Epidémie de Spyware Comment détecter du code malveillant sous les apparences de la «légalité»

Transcription

1 Epidémie de Spyware Comment détecter du code malveillant sous les apparences de la «légalité»

2 Sommaire EPIDEMIE DE SPYWARE COMMENT DETECTER DU CODE MALVEILLANT SOUS LES APPARENCES DE LA «LEGALITE»...1 SOMMAIRE... 2 SECTION 1 INITIATION AU SPYWARE... 4 Présentation générale... 4 Une véritable menace... 5 Les dangers de la collecte d informations... 5 Adware, spyware et entre les deux... 6 Les cookies sont-ils du spyware?... 7 SECTION 2 LES ENJEUX DE SECURITE... 8 Failles de sécurité... 8 Espionnage du navigateur... 8 Vol d informations... 8 Risques de divulgation... 9 Journalisation des saisies... 9 Numéroteurs pirates («Dialers»)... 9 Mise à jour automatique du code... 9 Propres failles de sécurité des spyware... 9 SECTION 3 ASPECTS TECHNIQUES DU SPYWARE D où vient-il?...10 Les signes d infection...11 Au cœur du système...12 Modes opératoires...12 Collecte d informations...12 Publicité...13 SECTION 4 LES ENJEUX DE BLOCAGE DU SPYWARE Enjeux juridiques...15 Solutions existantes et problèmes associés...15 Législation...16 Solutions bureautiques...16 Solutions passerelle...16 SECTION 5 BLOCAGE DU SPYWARE AVEC ESAFE Présentation générale de la défense anti-spyware d esafe...17 Les quatre couches de blocage d esafe...17 Couche 1 - Blocage des téléchargements de programmes de spyware...17 Couche 2 - Blocage des fiches d identité spyware...18 Couche 3 - Blocage des signatures spyware...18 Couche 4 - Blocage des communications spyware...18 Mises à jour automatiques...19 SYNTHESE Aladdin Knowledge Systems. Tous droits réservés 2-22

3 ANNEXE - TECHNOLOGIES ESAFE Aladdin Knowledge Systems. Tous droits réservés 3-22

4 Section 1 Initiation au spyware Présentation générale Selon une récente étude conduite par National Cyber Security Alliance et America Online, 80 % des ordinateurs domestiques seraient infectés par en moyenne 93 types différents de logiciels espions généralement dénommés «spyware». On estime qu à tout moment, environ 30 % des ordinateurs personnels (dont les ordinateurs domestiques) sont infectés par au moins un virus informatique, et que plus de 70 % des s sont en réalité des «pourriels» - ou «spam». S ils prennent généralement des mesures pour se protéger des virus et du spam, les utilisateurs et les entreprises négligent généralement les logiciels espions, par nature plus discrets. En effet, les virus et les spams constituent une menace connue, détectable et facile à identifier alors que les logiciels espions sont plus insidieux et peuvent revêtir les apparences de la légalité pour permettre à leurs éditeurs de commercialiser du spyware sous une vitrine légale activité au demeurant très lucrative tout comme la diffusion de pourriels. Les logiciels espions constituent un problème bien plus préoccupant que l on ne croit : 90 % des ordinateurs Windows sont infectés par du spyware % des ordinateurs domestiques sont infectés par du spyware % des détenteurs de systèmes infectés l ignorent % des propriétaires d ordinateurs pensent être protégés contre les attaques en ligne. 2 Seulement 24 % des propriétaires d ordinateurs savent réellement comment traiter le problème du spyware % des utilisateurs ne disposent pas de logiciel antivirus à jour % des utilisateurs de haut débit n utilisent pas de parefeu. La proportion tombe à 7 % pour les utilisateurs de connexions RTC Selon l étude Dell du sept Selon l étude de National Cyber Security Alliance et d America Online du 25 oct Historique de l Adware / Spyware Premiers «Freeware» Des applications réellement gratuites et sans surcoût disponibles au téléchargement Apparition du «Shareware» Des applications gratuites pour une utilisation non-commerciale, contenant généralement des écrans et demandes d enregistrement répétitifs, des compteurs d activations et autres limitations fonctionnelles Début de la collecte d informations Apparition de modules de question réponse et de reporting. Les applications demeurent relativement sûres et les systèmes de collecte d informations sont principalement utilisés pour contrôler la base installée et collecter des informations de débogage Naissance de l «Adware» Face à la baisse des revenus du «shareware» et à l apparition de nouveaux acteurs, l industrie développe un nouveau modèle finançant l utilisation des logiciels par l affichage de bannières publicitaires Apparition des premiers éléments de «Spyware» Obtention «gratuite» de logiciels contre la fourniture et la collecte d informations sur les habitudes de navigation. L utilisateur peut alors choisir de s enregistrer pour disposer d une version «normale» ou «payer» en étant soumis à des bannières, des fenêtres publicitaires, des liens, etc. Au fil du temps, ces méthodes sont devenues de plus en plus agressives et envahissantes Le temps du «pur Spyware» Sans liaison avec le droit d utilisation d un logiciel gratuit : infection des visiteurs de sites Web, installations ActiveX trompeuses, piratage de navigateur, modules de numérotation surtaxée (services pornographiques), etc Aladdin Knowledge Systems. Tous droits réservés 4-22

5 Une véritable menace Beaucoup considèrent que les applications qui affichent des fenêtres publicitaires de temps à autre ne sont pas inquiétantes, mais, au pire, incommodantes. Or, les spyware sont bien plus insidieux qu on ne le croit ; capables d accomplir, plusieurs ou toutes les actions suivantes : Collecter des informations privées/personnelles Accéder à des informations protégées ou confidentielles, des mots de passe, des numéros de compte bancaire ou de sécurité sociale, des correspondances privées/professionnelles, des informations de carte de crédit, etc. Compromettre irrémédiablement la stabilité système Affecter ou compromettre le fonctionnement d applications existantes Ouvrir un accès aux systèmes infectés Permettre à un utilisateur malveillant de prendre le contrôle d un système infecté Les dangers de la collecte d informations En théorie, l idée d utiliser une application logicielle comme entrepôt central de données personnelles pour faciliter les activités en ligne semble séduisante. Ceci permet à l utilisateur de bénéficier de sites Web personnalisés et de s épargner de fastidieux formulaires lorsqu il accède aux informations, réalise des achats ou conclut des affaires. Mais dans la pratique, le programme de collecte d informations sert essentiellement à optimiser les profits et à cibler les efforts marketing des sponsors commerciaux. Si quelques applications sont réellement utiles et exclusivement utilisées pour l usage prévu, de nombreuses autres dissimulent leur vraie nature à l aide de divers artifices et utilisent des informations personnelles généralement collectées à l insu des utilisateurs. Les utilisateurs d ordinateurs domestiques sont quotidiennement exposés à la menace du spyware sur nombre des sites Web qu ils visitent. Tout logiciel installé sur le système peut être un logiciel espion si l utilisateur ne prend pas la peine de lire le CLUF (Contrat de licence utilisateur final). Malheureusement, la plupart ne le font pas... Les utilisateurs peuvent trouver utile le fait qu une application enregistre leurs données personnelles et informations de carte bancaire ; mais peuvent-ils réellement savoir comment ces informations sont utilisées? Qu est-ce qu un éditeur de document «libre»? Qui, à part l utilisateur, accède aux documents installés sur le système? Avec 80 % de systèmes infectés par des dizaines de composants Rapport du cabinet IDC Le spyware un enjeu majeur de sécurité «Désormais, des composants de spyware extrêmement malveillants peuvent franchir les pare-feux d entreprise,» déclare Brian Burke, Directeur de recherche sur les produits de sécurité d IDC. «Ces programmes peuvent envahir les Intranets d entreprise sous couvert du trafic licite et causer par la suite des dommages considérables.»' Enterprise IT Planet: Security. Novembre 2004 de spyware, la réponse à ces questions est que le spyware peut envoyer ces informations à n importe qui s il est programmé pour cela. En entreprise, ce problème est encore plus grave car les utilisateurs victimes de spyware peuvent manipuler des informations anodines (par exemple sur le système de gestion des parkings) mais aussi des documents commerciaux ou financiers stratégiques ; de telles information revêtent généralement une grande valeur et leur perte peut s avérer très dommageable surtout si elles passent entre de mauvaises mains... Toute «fuite» potentielle d informations doit donc être considérée avec le plus grand sérieux. En d autres 2004 Aladdin Knowledge Systems. Tous droits réservés 5-22

