Spyware : Matérialité des spywares
Spyware : Matérialité des spywares
|
||||
| |
Spywares : Matérialité des spywares
Toutes les formes d'implants malveillants, installés sur nos ordinateurs, relèvent de la programmation. Tels sont les Keylogger, les BHO, les Backdoor, les Guid, les SmartLinks, les Related Infos, les Adwares, les cookies, les dialers, etc. ... Cette programmation peut prendre différentes formes :
Les spywares espionnent. Il n'est pas nécessaire d'être connecté au Net pour qu'ils agissent (ils stockent alors l'information et la délivreront dès qu'ils le pourront ou celle-ci sera relevée dès qu'il y aura connexion ou passage d'une personne physique chargée de l'espionnage sur l'ordinateur).
Les spywares utilisent une combinaison de ces formes de programmation. L'une d'entre elle est un script sur le serveur d'un site visité qui permet de tout connaître de notre connexion (vitesse, navigateur et version, os et version, écran et résolution etc. ...). Les contre-mesures consistent à utiliser des proxy d'anonymisation et / ou de délivrer de fausses informations afin de "crétiniser" les données transmises.
Les formes les plus abouties des spywares, sont les programmes à part entière implantés sur nos ordinateurs. Il n'y a pas de limite à leur pouvoir d'investigation. Les cookies qui alarment bien du monde sont de la gnognote à côté des spywares.
Programmes externes ou externalisés :
Les Spywares sont, en général, des programmes de tierce partie. Ce n'est pas le fournisseur de votre logiciel qui l'a développé mais il a passé un accord commercial avec un ou plusieurs auteurs de spywares et se fait rémunérer par ces auteurs au nombre d'installations identifiées et, éventuellement, au nombre de transmissions faites par le spyware "grâce" à son logiciel. Donc la plupart des spywares se présentent, physiquement, comme un ou plusieurs fichiers sur nos disques durs, séparés des fichiers du logiciel hôte, ce qui les rend repérables et éradicables.
Les auteurs de spywares travaillent à cacher et rendre de plus en plus furtifs leurs espions. Le spyware est alors partie intégrante du programme hôte, les codes de programmation (le " binaire ") sont intimement mêlés et ils ne se distinguent plus du logiciel principal. Il n'y a plus de notion d'hôte et d'invité. Ils ne peuvent être supprimés - c'est le cas des Smart-Tags de Microsoft (qui ont été suspendus au dernier moment) dans les produits Microsoft XP (Windows XP, Internet Explorer 6 et Pack Office XP) et des Related Infos d'Alexa depuis très longtemps.
Devant certaines levées de boucliers il arrive que l'éditeur diffuse une procédure permettant d'inhiber cette fonction. Le plus sûr reste la liste Host qui laisse le programme fonctionner normalement et redirige ce qu'il émet vers une trappe où les données volées se perdent.
Toutes les formes d'implants malveillants, installés sur nos ordinateurs, relèvent de la programmation. Tels sont les Keylogger, les BHO, les Backdoor, les Guid, les SmartLinks, les Related Infos, les Adwares, les cookies, les dialers, etc. ... Cette programmation peut prendre différentes formes :
- codage de l'espion de manière totalement distincte dans un programme autonome ayant son activité propre ou étant activé par l'hôte. On dit de ces programmes qu'ils sont "externes" ou "externalisés".
- codage de l'espion de manière intimement mêlé au code du programme hôte, ce qui suppose que l'éditeur du logiciel hôte est totalement complice ou est carrément et simultanément l'auteur des espions (cas de Microsoft). On dit de ces programmes qu'ils sont "internes" ou " intégrés ".
- scripts externes ou internes
- programmes ou scripts s'exécutant depuis un autre ordinateur grâce à une complicité sur le nôtre
- etc. ...
Les spywares espionnent. Il n'est pas nécessaire d'être connecté au Net pour qu'ils agissent (ils stockent alors l'information et la délivreront dès qu'ils le pourront ou celle-ci sera relevée dès qu'il y aura connexion ou passage d'une personne physique chargée de l'espionnage sur l'ordinateur).
Les spywares utilisent une combinaison de ces formes de programmation. L'une d'entre elle est un script sur le serveur d'un site visité qui permet de tout connaître de notre connexion (vitesse, navigateur et version, os et version, écran et résolution etc. ...). Les contre-mesures consistent à utiliser des proxy d'anonymisation et / ou de délivrer de fausses informations afin de "crétiniser" les données transmises.
