1. FAILLE JPEG
Le 14 septembre 2004, une faille de sévérité critique touchant Windows XP Service Pack 1 a été découverte.
Cette faille permettait l'exécution de code hostile via un buffer-overflow au travers de la visualisation d'images JPEG sur Internet, via son navigateur Internet. L'exploitation la plus courante de cette vulnérabilité par leurs auteurs permettait le téléchargement d'un fichier sans l'intervention de l'utilisateur/victime.
Très vite des outils ont été disponibles sur Internet pour permettre d'automatiser et de simplifier les attaques de ce type.
Il est à noter que cette vulnérabilité n'est pas liée au format JPEG mais à des librairies graphiques buggées au sein de Windows qui permettent la manipulation des images. C'est en exploitant ce bug qu'un buffer-overflow pouvait être causé.
2. ADWARE ET SPYWARE
Ces deux types de softwares sont en fait des logiciels espions :
- L'adware a pour but de produire un contenu publicitaire,
- Le spyware, également connu sous le nom de logiciel espion, a pour but d'espionner l'utilisateur.
La majorité de ces programmes tentent d'impacter le système d'exploitation Windows et le navigateur Internet Explorer.
Ces programmes, souvent à but commercial et lucratif, sont indésirables et peuvent s'installer sans le consentement de l'utilisateur (surtout dans le cas de spywares). Leur rôle varie en fonction des types de programmes mais ils ont tous un but lucratif. Le détournement de ces outils permet d'effectuer des actions illégitimes, à but malicieux, illégal ou mafieux,.sans l'accord de l'utilisateur bien entendu. Les informations recueillies (sur les habitudes des internautes, les sites visités voire des informations plus personnelles et confidentielles encore) sont alors revendues à des entreprises tierces.
L'année 2004 a vu le taux de croissance des spywares fortement augmenter. À titre de comparaison, il a fallu 20 ans pour voir 1500 virus dans la nature alors qu'en moins de 2 ans, il a été dénombré plus de 7000 adwares et autres spywares en circulation, soit un taux de croissance cinquante fois plus élevé pour les adwares et spywares que pour les virus.
Il faut dire que les adwares et spywares sont conçus dans un but mercantile. Leurs concepteurs étant très intéressés par l'appât financier ils ne perdent pas de temps en conception.
3. ROBOTS
Les robots, ou bots, sont des petits programmes qui s'implantent sur l'ordinateur des victimes (comme peuvent le faire un virus ou un ver, par exemple en se propageant par la messagerie électronique) afin que ceux-ci puissent être téléguidés par le créateur du robot. Les machines infectées par des robots sont généralement utilisées pour faire des actions illicites sans pour autant révéler l'identité de l'auteur de ces actions malveillantes.
Une fois installé, le robot tente d'établir une connexion vers un serveur IRC de dialogue en direct sur Internet puis il attend et reçoit les instructions de son "créateur".
Son créateur lui transmet ses ordres, les commandes à exécuter sur la machine infectée par l'intermédiaire du même serveur IRC.
Les actions les plus souvent exploitées sont :
- envoyer du courrier et collecter des adresses e-mails,
- obtenir les clés de certains logiciels et CD de jeux,
- diffuser et exécuter des proxies pour permettre au commanditaire de lancer des attaques à partir des machines infectées et non pas de sa propre machine pour ne pas être "repéré" par les autorités. Ces proxies sont également utilisés en qualité de serveur relais de messagerie pour envoyer des spams et des phishing,
- diffuser et piloter des outils d'attaques distribuées (DDOS ) ou d'autres types d'attaques réseau ou applicatives de grande ampleur en exploitant la puissance de plusieurs machines au lieu d'une seule, grâce à la constitution d'un réseau de robots (voir ci-après),
- capturer le trafic pour détecter des mots de passe et autres informations confidentielles (codes d'accès à des services, comptes bancaires, etc.),
-
- terminer des applications (anti virus, firewall) pour permettre d'accroître son influence sur la machine victime en empêchant celle-ci de se défendre et d'éradiquer le robot et autres malwares de la machine,
- voler des informations confidentielles stockées sur le disque dur de l'ordinateur de la victime,
- etc.
On découvre de 25 à 50 nouveaux bots par jour, la liste des bots existant n'a de cesse de s'allonger. Les plus connus sont :
- Sdbot,
- Agobot,
- Gaobot,
- Spybot,
- Polybot,
- Kwbot,
- Phatbot.
Nous avons vu qu'une des principales motivations du déploiement de robots à grande échelle réside dans l'appât du gain. En effet, les machines infectées une fois connectées à Internet forment un réseau parallèle de machines connectées sous les ordres d'une seule personne (ou d'une organisation). Celle-ci en prenant le contrôle de ces machines peut en faire ce qu'elle veut et peut donc profiter de la puissance de multiples machines connectées entre elles pour lancer des attaques ou effectuer des actes illégaux de grande ampleur tels que des :
- campagnes massives de spam ou de phishing,
- campagnes d'attaques réseaux ou applicatives distribuées ou non,
- campagnes de vols d'informations confidentielles.
Celles-ci sont très difficiles voire impossibles à arrêter par les autorités puisque venant de centaines de sources différentes et ayant la caractéristique de ne pas constituer un réseau centralisé ou disposant d'un nœud central qui, une fois stoppé, permettrait d'éteindre tous les robots.
Le déploiement de réseaux est également à but lucratif. Leurs créateurs peuvent également louer le service de leur réseau à des entreprises malveillantes :
- Un accès non exclusif à un bot vaut 0.10$,
- Un accès exclusif à un bot vaut 0.25$,
- Un réseau de 500 bots peut valoir jusqu'à 500$,
- La location de 2000 proxies par jour pour lancer du spam vaut 100$ la semaine,
- Les attaques par DDOS se négocient entre 50$ et 1000$,
- Obtenir quotidiennement une liste de proxies ouverts coûte 50$ par mois.
Ces chiffres relayés dans le rapport du CLUSIF mettent en évidence l'organisation et le but lucratif qui peut être tiré de ces réseaux de robots.
|