6 termes, les entreprises doivent prévenir tout accès de logiciels espions à leur environnement pour s assurer qu aucune information ne quitte le réseau sans autorisation préalable. Il est courant qu un utilisateur ait confiance en un logiciel espion et pense que les informations fournies ne seront pas utilisées à des fins illégitimes. Même si cette confiance est parfois justifiée, il convient d envisager les éventualités suivantes : le serveur hébergeant les informations peut faire l objet d une attaque ; les opérateurs du logiciel espion peuvent décider de partager leur base de données avec un tiers ; l éditeur de spyware peut être vendu ou faire faillite, etc. En synthèse, dès que des informations quittent le système d un utilisateur de manière incontrôlée, il est impossible de prévoir comment et par qui elles seront utilisées. Adware, spyware et entre les deux Les logiciels espions et les logiciels publicitaires («adware»), tout comme les virus, s installent automatiquement sans intervention ou après une intervention minime, de l utilisateur. Bien que ces applications puissent être «légales», elles sont généralement installées à l insu de l utilisateur et sans son consentement. Un utilisateur d entreprise peut par exemple télécharger une application «gratuite» sur Internet et installer ainsi sans le savoir un composant de spyware ; ce terme est communément utilisé pour désigner les logiciels espions et publicitaires et sera utilisé dans ce document dans cette acceptation pour plus de commodité. Un logiciel publicitaire est un programme utilisant une technique de marketing ciblé. Il permet de contrôler les activités Internet de l utilisateur et d afficher des publicités en fonction de ces informations. Les logiciels publicitaires sont connectés à des serveurs distants pour télécharger de nouvelles publicités et récupérer leurs mises à jour logicielles. Cependant, les informations concernant les utilisateurs et leur comportement en ligne ne sont pas partagées ni transmises à ces serveurs. Les logiciels publicitaires sont similaires aux logiciels espions à de nombreux égards mais sont généralement considérés comme plus «moraux». Tout comme les logiciels publicitaires, les applications de spyware contrôlent les activités Internet des utilisateurs, les sites les plus fréquemment visités, les habitudes de navigation et les mots saisis dans les moteurs de recherche. La différence essentielle entre ces deux types de programmes est que les logiciels espions relaient ces informations à une entité tierce. Cette entité affiche ensuite des fenêtres publicitaires ou redirige la recherche de l utilisateur vers des pages publicitaires liées au terme de recherche utilisé. Certains programmes de spyware vont même jusqu à détourner le navigateur par défaut du système infecté. Ce type de programme peut permettre à l éditeur de «façonner» l activité Internet de l utilisateur comme il l entend. Exemple de «Thiefware» sur Informations complémentaires sur Aladdin Knowledge Systems. Tous droits réservés 6-22

