Sécurité et contrôle dans un monde Web 2.0 – Le web, premier vecteur d’infection (1)
Le Web, premier vecteur d’infection
Traditionnellement, le vecteur email a longtemps été la première méthode pour faire entrer du malware dans les entreprises : Les virus et autres codes malicieux peuvent se présenter sous forme d’attachements, mais il est également possible de se faire infecter simplement en lisant l’e-mail ou en le pré visualisant (dans ce dernier cas, il s’agit de scripts automatisés qui vont infecter le poste). Mais désormais, le vecteur web prend une place de plus en plus importante : La meilleure preuve est que désormais, plus de 80% des messages spam incluent des URLs, qui redirigent l’utilisateur vers un site web sur lequel est hébergé le malware. Mais ces sites malicieux, spécifiquement créés pour distribuer du malware, ne sont pas les seuls sites infectant des machines. Mais avant de voir comment se déroule une infection web, intéressons nous quelques instants à la raison qui pousse certaines personnes à développer, distribuer, et exploiter du malware : l’argent.
Le modèle économique
La motivation financière des hackers a conduit ces dernières années à l’explosion du nombre de machines infectées organisées en réseau par les pirates : c’est ce que l’on appelle les réseaux d’ordinateurs zombies (ou réseaux de robots – botnets en anglais), et il s’agit d’une des menaces les plus sérieuses pour la sécurité des systèmes d’information. Un ordinateur zombie est une machine sur laquelle est installé un code malicieux à l’insu de l’utilisateur, mais qui ne commet pas d’action malveillante à l’instant où il est installé. A l’issue de l’installation, le pirate peut demander à distance au poste infecté de réaliser lui-même une attaque ou d’exécuter tout type d’action malfaisante. Le poste infecté devient donc un véritable zombie aux ordres du pirate, et ce, à l’insu du propriétaire de la machine.
Vol d’information
Une fois le code malicieux installé, celui ci peut voler, par exemple tout ce qui ressemble à un login/password, des informations personnelles (carte de crédit, identité), ou des informations confidentielles de l’entreprises. Elles sont ensuite déposées sur un serveur (le plus souvent le fameux serveur de commande et contrôle du botnet)
Cyber extorsion, crimeware, scareware
Il est possible lorsque le pirate peut donner des ordres à la machine infectée, de modifier de nombreux paramètre pour par exemple changer les résultats des moteurs de recherche afin de rediriger l’utilisateur vers des sites spécifiques, mais également, et c’est une pratique de plus en plus répandue, de faire croire via des pop-ups incessants que le PC est infecté et tenter de vendre une soi-disant solution de sécurité. Petit à petit, le malware désactive des fonctions du PC et multiplie les pop-ups afin que l’utilisateur finisse par acheter le logiciel qui se contente évidemment de… désactiver le malware. Cette forme d’extorsion de fond est de plus en plus répandue.
Figure 1 – Modification de la page Google après une infection
Figure 2 – Un bureau modifié pour forcer l’achat d’un faux anti-virus
DoS/DDos
Les attaques de dénis de service distribuées (DDoS) représentent une utilisation fréquente des réseaux de zombies. Ceux-ci vont attaquer en s’y connectant de façon simultanée des passerelles HTTP ou des sites Internet connus, les saturant ainsi complètement, et les empêchant donc de fonctionner normalement voire même de rester en état de fonctionnement. Cela peut résulter en des pertes de chiffre d’affaires colossales, par exemple pour des sociétés de commerce en ligne.
Spam
Les réseaux de zombies servent également souvent à envoyer du spam. Le spammeur se camoufle ainsi derrière des postes qui effectuent le sale travail à sa place. Cisco estime aujourd’hui que plus de 80% du spam mondial proviendrait de postes zombies. Une attaque spam d’importance peut généralement utiliser des zombies éparpillés dans plus d’une centaine de pays.
Phishing
Les zombies servent également aux pirates à lancer leurs attaques phishing : les e-mails envoyant des liens vers des sites frauduleux partent ainsi de machines tierces, rendant très difficile la localisation du pirate.
L’évolution vers plus de professionnalisation a structuré le modèle économique des menaces vers plus de spécialisation : Il existe désormais des loueurs ou vendeurs de Botnet, des fournisseurs de toolkits permettant de créer du malware, etc. Mais comment se fait-on infecter ?
Tags:
