Spyware : méthodes d'infestation

Spyware : méthodes d'infestation

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Spywares : méthodes d'infestation

Comment un spyware arrive sur mon ordinateur ?

La plupart des spywares sont contenus dans les logiciels gratuits (les "freewares"), les logiciels payants dits "sharewares" et les logiciels sponsorisés par de la publicité - présence de bandeaux publicitaires dans la fenêtre du logiciel ou sur le bureau de Windows et qui subsiste après désinstallation du logiciel (les "adwares" ou "publigiciels").

Les principaux spywares sont simultanément de type adwares et sont :
Ces spywares sont utilisés dans de très nombreux logiciels massivement distribués dont :
  • Axman
  • Bearshare
  • Comet Cursor
  • Copernic2000
  • Cute FTP
  • Download AcceleratorPlus
  • Gif Animator
  • Get Right
  • Go!zilla
  • iMesh
  • Opera (version gratuite)
  • Etc. ...
Autres origines des spywares
  • Obligatoirement et dès le départ par les logiciels de base (Windows etc. ...) et les applications commerciales (Pack Office de Microsoft, AOL-Netscape etc. ...), installées

    • les procédures d'enregistrement en ligne des licences de logiciels : ces procédures font remonter de l'information chez les éditeurs, on ne sait lesquelles ni pour quel motif mais il est légitime de penser que cela porte sur tous les logiciels installés (pour espionnage de la concurence), le système installé, le matériel installé et l'identification certaine des utilisateurs de la machine.

    • les smartlinks (smart links ou "liens intelligents", technologie connue sous le nom de "smart tags" chez Microsoft) de Microsoft sont des spywares (qu'on le veuille ou non en jouant sur les mots) et, en sus, impossibles à éradiquer car partie du code des programmes Microsoft (en sus, ils ont d'autres comportements qui sont ceux de "tracking", "piratage" et de "hijacking"). Découverts lors des tests des versions béta de XP, Microsoft a finalement annoncé, sous la pression des internautes et des associations de défense des consommateurs, que la technologie "smart tags" ne sera pas incorporée à la première livraison de Windows XP ni à la version 6 de Internet Explorer ni à Office XP (mais Microsoft n'a jamais annoncé qu'il renonçait à cette technologie).

    • les navigateurs eux-même sont des bavards : ils disent tous (Microsoft Internet Explorer, Netscape, Opera etc. ...) à mon hébergeur et à qui veut connaître ma langue, mon environnement informatique, et, surtout, mon référent, c'est-à-dire la page d'où je viens (dont sont extraits les mots -clés) donc ils tracent facilement ma navigation et mes centres d'intérêts, d'autant plus que depuis les attentats du 11 septembre 2001, la législation oblige nos providers (nos fournisseurs d'accès à Internet) à conserver durant 1 an les traces de nos navigations, ce qu'ils n'ont pas eu de mal à mettre en place du jour au lendemain puisque c'est ainsi qu'ils pratiquent depuis des années. Démonstration de ce bavardage sur Assiste.com > Je sais qui vous êtes > Vos traces.

    • l'installation de Microsoft Internet Explorer (90% des navigateurs installés dans le monde) vient avec le spyware Alexa dès l'origine et le reste des navigateurs est occupé en grande partie par Netscape qui vient aussi avec le même spyware Alexa.
      Nota : Le spyware Alexa n'est plus installé d'origine dans les systèmes et navigateurs de nos jours. Il installait une barre de recherches qui était un spyware.

    • les procédures de gestion d'erreurs intégrées aux logiciels (les "error reporting tools"). Par exemple, Internet Explorer 6 intercepte les erreurs qui le "plante" et prépare automatiquement un fichier de données à envoyer aux services techniques de Microsoft. Ce fichier contient, entre autres, ce qui s'appelle un "dump mémoire" c'est-à-dire le vidage de la mémoire de l'ordinateur (tout le contenu de la mémoire est envoyé). Il est recommandé de ne jamais envoyer ces types de messages d'interception d'erreurs - lire error reporting tools.

    • des dispositifs qui ne sont pas directement des spywares mais les épaulent, le tout convergeant vers un ciblage nominatif et un traçage (comme les guid dans les documents de toute nature crées un temps par tous les logiciels des Pack Office de Microsoft et les guid matériel relevés par les logiciels et insérés dans les journaux d'activité (les "logs"), les transmissions etc. ...)