7 Une variante désignée sous le terme «thiefware» (ou programme «escroc») consiste à ajouter des hyperliens contextuels au contenu des sites Web visités. Les informations collectées par les programmes de spyware et envoyées à des serveurs distants peuvent être multiples : activités Internet de l utilisateur, informations personnelles, voire même, fichiers et documents confidentiels hébergés sur le système infecté. En forte croissance, les logiciels espions constituent aujourd hui une question de sécurité cruciale pour de nombreuses entreprises. Certaines considèrent même que ce problème est à lui seul la plus grande menace à laquelle elles doivent faire face. Le spyware est aujourd hui considéré comme une pratique commerciale malveillante, ouvertement développée et revêtue, au mieux, d une apparente légalité. Les cookies sont-ils du spyware? Les cookies sont communément utilisés dans la navigation Internet ; ils permettent aux opérateurs de sites Web de les personnaliser pour chaque utilisateur. Les cookies indiquent notamment l adresse IP de l utilisateur et par conséquent sa localisation dans le monde. Or, ces informations peuvent être obtenues par d autres moyens légaux et pas uniquement par le biais des cookies. Certains prétendent que les cookies seraient pourtant une forme de spyware. Ils ne sont pourtant pas capables de collecter des informations personnelles sur les ordinateurs des utilisateurs et n ont donc pas de pouvoir réel sur la vie privée des utilisateurs, c est pourquoi, ils ne nous semblent pas relever au sens strict de l univers du spyware. Aujourd hui, la plupart des sites Web utilisent des cookies qui enregistrent des informations relatives aux préférences de l utilisateur ; sont-ils pour autant des vecteurs de spyware? Bien que certains outils anti-spyware identifient de nombreux cookies comme du spyware, ils ne font généralement que personnaliser des publicités Web en fonction des habitudes de navigation de l utilisateur (à l aide de cookies collectés sur d autres sites). Certaines applications identifient des cookies comme spyware Le sont-ils véritablement? Les cookies se différentient également du spyware dans la mesure où ils ne nécessitent pas d installation et sont donc relativement invisibles. En outre, il est très facile de s en défaire en utilisant le menu de suppression du navigateur ou de les bloquer à l aide des options de sécurité du navigateur qui peut être configuré de telle sorte que l utilisateur soit invité à accepter ou à rejeter certains cookies lors de la navigation ou que seuls les cookies de certains sites prédéfinis soient acceptés. Le problème du contrôle des cookies est leur multitude sur le Web. Même après une nouvelle installation du système d exploitation, et même si l utilisateur ne visite qu un nombre restreint de sites Web, de multiples cookies collectent déjà des informations sur le système. Nettoyer les cookies peut ponctuellement s avérer utile, non parce qu ils sont dangereux ou susceptibles d envahir le système, mais simplement pour libérer de l espace disque et de la mémoire Aladdin Knowledge Systems. Tous droits réservés 7-22

8 Section 2 Les enjeux de sécurité De nombreux problèmes de sécurité sont liés à l introduction de logiciels espions. Ils se posent bien entendu avec d autant plus d acuité en cas d attaques multiples et combinées susceptibles de très sérieusement pénaliser les performances des réseaux d entreprise. Failles de sécurité Certains programmes de spyware sont capables de désactiver les systèmes de sécurité tels que les pare-feux. Or toute atteinte, même partielle, à ces programmes peut exposer à des risques substantiels. Un pare-feu désactivé permet en effet à des pirates de prendre le contrôle du système compromis ou de le rendre vulnérable à des virus utilisant des points d entrée Web. S ajoute à cela le fait que de nombreux programmes de spyware peuvent être mis à jour à partir d un serveur distant par une personne inconnue de l utilisateur, ce qui augmente les risques d attaques ultérieures de portée inconnue. Vous trouverez cidessous de plus amples informations sur la capacité des logiciels espions à lancer des mises à jour automatiques. Espionnage du navigateur Généralement considéré comme une nuisance plutôt qu un véritable problème de sécurité, le suivi des activités de navigation peut s avérer dangereux pour les réseaux d entreprise. Un navigateur détourné par un programme de spyware peut en effet envoyer des journaux d enregistrement des pages Web visitées à son éditeur... Si la plupart des sites Web sont d importance secondaire, certains peuvent contenir des informations confidentielles. Des technologies de recoupement et d exploration des données peuvent également être appliquées aux informations collectées pour établir des profils de contenus Internet, Intranet et Extranet consultés par adresse IP qui peuvent ensuite être facilement reliés à l entreprise voire mener directement aux systèmes d information de gestion. Ces informations peuvent ensuite être compilées dans des rapports fournissant des données stratégiques confidentielles. Vol d informations Les logiciels espions permettent donc de collecter les habitudes de navigation, mais également de rechercher des documents «utiles» sur le système infecté. Les postes de travail d entreprise contiennent des informations sensibles sur l entreprise, ses salariés, etc Aladdin Knowledge Systems. Tous droits réservés 8-22

