs ordinateurs simultanément. Dialer Composeur de numéro téléphonique Cf. chapitre « Maliciel/Menaces financières ». 145 Somme de contrôle fr.wikipedia.org/wiki/Somme_de_contr%C3%B4le Attaque par déni de service fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service 146 Virus, spyware, spam : Une course perdue d’avance ? 115/123 Emailing Publipostage Appellation professionnelle d’une technique d’e-marketing proche du spamming. Exploit Exploitation de faille Cf. chapitre « Malware ». Hacker Pirate Auteur de malversation informatique. Hashcode Code de hachage À rapprocher de « checksum ». Hoax Canular In the zoo/In the wild Se dit des types de malwares qui sont respectivement cantonnés aux laboratoires ou répandus dans la nature. Ingénierie sociale147 L'ingénierie sociale [social engineering] est une forme d'escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le hacker abuse de la confiance, l'ignorance ou la crédulité, de personnes possédant ce qu'il tente d'obtenir. Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique qui vise le facteur humain d'un système informatique pour briser sa sécurité. L'ingénierie sociale est en fait une simple technique de persuasion de son interlocuteur : • persuasion que l'attaquant est bien celui qu'il prétend être • persuasion que vous pouvez et devez, dans votre intérêt, dévoiler une information. Le principe est exactement le même que celui consistant à revêtir un costume de policier, pompier ou facteur ou se faire passer pour un 147 Ingénierie sociale (sécurité de l'information) fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l'informati on) Virus, spyware, spam : Une course perdue d’avance ? 116/123 huissier etc. ... et se présenter au domicile de quelqu'un pour l'influencer et le conduire à faire quelque chose de sa propre volonté, sans violence physique, alors qu'il ne l'aurait pas fait naturellement. Keygen Générateur de clé Petite application permettant de fournir un numéro de licence valide pour un logiciel commercial. Leet speak Langage de l'élite148 Le leet speak (en leet speak : 1337 5|*34|<), de l'anglais « elite speak », est une écriture utilisant les caractères alphanumériques ASCII d'une manière peu compréhensible pour le néophyte pour s'en démarquer. Le principe est d'utiliser des caractères graphiquement voisins des caractères usuels, par exemple 5 au lieu de S, 7 au lieu de T et pour les extrémistes |_| au lieu de U ou |< au lieu de K, sans respect de l'orthographe ou des majuscules. Cette technique à été reprise par les spammeurs pour contourner les premiers filtres mis en place sur des listes de mots clés. Linux OS open source. Mac OS commerciale concurrent de Windows Malware Maliciel/Logiciel malveillant Cf. chapitre « Malware ». Opt-in/Opt-out Consentement actif/Option de retrait Cf. Chapitre « Législation/LCEN ». Peer to peer P2P Mécanisme d’échange de fichier pair à pair très en vogue entre les particuliers pour échanger des données soumises à copyright. Phishing 148 Hameçonnage Leet speak fr.wikipedia.org/wiki/Leet_speak Virus, spyware, spam : Une course perdue d’avance ? 117/123 Cf. chapitre « Pourriel ». Pop-up Fenêtre surgissante Il s’agit de petites fenêtres qui apparaissent sur votre écran lors de l’utilisation d’un logiciel, vous informant ou vous questionnant, avant de continuer l’exécution du programme. Elles ont généralement trait à la sécurité. Port149 Canal de communication entre applications et entre ordinateurs distants. Quelques ports connus : • • • • 25 : courrier sortant 80 : trafic web 110 : courrier entrant 1863 : messagerie instantanée MSN Rogue Escroc Cf. chapitre « Maliciel/Nuisances diverses ». RootKit Kit racine Cf. chapitre « Malware ». Signature Cf. chapitre « Solutions/Anti-spam ». Spam Courrier indésirable/Pourriel Cf. chapitre « Spam ». Spammeur Polluposteur Personne physique qui utilise les techniques liées à l’envoi de spams. Spoofing 149 150 Usurpation d’identité150 Port (logiciel) fr.wikipedia.org/wiki/Port_(logiciel) Lexique des termes usuels www.v4.caisse- epargne.fr/asp/modele0.aspx?np=lexique_secu&nv=20071217173921 Virus, spyware, spam : Une course perdue d’avance ? 