  • Par toute activité sur le Net :

    Internet est la source de la quasi-totalité des attaques et de l'insécurité. Vous ne devez ni surfer sur le Web, ni consulter vos e-mail ni accéder sous quelque forme que ce soit (messagerie instantanée, P2P etc. ...) à l'Internet lorsque vous êtes en mode Administrateur.

    On le répète sans cesse et on le redit encore une fois
    Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update). Chaque application que vous lancez hérite des droits du compte qui lance cette application. Si vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie ou voler vos données ou les compromettre.

    Les parasites les plus dangereux s'installent et fonctionnent correctement à cause de vous ! Parce que vous êtes allé sur le Net ou avez consulté vos e-mail sous votre compte Administrateur. Ils n'auraient rien pu faire, ou bien moins, si vous étiez allé sur le Net avec un compte d'utilisateur normal. Les crapules du Net n'ont pas besoin d'implanter un RootKit si vous leur donnez le mode Administrateur ! Lire le papier de Symantec (Norton Antivirus) à propos de w32.beagle.av@mm.

    Si vous êtes connecté en mode restreint, toutes les applications que vous lancez ont des droits restreints. Avec des droits restreints, il ne serait pas possible à un parasite de :
    • Créer des fichiers dans le répertoire system32
    • Tuer des processus
    • Désactiver le pare-feu Windows
    • Télécharger et écrire des fichiers dans le répertoire system32
    • Détruire des valeurs du Registre Windows dans HKLM
    Toutes ces tentatives auraient échoué si l'utilisateur utilisant son client de messagerie (OutLook etc. ...) ou son navigateur (Internet Explorer etc. ...) ne s'était pas connecté avec son compte administrateur.

    Aucun usage quotidien de Windows ne justifie le mode Administrateur (sauf pour de très rares personnes dont vous ne faites probablement pas partie). Aucune application liée à l'Internet (communiquante), comme les navigateurs, les messageries instantanées, les clients de messagerie, les clients de P2P etc. ... ne devrait jamais être lancée dans un contexte "Administrateur".

    Vous disposez, par défaut, de 4 profils de travail avec Windows XP. Créez un compte dans le profil "utilisateurs" et travaillez sous ce compte. N'exploitez votre compte dans le profil "administrateur" qu'exeptionnellement.
    1. Administrateur
      Ont un droit d'accès illimité à l'ordinateur

    2. Utilisateurs avec pouvoirs - ( Power User )
      Possèdent quelques droits administratif sur une machine comme partager des fichiers, installer des imprimantes locales, changer la date et l'heure du système. Ils possèdent des pouvoirs étendus pour accéder aux fichiers dans les répertoires système.

    3. Utilisateurs - (Users)
      Ils possèdent des droits limités et suffisants pour utiliser des applications autorisées etc. ... Ils ne peuvent effectuer des changements, accidentels ou volontaires, dans le système, ne peuvent ouvrir un port dans le pare-feu, ne peuvent lancer un service (ni en arrêter un).

    4. Invités
      Droits restreints par rapport aux droits "Utilisateurs".
    Que faire pour les irréductibles du contexte inutile et dangereux "Administrateur" ?

    Utiliser "DropMyRights" !

    DropMyRights permet de lancer certaines applications choisies dans un contexte de droits réduits bien que l'utilisateur soit identifié en tant qu'Administrateur.


    • La navigation sur certains sites que vous visitez, directement ou indirectement (par des liens cachés (des hyper liens invisibles appelés Web Bug lorsqu'ils sont malveillants), grâce à des contrôles ActiveX que vous auriez du bloquer au niveau de votre navigateur. Les sites de jeux et les sites pornographiques en particulier et bien d'autres.