9 et les détournements peuvent donc porter sur de multiples types de données : informations d identification personnelle, code source, plans prévisionnels, informations financières, noms d utilisateurs, mots de passe, documents protégés ou d autres éléments de propriété intellectuelle. Risques de divulgation Le détournement peut également prendre une autre forme lorsqu il concerne des informations confidentielles non destinées à être divulguées au public. Si elles atterrissent dans de mauvaises mains, ces informations peuvent en effet porter préjudice à l entreprise de différentes manières : l embarrasser, la discréditer, lui extorquer des fonds, causer des pertes financières, ou pire, lui faire perdre toute crédibilité auprès de sa clientèle. Journalisation des saisies Comme nous l avons mentionné plus haut, l enregistrement des saisies clavier constitue une autre forme de détournement. Les systèmes de journalisation opèrent en tâche de fond et permettent de collecter pratiquement tout ce qui est saisi. Numéroteurs pirates («Dialers») Certains programmes de spyware appelés «dialers» ou «porn dialers» installent de nouvelles liaisons modem pour connecter le système à des services payants ou des numéros internationaux. Bien que de nombreux utilisateurs soient passés aux connections Internet à haut débit, certains disposent de modems toujours branchés à des fins de sauvegarde ou de télécopie ou tout simplement parce qu ils n ont pas pris la peine de les déconnecter. Les utilisateurs mobiles se connectent souvent par modem lorsqu ils sont en déplacement et certains programmes de spyware peuvent même désactiver de manière transparente des connexions existantes et les remplacer par leurs propres connexions. Mise à jour automatique du code L aspect sans doute le plus inquiétant du spyware est sa capacité à mettre à jour son propre code pour évoluer dans le temps sans perdre de sa «nocivité». Les personnes ou systèmes effectuant ces mises à jour peuvent techniquement télécharger et exécuter n importe quel type de code : malveillant, virus, porte dérobée,etc. En d autres termes, les logiciels espions peuvent être utilisés par leurs opérateurs pour prendre le contrôle d un système ou d un réseau. Ainsi, le programme Activity Monitor ouvre une porte dérobée dans les systèmes infectés et fournit à ses opérateurs des accès distants semblables à ceux de Microsoft Remote Desktop. Propres failles de sécurité des spyware Tout comme les autres programmes, les logiciels espions peuvent présenter des failles de programmation ou de sécurité ; il existe des exemples documentés de programmes de spyware défaillants ayant pour effet d exposer les systèmes à des piratages et attaques malveillantes dépassant les intentions originale de leurs créateurs. Voir : Aladdin Knowledge Systems. Tous droits réservés 9-22

