Après avoir lu cet article, j'espère que vous aurez compris qu'internet n'est pas toujours sûr et qu'il convient de rester vigilent lorsque vous surfer sinon la sentence tombe de suite.
Qu'est ce que le social engineering ?
Les méthodes d'infections
Avant de rentrer dans le vif du sujet, un petit rappel rapide concernant les infections.
L'une des grosses difficultés pour installer une infection un ordinateur d'un internaute est de faire exécuté le fichier qui a pour but d'installer l'infection sur le système.
Pour faire exécuter ce fichier, les auteurs de malwares font appels à plusieurs méthodes :
- Sites WEB piégés qui exploitent des failles de sécurité : Les Exploits sur les sites WEB piégés. Souvent sur des sites pornographiques ou de cracks.
- Via des failles distantes sur le système d'exploitation, c'est notamment le cas des vers (Blaster, Sasser etc..), mais beaucoup moins utilisé par les malwares. Voir Le danger des failles de sécurités
- Programmes piégés qui ont l'apparence de programmes sains
- Des Spams ou mails piégés.
- Cracks piégés sur de faux sites de cracks ou réseaux P2P (peer-to-peer --> Emule).
L'installation d'une infection peut donc être automatique et à l'insu de l'utilisateur via une faille de sécurité sur un logiciel (souvent navigateur WEB ou lecteur vidéo/audio) ou sur un crack piégé.
L'utilisateur peut aussi télécharger de manière volontaire le fichier à l'origine de l'infection et l'exécuter de son plein grè.
Cette seconde méthode d'infection nécessite un "déguisement" du fichier afin que l'internaute croit que le fichier qu'il télécharge est sain.
Cette méthode de déguisement fait appel au social engineering.
Le social engineering est très utilisé pour répandre les infections de types vers ou le le phising.
Principe du social engineering
Sur Wikipédia, nous pouvons lire http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale
L'ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l'ignorance ou la crédulité de tierces personnes. Il s'agira pour les personnes usant de ces méthodes d'exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L'art de la supercherie a théorisé et popularisé cette pratique.
Cette définition est plutôt destinée aux vols d'informations dans le cadre d'une attaque contre un serveur puisqu'il s'agit d'obtenir des informations qui conduiront aux succès de l'attaque. Néanmoins, dans le cadre d'infections à grande échelle, le principe reste à peu près le même à savoir exploiter l'ignorance, la crédulité des internautes.
Le but étant de faire apparaître un fichier malsain comme étant propre ou présenter un fichier malsain afin que l'internaute le télécharge.
Le social engineering en pratique
Vers MSN
L'utilisation la plus flagrante du social engineering étant sur les vers MSN.
Prenons le cas de la famille Backdoor.Win32.IRCBot avec les dernières variantes Backdoor.Win32.IRCBot.aaq ou Backdoor.Win32.IRCBot.acd.
Les messages de propagation sont dans toutes les langues, voici quelqu'uns en français suivi d'une tentative d'envoie du fichier myalbum2007.zip :
t'as pas encore vu ces tof :P
j'ai fais pour toi cet album de photos tu dois le voire :p
mes photos chaudes :d
"hey regarde les tof, c'est moi et mes copains entrain de....
Comme vous pouvez le voir, le ver fait passer le fichier infectieux pour un album de photos (alors qu'en fait c'est un zip refermant un .scr [format d'économiseur d'écran, mais encore faut-il afficher les extensions] - se reporter à la page Les extensions de fichiers et la sécurité).
Pour les cowboys du net qui ne font pas attention et qui voient ces phrases en français et reçoivent le fichier... Ils vont bien sûr s'empresser de l'ouvrir (surtout avec des phrases comme "mes photos chaudes"), la majorité étant protégé par Avast! qui met entre 5-15 jours pour intégrer ces infections.. le résultat est courru d'avance.
Maintenant prenons le temps de regarder et surtout de réfléchir avant d'ouvrir le fichier zip provoquant l'infection.
Pour commencer regarder bien la syntaxe des phrases, si la personne n'a pas l'habitude d'utiliser un langage "djeunz" et que vous voyez un "mes tofs" méfiez-vous.. Mais surtout, regardez bien le nom du fichier myalbum2007.zip.
Imaginez-vous en train de faire un zip et l'envoyer à vos contact, sincèrement, vous l'appeleriez myalbum2007 ? vous êtes anglophone ? pas plutôt monalbum ? ou mesphotos ?
Encore plus flagrant.. le ver Backdoor.VanBot.dk se propage par le message : lol j'ai fais une pose de ma soeur hier en cachette avec ma webcam regarde ca suivi d'un lien : http://labasorg.us/webcam_00002.com
Comme vous pouvez le voir, ce ver se propage à travers un lien WEB. L'internaute doit cliquer sur le lien et executer le fichier pour infecter son ordinateur.