    • Les programmes et utilitaires téléchargés sur Internet (shareware, freeware, adware, payware, versions de démonstration, économiseurs d'écran, peer to peer, synchroniseur avec une horloge atomique, porte documents "wallet", visionneuse etc. ...) qui contiennent très souvent des adwares adossés à des spywares ainsi qu'une ribambelle d'autres implants malveillants. Vous connaissez quelque chose de réellement gratuit ? Pire : il arrive que les versions commerciales (payantes) de ces programmes soient également pourvues des spywares inclus dans les versions gratuites. Bref, on en trouve partout. Une liste de logiciels porteurs de spywares, les "véhicules" ou vecteurs, recense 1.200 programmes infestés ce qui est très en dessous de la réalité car certains "fabricants" de spywares, rendus nerveux par la découverte de leurs implants, les rendent de plus en plus impossibles à détecter et à éradiquer. Et cette liste ne cite pas les sites malveillants.

    • Les e-mail reçus

    • Les zones de chat

    • Les forums

    • Les procédures d'enregistrement en ligne des licences de logiciels

    • La fonction même, tellement aveuglante, de certains logiciels comme les méta moteurs de recherche, échappe complètement à la vigilance. Pourquoi ces utilitaires en ligne, sur lesquels vous vous êtes identifiés avec force détail, ne captureraient pas vos transactions ? Qu'est-ce qui empêche Copernic, par exemple, de totalement vous profiler nominativement et de revendre ces profils ? Et que penser des logiciels en-ligne (les serveurs d'applications) ?

  • Par les supports comme les cd-rom

    • Les mêmes programmes et utilitaires que ceux téléchargés sur Internet se retrouvent diffusés sur les Cd-Rom joints à beaucoup de revues informatiques et contiennent les mêmes lots de spywares.

    • Les outils même de navigation sur ces Cd-Rom offerts dans la presse écrite (oui, votre revue préférée est vendue dans tous les sens du terme !!!) Par exemple ceux trouvés dans certaines presses informatique, installent eux-mêmes un espion, avant même que vous n'ayez fait quoi que ce soit (boycottez définitivement ces journaux et inhiber le démarrage automatique des Cd-Rom pour aller vous balader dessus simplement avec l'explorateur).

  • Exemples :

    • La totalité des logiciels de download (accélérateurs de téléchargement) contiennent un ou plusieurs espions, dont les biens connus:

      • Go!zilla (espion Aureate / Radiate)
      • GetRight (espion Aureate / Radiate)
      • Smartdownload d'AOL/Netscape - plainte déposée le 30 juin 2000 - condamnation d'AOL/Netscape le 13 juin 2003.

    • Les logiciels de compression / décompression de données comme

      • PkZip (espion Timesink / Conducent)

    • Les logiciels de partage de ressources (peer to peer) comme

      • Bearshare (espion ClickTillUWin ou OnFlow selon les versions)

      • KaZaA comporte une quantité incroyable de spywares. C'est pratiquement une vitrine de l'art des spywares, ils y sont presque tous !!! Voir notre test Les spywares de KaZaA.

      • La plupart des économiseurs d'écran sont des spywares camouflés.

      • Tous les sites pornos en installent. Vous voulez vraiment la liste ? (j'ai entendu "oui" au fond de la salle, près de la fenêtre et du radiateur ?) La liste hosts de Stephen Martin en recence plus de 42.000 et on estime qu'il y en a plus de 70.000 accessibles sur le Net.

      • Certains logiciels antivirus gratuits !!! Un comble.

      • Certains jeux et sites de jeux

      • Même de grands noms commerciaux comme

        • Laplink FTP 2 (espion Aureate / Radiate)
        • Copernic
        • Microsoft (Alexa)
        • Netscape (Alexa)
        • Des navigateurs Internet
        • NeoPlanet (espion "FlySwat")
        • Internet Explorer depuis la version 5.0 (sur la base de l'espion Alexa related info)
        • Netscape depuis la version 4.6 (sur la base de l'espion Alexa related info)
        • Etc. ...

      • Des outils d'aide à la navigation

        • Alexa (sa fonctionnalité "related info" qui, en sus, est incorporée dans tous les navigateurs Internet Explorer de Microsoft depuis la version 5.0 et est à la base de la fonctionnalité "Netscape's Smart Browsing" avec "Site Information" et "Related Links" depuis Netscape version 4.6.
        • les BHO (Browser Helper Objects)
        • Etc. ...

      • Etc. ...

    • Etc. ...

  • Etc. ...


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
Historique
 
   
Rédigé en écoutant :
Music