10 Section 3 Aspects techniques du spyware D où vient-il? Les logiciels espions et publicitaires disposent d un système d installation généralement automatique reposant sur différentes méthodes : 1. Le programme de spyware est parfois intégré à des applications «gratuites» téléchargeables ou distribuées par d autres biais. Le composant de spyware est alors installé dans le cadre du processus normal d installation. L utilisateur est invité à donner son accord et à accepter une clause exonératoire de responsabilité ou un CLUF (Contrat de licence utilisateur final) dont le texte est généralement complexe, long, fastidieux et rédigé suffisamment petit pour que personne ne prenne la peine de le lire! L installation du spyware peut être concomitante à celle de certaines applications. 2. L utilisateur peut également être invité à installer le spyware lorsqu il visite certains sites Web ; le programme fait alors partie d un contrôle ActiveX affichant une fenêtre d avertissement de sécurité. De nombreux applets et extensions légitimes de navigateur s installent de cette façon et les utilisateurs sont trompés par ce message générique et installent le spyware sur leur système. Il est fréquent que les programmes de spyware invitent l utilisateur à les télécharger et à les installer en fournissant un fichier d installation portant un nom aussi explicite que «Free_Porn.exe», «Make_Money_Online.exe» ou «Free_Warez.exe». 3. Certains programmes de spyware sont intégrés à des virus, des vers ou des chevaux de Troie. Lorsque le virus est exécuté, une partie du programme est dédiée à l installation des composants de spyware. Certains exemples connus sont des variantes de TrojanDownloader qui installe différents composants de spyware. Beaucoup de modules externes pour navigateurs parfaitement légitimes s installent de la même façon. Les logiciels espions sont généralement installés sur les systèmes pour être exécutés à chaque activation. Pour cela, ils sont automatiquement chargés au démarrage, méthode utilisée par de nombreux virus, vers et autres chevaux de Troie. Cette activation automatique peut également reposer sur l intégration du programme à d autres applications. La méthode la plus fréquemment utilisée consiste à attacher le programme au(x) navigateur(s) Web du système sous forme de barre d outils. Ce type de spyware est appelé 2004 Aladdin Knowledge Systems. Tous droits réservés 10-22

11 BHO (Browser Helper Object ou «Browser Hijacker»). Chaque fois que l utilisateur se connecte à Internet, le spyware est prêt à envoyer à ses serveurs les informations concernant l utilisateur. Les signes d infection Contrairement à d autres programmes malveillants plus pernicieux, les programmes de spyware sont assez évidents, puisque que leur objet principal reste la communication publicitaire. Il peut s agir de publicités Web présentés dans la langue de l utilisateur (et non en anglais) sur les sites visités ou de fenêtres invitant l utilisateur à essayer certains produits ou services, sans qu une fenêtre de navigateur ne soit apparemment ouverte. Voici quelques symptômes évidents de la présence d un logiciel espion ou d un logiciel publicitaire : 1. Nombre excessif de fenêtres publicitaires malgré l utilisation d outils de blocage. 2. Ouverture arbitraire de sites Web. Le navigateur n ouvre pas les pages spécifiées par l utilisateur. Ceci peut se produire de manière systématique ou ponctuelle. 3. Ajout de nouvelles barres d outils, de nouveaux menus ou de nouveaux boutons non installés par l utilisateur. 4. Changement de la page d accueil par défaut du navigateur et retour systématique à cette page en dépit des modifications de l utilisateur. 5. Changement du moteur de recherche par défaut. En cas d échec de la recherche, l utilisateur est dirigé vers des pages présentant un grand nombre de contenus publicitaires. 6. Apparition de nouvelles icônes de tâches et applications non installées par l utilisateur. Les plus fréquentes offrent des fonctionnalités de réglage de l heure et des informations météorologiques. 7. Ajout automatique de nouveaux liens et de nouveaux dossiers dans les Favoris. 8. Nombre excessif d hyperliens supplémentaires sur les pages Web visitées, présentant parfois des soulignages de différentes couleurs, une certaine mise en relief, etc. 9. Augmentation significative de l activité réseau alors que le système est censé être inactif. 10. Diminution significative des performances des postes de travail, augmentation des temps de démarrage ou de connexion, diverses «lourdeurs», etc. 11. Boîtes de dialogue étranges, distinctes de celles de Microsoft, émises par des applications non installées par l utilisateur et posant des questions «douteuses». 12. Apparition de nouvelles connexions modem à des sites Web pour adultes, apparition de logiciels 2004 Aladdin Knowledge Systems. Tous droits réservés 11-22