Les formes les plus abouties des spywares, sont les programmes à part entière implantés sur nos ordinateurs. Il n'y a pas de limite à leur pouvoir d'investigation. Les cookies qui alarment bien du monde sont de la gnognote à côté des spywares.
Programmes externes ou externalisés :
Les Spywares sont, en général, des programmes de tierce partie. Ce n'est pas le fournisseur de votre logiciel qui l'a développé mais il a passé un accord commercial avec un ou plusieurs auteurs de spywares et se fait rémunérer par ces auteurs au nombre d'installations identifiées et, éventuellement, au nombre de transmissions faites par le spyware "grâce" à son logiciel. Donc la plupart des spywares se présentent, physiquement, comme un ou plusieurs fichiers sur nos disques durs, séparés des fichiers du logiciel hôte, ce qui les rend repérables et éradicables.
- Go!Zilla, par exemple, le bien connu accélérateur de téléchargement, est certainement installé sur votre ordinateur. Il se lance automatiquement chaque fois que vous lancez un téléchargement en mode FTP (d'un programme, d'un fichier de musique etc. ...). Son activité apparente est réelle et très utile et, en plus, il le fait bien. Par contre, il lance, à son tour, à votre insu, un spyware appelé "Radiate" de la société Radiate (anciennement Aureate). Parce que Radiate est développé par une tierce partie, Radiate existe sur votre disque dur comme un fichier séparé de Go!Zilla. C'est la raison pour laquelle il est possible d'éliminer ce spyware sans nuire au fonctionnement de Go!Zilla qui continue de fonctionner normalement (même s'il affiche un énorme message d'erreur pour nous faire peur - ne cliquez pas sur ce message d'erreur qui bloquerait le fonctionnement de Go!Zilla, faites glisser la fenêtre du message d'erreur hors de votre écran (parce qu'elle emm... à rester au premier plan) et continuez normalement).
- KaZaA, le bien connu logiciel de peer-to-peer (connexions d'ordinateurs d'internautes entre eux pour s'échanger des fichiers de musiques, de films etc. ...) est le logiciel de ce type le plus en vue au moment ou est rédigé cet article (octobre 2002). La société qui exploite KaZaA a signé plusieurs accords commerciaux avec plusieurs éditeurs de spywares et, aujourd'hui, si l'on installe KaZaA sur un PC c'est plus de 10 spywares de tierces parties qui viennent avec - voir notre test "Les espions de KaZaA" et notre comparatif antivirus et anti-trojans.
- Le cas d'Alexa-Toolbar. L'internaute peut aussi, en toute bonne foi, installer volontairement une "extension" à un programme déjà existant - c'est le cas d'Alexa-Toolbar qui apporte des fonctionnalités additionnelles de recherches à Internet Explorer ou à Netscape Navigator. Là encore, si Alexa installe des boutons dans la barre d'Internet Explorer, il s'installe physiquement comme une série de fichiers distincts sur le disque dur (à ne pas confondre avec Alexa Related-Info qui est un principe de Smart-Links ou Smart-Tags codés dans le corps même d'Internet Explorer et ne peut être éradiqué (mais il est possible de le rendre inopérant)).
- Certaines méthodes consistent alors à remplacer les programmes spywares par des leurres inactifs et tout le monde est content.
- L'autre méthode, celle des professionnels, consiste à bloquer les émissions des spywares au niveau de la sortie de l'ordinateur (liste Host) et là aussi, tout le monde est content :
- le logiciel hôte croit que son / ses spywares qui le rémunèrent sont là et il a raison - et il fonctionne
- le / les spywares sont là intégralement et fonctionnent aussi
- l'internaute est content car rien ne sort de son ordinateur et il fait un pied de nez aux spywares
- le logiciel hôte croit que son / ses spywares qui le rémunèrent sont là et il a raison - et il fonctionne
Les auteurs de spywares travaillent à cacher et rendre de plus en plus furtifs leurs espions. Le spyware est alors partie intégrante du programme hôte, les codes de programmation (le " binaire ") sont intimement mêlés et ils ne se distinguent plus du logiciel principal. Il n'y a plus de notion d'hôte et d'invité. Ils ne peuvent être supprimés - c'est le cas des Smart-Tags de Microsoft (qui ont été suspendus au dernier moment) dans les produits Microsoft XP (Windows XP, Internet Explorer 6 et Pack Office XP) et des Related Infos d'Alexa depuis très longtemps.
Devant certaines levées de boucliers il arrive que l'éditeur diffuse une procédure permettant d'inhiber cette fonction. Le plus sûr reste la liste Host qui laisse le programme fonctionner normalement et redirige ce qu'il émet vers une trappe où les données volées se perdent.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music