Kaspersky Lab publie un article intitulé "Téléchargement à la dérobée. Le Net pris d'assaut"

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroquerie, botnet, spam, phishing, etc), publie un article de Ryan Naraine, spécialiste de la sécurité des données chez Kaspersky Lab, intitulé « Téléchargements à la dérobée. Le Net pris d'assaut ». Cet article traite du téléchargement d'applications malveillantes depuis des sites Internet à l'insu de l'utilisateur. C'est ce qu'on appelle les téléchargements à la dérobée. L'article présente en détails les techniques employées pour attirer les utilisateurs vers les sites infectés, les technologies exploitées pour organiser les attaques et la manière dont les téléchargements à la dérobée permettent aux individus mal intentionnés de voler les données personnelles et de s'emparer des ordinateurs des victimes.

Les cybercriminels essaient d'utiliser Internet au maximum pour diffuser les virus, les logiciels espion, les chevaux de Troie, les outils de dissimulation d'activité, les faux programmes de protection des données et les utilitaires de création de réseaux de zombies. L'insertion d'un programme malveillant depuis un site Internet grâce aux téléchargements à la dérobée permet d'infecter les ordinateurs sans que les utilisateurs se doutent de quoi que ce soit et, par conséquent, d'obtenir un taux de réussite plus élevé pour les attaques. C'est précisément pour cette raison que la méthode est très populaire chez les cybercriminels : selon les données recueillies par ScanSafe, 74 % des programmes malveillants découverts au cours du troisième semestre 2008 avaient été placés sur des sites Internet infectés.

L'attaque à la dérobée se déroule en deux étapes. Tout d'abord, l'utilisateur est attiré, à l'aide de messages non sollicités diffusés par courrier électronique ou dans des groupes de discussion sur Internet, vers un site contenant un code qui réoriente la requête vers un autre serveur où se trouve le code d'exploitation.

Lors des attaques à la dérobée, les individus mal intentionnés utilisent des ensembles de codes d'exploitation vendus sur les sites illégaux de pirates. Les codes d'exploitation proposés peuvent viser des vulnérabilités du navigateur, ses modules externes non protégés, des vulnérabilités des éléments d'administration Active X ou des failles dans la protection d'une application tierce. Le serveur qui héberge les groupes de code d'exploitation peut utiliser les données de l'en-tête de la requête HTTP du navigateur du visiteur afin de définir le type de navigateur et sa version, sans oublier le système d'exploitation utilisé. Dès que le système d'exploitation de la victime a été identifié, le code d'exploitation correspondant est activé/commence à agir. Dans certains cas, plusieurs codes d'activation peuvent être activés simultanément et tenter d'infecter l'ordinateur à l'aide de vulnérabilités dans les applications d'éditeurs tiers.

Si l'attaque réussit, un cheval de Troie permettant aux individus mal intentionnés de prendre les commandes de l'ordinateur est installé à l'insu de l'utilisateur. Par la suite, ces individus mal intentionnés pourront accéder aux données confidentielles sauvegardées sur cet ordinateur ou organiser des attaques par déni de service.

Avant, les individus mal intentionnés créaient des sites malveillants mais ces derniers temps, les pirates ont commencé à infecter des ressources Internet légitimes en y plaçant des codes d'exploitation de script ou des codes pour rediriger les requêtes, ce qui rend les attaques via le navigateur encore plus dangereuses.

Les experts en sécurité informatique évoquent l'ampleur de l'épidémie d'attaques à la dérobée. Au cours des dix derniers mois de 2008, l'équipe Google de lutte contre les programmes malveillants a analysé des milliards de pages à la recherche d’activité malveillante et a découvert plus de trois millions d'URL où se trouvaient des codes d'exploitation utilisant les téléchargements à la dérobée. L'épidémie de téléchargements à la dérobée s'explique avant tout par le fait que de nombreux ordinateurs n'utilisent pas la version actualisée de Windows alors que la majorité des codes d'exploitation utilise des vulnérabilités connues pour lesquelles il existe des correctifs.

En guise de conclusion à l'article, l'auteur fournit quelques conseils pour éviter les attaques réalisées à l'aide de téléchargements à la dérobée. La meilleure protection contre les téléchargements à la dérobée consiste à installer en temps opportuns les mises à jour diffusées par les éditeurs de logiciels. Il convient également d'utiliser des navigateurs Internet qui bloquent les sites d'hameçonnage ou les sites malveillants (Internet Explorer, Mozilla Firefox et Opera). De plus, il faut absolument activer le pare-feu, installer un logiciel antivirus et maintenir l'actualité des bases antivirus. Il faut également que le logiciel antivirus analyse le trafic Internet afin de pouvoir découvrir à temps les tentatives d'attaque à la dérobée.

La version complète de cet article est disponible sur le site d'analyse et d'informations Viruslist.fr

Kaspersky Lab autorise la réimpression de matériel pour autant que l'ensemble des données relatives à l'auteur (auteur, société, source) soit cité. Toute publication d'un texte retravaillé devra faire l'objet de l'accord préalable du service d'informations de la société.