Question avant de cliquer : les contacts avec lesquels vous discutez sont Webmasters? ils ont un site Web où ils peuvent y mettre en ligne des photos?
D'autre part, regardez le lien, il se termine par .us, les personnes avec qui vous communiquez sont américaines?
Mini Conclusion : Comme vous pouvez le constater les auteurs de malwares essayent de s'approcher d'une discussion réelle afin de vous faire exécuter le fichier infectieux.
Avant de télécharger ou accepter un fichier, posez-vous quelques questions !
Tout fichier téléchargé et exécuté peut-être infectieux ! Se poser la question AVANT de le télécharger est encore le dernier moment d'éviter l'infection.
Le téléchargement de logiciels
Les internautes ont tendance à installer tout et n'importe quoi sur leur PC.
Dès qu'un logiciel leur est proposé.. ils l'installent.. ce qui est une grave erreur.
Un autre aspect du social engineering est le fait de faire passer des programmes installant des malwares pour des programmes sains.
C'est notamment le cas de l'infection Magic.Control qui s'installe via des programmes piégés.
Voir la liste de la page.
Une fois installée, l'infection ouvre des popups de pub à tout va.
Voici une capture du site WEB..
Comme vous pouvez le constater, difficile de dire que c'est un programme piégé.
La confusion est donc totale.
Les faux codecs/rogues et fausses alertes
Une autre utilisation du social engineering, toujours dans le but de semer la confusion est.. lorsque vous surfez sur des sites pornographiques est de vous faire télécharger un codec vidéo afin de pouvoir visualiser des vidéos pornographiques.
On vous dit qu'il est necessaire d'installer un codec pour pouvoir visualiser ces vidéos.
L'installation du codec.. n'est en fait que l'installation d'une infection qui ajoute une icone d'alerte à côté de l'horloge vous indiquant que votre ordinateur est infecté.
Les alertes sont accompagnées de propositions de téléchargement pour des rogues.
Le but de ces infections est très simple, elles consistent à faire peur à l'internaute, via des alertes, modifications du fond d'écran (en rouge ou avec des panneaux rouges) tout en proposant de télécharger de faux antispywares qui sont en faites des rogues.
Ces rogues une fois installé vont scanner l'ordinateur, ils afficheront eux aussi des alertes disant que l'ordinateur est infecté, mais il faudra acheter la version commerciale pour nettoyer l'ordinateur (qu'il ne nettoyera pas d'ailleurs).
Le but est donc de vous arnaquer en vous faisant acheter un faux-antispyware.
Plus d'infos, voir :
- Rogues et alertes de sécurités.
- Alertes faux codecs.
- Les fausses alertes de sécurités.
- Exemple d'une infection affichant des alertes.
Mini Conclusion :
Pour ne pas vous faire avoir, deux conseils :
- Effectuer une recherche Google sur le nom du programme. Par exemple, une recherche Google MailSkinner renvoie ceci : http://www.google.fr/search?q=MailSkinn ... =firefox-a
Comme vous pouvez le voir, pas beau.. pas beau.
- Dans le doute, ne téléchargez pas des programmes depuis des sites inconnus et encore moins Emule !! Privilégiez les sites sûrs (telecharger.com, zebulon.fr etc..) même si un ami vous recommande le programme !!
- Eviter les sites pornographiques.. Pour ceux qui ne peuvent pas s'en passer.. Jetez un coup d'oeil au tuto Comment Surfer en toute sécurité depuis un CD Live GNU/Linux
Le phising
Le phising consiste à se faire passer pour une société (banque, société de jeux, société de paiment en ligne etc..) afin de récolter des informations, généralement votre numéro de CB.
Généralement, le phising est sous forme de mail. Les auteurs de malwares peuvent par exemple se faire passer pour une banque et demandant des informations personnelles (numéro de CB etc..) ou vous demandez de vous logguer en vous donnant un lien dans le mail qui n'est pas celui de la banque afin de récupérer vos idenfiants.
Voici un exemple de mail piégé, comme vous pouvez le voir, c'est très trompeur
Mini Conclusion : Seul recommandation simple à suivre - Ne donnez jamais des informations par mail !
Conclusion Générale
Comme vous avez pu le constater, les auteurs de malwares sont vraiment très vicieux pour tromper les internautes.
Plus la culture et les connaissances en informatique sont grandes, plus il sera facile aux auteurs de malwares de berner l'internaute.
C'est pour quoi, en plus de reprendre les recommandations des mini-conclusion, je vous conseilles de lire la page Securiser son ordinateur et connaître les menaces afin d'avoir une vision globale des menaces de la toile.
Un autre mot d'ordre, ne vous jetez pas sur les liens WEB et logiciels, soyez prudent.
