Un site sur 62 est piégé et implante un parasite dans votre ordinateur
Plusieurs millions de sites sont piégés du fait de crapules
|
||||
| |
Une étude conduite par l'Université de Washington et présentée le 02 février 2006 à l'occasion de 13ème symposium sur la sécurité des réseaux et des systèmes distribués à porté sur l'analyse de 45.000 sites.
Il en découle que 1 site sur 62 contient une attaque de type Drive-by Download (sans compter toutes les autres formes d'attaques).
En octobre 2007 il est recensé 142.805.398 sites Internet (chiffres-clés).
Sites totaux à travers tous les domaines d'Août 1995 à Octobre 2007 - Mises à jour
Le calcul est simple : 142.805.398 : 62 = 2.303.312
Il existerait donc environ 2,3 millions de sites Internet piégés.
Probablement beaucoup plus car le calcul du nombre de domaines à travers le monde s'appuie sur les noms de domaines enregistrés (achetés) auprès d'un organisme d'enregistrement (un "Registrar") or une quantité phénoménale de sites Internet ne sont pas enregistrés : les sites personnels hébergés par les FAI (Fournisseurs d'accès Internet). Ainsi le fournisseur d'accès français Free.fr a un ( 1 ) nom de domaine enregistré (Free.fr) mais plus de 100.000 sites Internet personnels (qui n'ont pas acheté de noms de domaine) sont hébergés sur cet unique domaine...
Il faudrait donc doubler le nombre probable de sites piégés. Toutefois, une certaine pondération pourait, simultanément, diviser par deux ce nombre de site piégés puisque l'on constate que seule la moitié des domaines enregistrés est réellement active. Donc nous conservons ce nombre probable de 2,3 millions de sites piégés.
Quel est l'intérêt de ces pièges pour les crapules du Net . Quel est mon risque ?
Nous sommes très loin des virus destructeurs du début de l'Internet. Aujourd'hui les maffieux et autres crapules du Net en veulent directement à votre argent et veulent exploiter vos ordinateurs à votre insu. Qui dit "exploitation de vos ordinateurs" dit "ordinateurs en bon état" : les attaques d'aujourd'hui sont beaucoup plus dangereuses mais beaucoup moins destructrices que ce que l'opinion publique véhicule encore dans son inconscient collectif (autour d'une technologie qui n'existe que depuis une trentaine d'années soit moins de deux générations !).
Exemples de pièges parmi les nombreux types de pièges :
L'exploitation des failles de sécurité de votre ordinateur permet à ces pièges de fonctionner (principalement à cause d'Internet Explorer que vous devriez remplacer par Opera ou, mieux, Firefox et à cause de la technologie scélérate ActiveX que vous devriez bloquer définitivement). Suivre la synthèse des conseils dans nos Kits de sécurité.
Des failles corrigées au bout de 348 jours !
Il vous est quasiment impossible d'éviter ces "exploits" (exploitation de failles) puisque la durée de vie moyenne d'une faille de sécurité est de 348 jours (juillet 2007) avant qu'elle ne soit corrigée ! Lire l'article de Réseaux-Télécoms.net.
Le seul moyen d'y échapper est de suivre nos conseils dans nos Kits de sécurité et de ne travailler qu'en compte limité or tout le monde travaille en compte avec droits administratifs. Lire "Procédure de passage d'un compte administratif à un compte limité" - document pdf de 47 pages.
Il en découle que 1 site sur 62 contient une attaque de type Drive-by Download (sans compter toutes les autres formes d'attaques).
En octobre 2007 il est recensé 142.805.398 sites Internet (chiffres-clés).
Sites totaux à travers tous les domaines d'Août 1995 à Octobre 2007 - Mises à jour
Le calcul est simple : 142.805.398 : 62 = 2.303.312
Il existerait donc environ 2,3 millions de sites Internet piégés.
Probablement beaucoup plus car le calcul du nombre de domaines à travers le monde s'appuie sur les noms de domaines enregistrés (achetés) auprès d'un organisme d'enregistrement (un "Registrar") or une quantité phénoménale de sites Internet ne sont pas enregistrés : les sites personnels hébergés par les FAI (Fournisseurs d'accès Internet). Ainsi le fournisseur d'accès français Free.fr a un ( 1 ) nom de domaine enregistré (Free.fr) mais plus de 100.000 sites Internet personnels (qui n'ont pas acheté de noms de domaine) sont hébergés sur cet unique domaine...
Il faudrait donc doubler le nombre probable de sites piégés. Toutefois, une certaine pondération pourait, simultanément, diviser par deux ce nombre de site piégés puisque l'on constate que seule la moitié des domaines enregistrés est réellement active. Donc nous conservons ce nombre probable de 2,3 millions de sites piégés.
- 20% de ces sites sont réellement écrits par les maffieux du Net dans le but de propager un piège.
- Pour les 80% restant, les pirates implantent leurs pièges dans d'autres sites Internet, apparemment complètement légitimes, à l'insu de leurs propriétaires, à cause des failles de sécurité des langages et outils utilisés sur les serveurs hébergeant ces sites. Les failles de sécurité ne sont pas l'apanage exclusif de votre ordinateur (failles de Windows XP Pro etc. ...). Elles existent aussi sur les serveurs (failles des serveurs sous Apache, failles des serveurs sous IIS, exploitant le langage PHP (failles PHP) ou les bases de données MySQL (failles MySQL) etc. ... Tous ces outils côté serveurs sont autant de porteurs de failles...).
Quel est l'intérêt de ces pièges pour les crapules du Net . Quel est mon risque ?
Nous sommes très loin des virus destructeurs du début de l'Internet. Aujourd'hui les maffieux et autres crapules du Net en veulent directement à votre argent et veulent exploiter vos ordinateurs à votre insu. Qui dit "exploitation de vos ordinateurs" dit "ordinateurs en bon état" : les attaques d'aujourd'hui sont beaucoup plus dangereuses mais beaucoup moins destructrices que ce que l'opinion publique véhicule encore dans son inconscient collectif (autour d'une technologie qui n'existe que depuis une trentaine d'années soit moins de deux générations !).
Exemples de pièges parmi les nombreux types de pièges :
- vous forcer à l'achat d'un logiciel crapuleux (voir "La Crapthèque") par harcellement, voire demande de rançon
- implanter un Keylogger ou un spyware afin de voler vos identifiants puis piller vos comptes bancaires
- exploiter secrètement et à distance votre ordinateur et votre abonnement Internet en transformant votre ordinateur en Zombie dans un BotNet
- etc. ...
L'exploitation des failles de sécurité de votre ordinateur permet à ces pièges de fonctionner (principalement à cause d'Internet Explorer que vous devriez remplacer par Opera ou, mieux, Firefox et à cause de la technologie scélérate ActiveX que vous devriez bloquer définitivement). Suivre la synthèse des conseils dans nos Kits de sécurité.
Des failles corrigées au bout de 348 jours !
Il vous est quasiment impossible d'éviter ces "exploits" (exploitation de failles) puisque la durée de vie moyenne d'une faille de sécurité est de 348 jours (juillet 2007) avant qu'elle ne soit corrigée ! Lire l'article de Réseaux-Télécoms.net.
Le seul moyen d'y échapper est de suivre nos conseils dans nos Kits de sécurité et de ne travailler qu'en compte limité or tout le monde travaille en compte avec droits administratifs. Lire "Procédure de passage d'un compte administratif à un compte limité" - document pdf de 47 pages.
|
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music