118/123 Il s'agit d’une technique de piratage qui consiste pour un pirate à usurper une identité électronique. C'est pourquoi il peut vous arriver de recevoir des messages de personnes que vous connaissez et qui contiennent des virus informatiques, alors qu'eux même ne sont pas forcément infectés. VoIP Voice over IP (Voix sur réseau IP) C’est une technique qui permet de communiquer par la voix via l'Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette technologie est notamment utilisée pour supporter le service de téléphonie IP. Warez151 Désigne des contenus numériques protégés par les lois du copyright mais diffusés illégalement sans reverser de droits. Ils sont souvent diffusés via Internet (par exemple en utilisant les protocoles ftp, http ou p2p), ou par cédéroms ou toute autre forme de stockage. Le terme provient d'une déformation du mot anglais wares (« marchandise » en français). De manière générale la diffusion de contenus numériques protégés par les droits d'auteurs prônant le terme warez désigne une connotation de pratique illégale suivant les états ainsi que nation intéressée. Zombies152 Se dit d’une machine infectée par un ou plusieurs malwares dont le contrôle peut être pris à distance par un malfaiteur pour lui faire exécuter des actions, le plus souvent frauduleuses, pour son compte. 13.5 Webologie 13.5.1 CERTA Institutions www.certa.ssi.gouv.fr Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques 151 152 Warez fr.wikipedia.org/wiki/Warez Machine zombie fr.wikipedia.org/wiki/Machine_zombie Virus, spyware, spam : Une course perdue d’avance ? 119/123 CNIL www.cnil.fr/index.php?id=1882 Commission Nationale de l'Informatique et des Libertés DCSSI www.securite-informatique.gouv.fr Portail officiel de la sécurité informatique DDM www.ddm.gouv.fr/surfezintelligent/ www.ddm.gouv.fr/rubrique.php3?id_rubriqu e=69 Direction du Développement et des Médias 13.5.2 AFA Associations www.afa-france.com/t_spam.html Association des Fournisseurs d'Accès et de services internet APVG www.antiphishing.org Anti-Phishing Working Group Arobase www.arobase.org L’e-mail sous toutes ses coutures Assiste assiste.com Sécurité informatique, protection de la vie privée sur l'Internet pour le particulier et l'entreprise CERT-IST www.cert-ist.com Computer Emergency Response Team - Industrie, Services et Tertiaire Clusif https://www.clusif.asso.fr CLUb de la Sécurité de l’Information Français Hoaxbuster www.hoaxbuster.com Première ressource francophone sur les canulars du web Virus, spyware, spam : Une course perdue d’avance ? 120/123 MELANI www.melani.admin.ch La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI ProtegeTonOrdi www.protegetonordi.com Portail de la sécurité sur internet, une opération organisée par les pouvoirs publics, Microsoft et leurs partenaires Secuser www.secuser.com Sécurité informatique et protection de la vie privée Signal Spam https://www.signal-spam.fr Plate-forme nationale de signalement des spams SpamLaws www.spamlaws.com Ce site maintien des liens sur législations nationales sur le spam. SpamSquad les diverses www.spamsquad.be SpamSquad est un groupe de réflexion belge informel composé de personnalités issues du monde académique, de représentants des pouvoirs publics, de juristes et de professionnels du secteur, il se penche sur les méthodes de mesure du phénomène de spam et sur l'élaboration de solutions communes destinées à le contrer. 13.5.3 AltOSpam Éditeurs www.altospam.com Logiciel anti-spam et anti-virus externalisé F-Secure www.f-secure.com/fr_FR/ F-Secure est le leader mondial de la sécurité sous forme de service proposé par les FAI et les opérateurs de téléphonie mobile. IronPort www.ironport.com/fr/ Virus, spyware, spam : Une course perdue d’avance ? 121/123 Société renommée mais à la réputation sulfureuse. Son expertise du problème des spams viendrait d’une double activité, aussi bien du côté des spammeurs que du côté de la lutte anti-spam.153 Kaspersky www.kaspersky.com/fr/ www.viruslist.com/fr/ Kaspersky est un des leaders au niveau mondial dans le secteur de l'industrie antivirale et conçoit des solutions de lutte contre les cyber-menaces depuis 1997 : virus, hackers, spam, rootkits, botnets ... McAfee home.mcafee.com www.trustedsource.org Éditeur de logiciels principalement connu pour son logiciel anti-virus. SecuServe www.secuserve.com Services Managés de sécurisation des emails et de Messagerie Hébergée, Collaborative. Sophos www.sophos.fr Éditeur anti-virus et anti-spam, qui compte d'utilisateurs et l'appui des spécialistes du secteur. Symantec 100 millions www.symantec.com/fr/ Symantec aide les particuliers et les entreprises à sécuriser et gérer leurs systèmes d'informations. TrendMicro fr.trendmicro.com Trend Micro est une société côté en bourse, basée à Tokyo au Japon, qui développe des logiciels informatique. ZeroSpam de sécurité www.zerospam.ca/1/Accueil La fin du pourriel 153 Le livre blanc du spam (p. 9 chapitre 7.3.1) www.mailinblack.com/site/upload/MIB_Livre%20Blanc%20-%20Le%20Spam.pdf Virus, spyware, spam : Une course perdue d’avance ? 122/123 13.6 Bibliographie Mag Securs www.magsecurs.com Le magazine de la sécurité informatique Misc www.miscmag.com Multi-system & Internet Security Cookbook XMCO www.xmcopartners.com/actualitesecurite-vulnerabilite-fr.html L’actualité sécurité vulnérabilité Virus, spyware, spam : Une course perdue d’avance ? 123/123