NOTE : La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article.
L'installation d'application/virus
Pour installer une application.. vous devez donc exécuter le programme d'installation.
L'installation est seulement possible si vous avez les droits administrateur.
Le schéma ci-dessous illustre ceci :
Les infections sont des programmes elles aussi, pour s'installer sur un système elles ont donc besoin "d'un programme d'installation".
Il existe donc un fichier contenant l'application, qui, une fois exécuté, va installer l'infection sur le système afin d'être rééxecuté au démarrage.
Le fichier contenant l'application se nomme le dropper (voir la page : Dropper & Payload : Explications.. une fois exécuté, il "drop" (du verbe to drop --> déposer) l'infection dans le système.
Souvent les deux sont confondus.
Le schéma ci-dessous montre un dropper téléchargé depuis internet.. S'il est exécuté avec les droits "Administrateur" et si l'antivirus ne détecte rien, Windows est infecté.
Ceci montre plusieurs choses :
On voit tout de suite que le maillon faible est le dropper. Si le programme d'installation d'une application est endommagé ou s'il ne fonctionne pas, l'installation de l'application est impossible. Pour le dropper, c'est la même chose, s'il est détecté par l'antivirus, c'est gagné puisque l'infection ne pourra pas s'installer.. malheureusement ce n'est pas aussi facile.
Si le dropper n'est pas exécuté avec les droits "Administrateur".. l'installation dans le système est impossible. Malheureusement par défaut sous Windows, l'utilisateur est "Administrateur", par manque de connaissances et par facilité.. l'utilisateur tourne et surfe tout le temps avec les droits administrateurs.
Ceci montre aussi qu'ouvrir n'importe quel fichier qui vous tombe sous la main, sans vérifier la source, rend l'infection de votre Windows vraiment super facile. Certains diront "pas grave mon antivirus me protège" : oui et non... ! Les droppers utilisent de nombreuses méthodes pour que les antivirusne détectent pas l'infection (cryptage, package etc..), plusieurs milliers de nouveaux droppers (et donc d'infections) sortent par jour afin de noyer les éditeurs de logiciels de sécurité et s'assurer de l'infection des Windows. Pour plus d'informations sur les Antivirus VS droppers, je vous invite à suivre cet article un point sur les antivirus
l'antivirus reste le dernier rempart, compte tenu du fait que les utilisateurs ne font généralement pas attention à ce qu'ils téléchargent et ont souvent de mauvaises habitudes (utiliser des cracks, sites pornographiques), on peut voir que l'antivirus reste le dernier maillon dans le système pour prévenir l'installation d'une infection. Malheureusement, les éditeurs de logiciels de sécurité ont de plus en plus de mal à contenir les auteurs de virus/malwares ce qui vous rend de plus en plus vulnérable.
Les failles de sécurité à la rescousse des hackers
Les exploits sur les sites WEB
Vous allez voir aussi que même en faisant très attention.. la simple visite d'un site ou la visualisation d'une vidéo même sur des sites reconnus (Youtube, daylymotion etc..) peuvent mener à l'infection.
Imaginez que le téléchargement et l'installation de l'infection soit automatique sans intervention humaine. Cela fait peur non ? et bien c'est possible via les failles de sécurité!
Lorsque vous surfez ou visualisez des vidéos, écoutez des mp3 etc.. vous utilisez des logiciels (navigateur WEB, lecteur audio/vidéo etc..).
Régulièrement des failles de sécurité sont publiées sur ces logiciels.. les auteurs de virus/malwares sautent alors sur l'occasion pour exploiter ces failles et tendre des pièges aux internautes afin d'infecter leurs Windows.
Dans le cas d'une faille sur le navigateur WEB (ou un de ses composants Java, Flash, Adobe Reader etc..), le piège est très facile à tendre :
1/ L'internaute se connecte via un site piégé.. pour attirer l'utilisateur.. l'auteur de virus/malwares va bien sûr créer un site sur un thème à la mode pour attirer un maximum de monde afin d'infecter un maximum de Windows (cracks, site pornographique, émoticons, jeux etc..).
L'auteur de malware peut aussi hacker des sites WEB existants qui ont déjà une bonne audience. Ce dernier insère une iframe qui va faire télécharger le contenu néfaste lors de la visite de la page (voir : Les Exploits sur les sites WEB piégés, exemple contret: IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ?)
2/ L'internaute avec son navigateur non à jour se connecte sur le site, et ce faisant télécharge la page piégée, l'exécution du dropper se fait alors automatiquement en exploitant la faille du navigateur WEB.
Dans le cas où l'antivirus détecte le dropper (ou le fichier exploit).. l'internaute recevra une simple alerte de son antivirus ne se doutant pas que son navigateur WEB n'est pas à jour et qu'il est vulnérable.
Dans le cas où l'antivirus ne voit rien, la machine est infectée.
Un exploit WEB en vidéo :
Le schéma ci-dessous illustre ceci. La page du forum Le danger des cracks ! montre aussi une infection depuis un site de cracks exploitant une faille de sécurité.. vous pouvez voir comment l'infection du système est fulgurante.
En général, les pirates hackent des sites WEB légitimes pour rediriger vers ces exploits kits, mais depuis quelques années, il est plus lucratif de proposer des publicités malicieuses, cela permet de toucher beaucoup plus d'internautes.
On appelle cela des malvertising.
L'exploitation de failles de sécurité ne s'arrête pas au niveau des navigateurs WEB.. à l'heure où les sites de vidéos en ligne sont à la mode.. les failles sur les lecteurs vidéos/audios sont une aubaine pour les auteurs de virus/malwares. La visualisation d'une vidéo piégée sur un logiciel vidéo/audio vulnérable peut aussi permettre l'infection d'un Windows. Ces failles sont intéressantes pour les auteurs de malwares car il leur suffit de "pondre" des sites piégés (Ce qu'ils font très bien) pour infecter des Windows.
Les vulnérabilités ne se trouvent pas que sur le navigateur WEB mais aussi sur les composants additionnels comme java ou flash que les utilisateurs ne mettent que rarement à jour.
Encore une fois et toujours, maintenez Windows et TOUS vos logiciels à jour (voir la page : Tester la vulnérabilité de votre PC
Les failles sur le système d'exploitation
D'autres failles plus dangereuses sont aussi très attendues par les auteurs de virus/malwares, ce sont les failles de sécurité à distance sur le système d'exploitation. Celles-ci permettent la création de vers qui se propagent automatiquement d'un Windows à l'autre sur la toile.
Pour cela, la faille doit être exploitable à distance, c'est à dire par simple connexion sur Windows. Les Windows infectés envoient alors des requêtes régulières vers de nouveaux Windows afin de les infecter. L'infection se propage alors rapidement et automatiquement.
C'est par exemple le cas des vers Blaster/Sasser qui ont à leur époque fait beaucoup parler d'eux.
Il faut savoir que ces infections sont encore actives puisque beaucoup d'internautes qui se connectent avec des Windows non à jour (Windows 2000 et Windows XP SP1) sans protection. D'où le fait qu'il faut, si vous réinstallez ces versions de Windows, effectuer quelques préparations afin de se connecter à internet après l'installation de Windows munis d'un pare-feu, pour plus d'informations, vous pouvez vous reporter à l'article Préparer le formatage de son Windows
Ce schéma montre la propagation des vers sur internet.
et si on vous faisait exécuter les infections ?
Une autre solution consiste à vous faire télécharger les programmes infectieux.
Vous allez me dire "haha je suis aussi bête pour me faire avoir" ... et bien ça reste à voir!
Les auteurs de virus/malwares font appel au le social engineering pour vous faire télécharger les programmes piégés et croyez moi, ça fonctionne...
Par exemple, cela peux aller à de faux mails, exemple en français : [Zbot/Upatre] SPAM malicieux en français, plus globablement pour les menaces par email, se reporter au dossier : Les virus par email
Le fichier en pièce jointe est souvent un fichier zip, ce dernier aura l'icone du lecteur PDF ou d'une image avec une double extension .exe.pdf ou .exe.jpg
Comme Windows masque les extensions, l'utilisateur verra donc un fichier PDF avec l'extension .pdf et croira que c'est bien un fichier PDF alors que c'est un exécutable.
Les documents Word peuvent aussi être utilisés dans des emails malicieux : Campagnes de courriels piégés avec Word/Excel malicieux.
Autre exemple, avec de faux cracks : Danger crack et keygen
De fausses sites de cracks ou des vidéos truquées sur Youtube/Dailymotion qui conduisent à des infections, souvent de type RAT : Les Rats, Bifrose : Botnet pour les nuls
Un Trojan RAT en vidéo :
Enfin dernièrement, des logiciels repackés contenant des logiciels additifs qui sont souvent des adwares, parfois même via de fausses mises à jour Java/Flash.
Lire Les PUPs/LPIs : Les PUPs/Adwares et programmes parasites.
Notamment InstallCore diffusé par les moteurs de recherche Bing et Yahoo! ou certains "grands" sites :
Conclusion et conseils
Cette page démontre trois choses :
- Surfer sur des sites non recommandés, télécharger des cracks sur des sites ou des réseaux P2P vous conduira tôt ou tard à l'infection. Voir l'article Prévention : Logiciels et sources de téléchargements
- Surfer avec les droits administrateurs vous rend très vulnérable sur internet. Pour pallier à ceci, vous pouvez :
- lire l'article Pourquoi ne pas surfer avec les droits administrateurs? et la La gestion des utilisateurs - lire l'article Surfer de manière sécurisée! qui vous permet de surfer depuis un système d'exploitation autre que Windows afin de ne pas l'infecter.
Plus globalement, vous pouvez lire les pages :
- les virus informatiques
- Les botnets : réseau de machines infectées
- Comment vérifier si ordinateur a été hacké ou piraté ?
- Pourquoi et comment je fais infecter ?
- La sécurité de son Windows, c'est quoi ?
- Infections VS Antivirus
- Sécuriser son Windows et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.
- 25 ans de malwares et mise à jour du Projet AntiMalwares
- Envoyé Spécial : Cybercriminalité
- Vidéo : La guerre invisible (Arte) - (botnet, cyberguerre etc)
Plus globalement : Comment sécuriser son Windows ?