12 pirates dans le système, initialisation impromptue de connexions modem (d où des «surprises» à la réception de la facture!) 13. Instabilité système, pannes fréquentes, défaillance des fonctionnalités applicatives et messages d erreur inexpliqués. Au cœur du système Les éditeurs s efforcent généralement de limiter les interférences de leurs solutions avec le système d exploitation et les autres applications ; les concepteurs de spyware sont beaucoup moins scrupuleux... Certains d entre eux générant des dizaines, voire des centaines d entrées de registre, de répertoires et de fichiers. Ils ont un impact significatif sur le système et peuvent causer des problèmes imprévus parfois impossibles à résoudre. Nettoyer un système infecté peut s avérer une procédure compliquée, même pour un spécialiste, impliquant une quantité de travail directement proportionnelle au degré d intrusion du programme spyware concerné. Les plus virulents vont jusqu à s «accrocher» à la pile de communication TCP/IP (Windows sockets) pour rendre toute connexion réseau dépendante de leur présence. De sorte que la suppression du spyware affecte également les fonctionnalités de communication du système. Certains programmes de spyware génèrent des dizaines, voire des centaines, d entrées de registre, de répertoires et de fichiers. L illustration ci-dessus présente un registre Windows comportant de nombreux composants de spyware exécutés à chaque démarrage. Modes opératoires De multiples programmes de spyware partagent le même mode opératoire, reposant sur quelques éléments élémentaires communs, qui concernent les méthodes de collecte d information (également connues sous le terme d «énumération») et les méthodes publicitaires. Collecte d informations 1. Contrôle des activités de l utilisateur - Il s agit de la méthode de collecte la plus répandue, le programme de spyware enregistre les données personnelles de l utilisateur figurant sur le système : nom, adresses virtuelle et physique, contacts, informations financières, données secrètes ou protégées, informations sur le matériel de l utilisateur, etc. Le «traçage» porte également sur les habitudes et préférences de navigation : produits consultés, sujets de prédilection, centres d intérêt, mots clé saisis dans les moteurs de recherche, etc Aladdin Knowledge Systems. Tous droits réservés 12-22

13 2. Systèmes d enregistrement de frappe - Cette méthode est considérée comme la plus importune, la plus indélicate et sans doute la plus ambiguë au point de vue légal. Le programme enregistre dans un journal toutes les frappes effectuées par l utilisateur. Ce journal est régulièrement envoyé à un serveur central pour analyse. Si cette méthode permet de collecter des informations pour personnaliser les publicités en fonction des besoins spécifiques de l utilisateur, rien ne garantit qu elle ne sera pas utilisée à d autres fins. En outre, les journaux sont susceptibles de contenir des noms d utilisateur, mots de passe, numéros de carte bancaire, coordonnées bancaires, s personnels, documents confidentiels et plus généralement toute saisie lorsque le spyware s exécute sur le système! Les composants de sppyware affichent des fenêtres publicitaires. Les annonceurs ne connaissent généralement pas les modalités de diffusion du message. Publicité 3. Bannières publicitaires - C est la méthode la moins agressive et la plus répandue - utilisée par les programmes dits d «adware» - et consistant généralement à afficher une bannière en haut de la fenêtre de l application. Cette pratique est bien acceptée par les utilisateurs dans la mesure où elle permet de bénéficier de la «gratuité» de certaines applications sans affecter leurs activités quotidiennes ni les exposer aux risques du spyware. Les bannières ne sont, en soi, pas dangereuses, tant qu elles ne sont pas combinées à d autres méthodes de publicité ou de collecte d informations. 4. Affichage d écrans «pop-up» - Cette méthode consiste à ouvrir des fenêtres présentant des publicités. Ces fenêtres constituent la méthode la plus communément utilisée par les applications de spyware pour présenter des contenus ciblés aux utilisateurs visés. Les messages peuvent s afficher à la suite d une action spécifique de l utilisateur, telle que l ouverture d un document, ou de manière aléatoire. Certains programmes de spyware utilisent des méthodes de collecte d informations permettant l affichage immédiat de publicités en fonction des données collectées. 5. Piratage du navigateur et de la page d accueil par défaut - Certaines applications de spyware remplacent de manière permanente la page d accueil du navigateur et le moteur de recherche par défaut par une page Web spécifique. L utilisateur est ainsi contraint d afficher la Certains spyware piratent le navigateur et sa page d accueil par défaut. nouvelle page Web chaque fois qu il ouvre son navigateur ou lance une recherche à partir de sa barre de navigation. Toute tentative par l utilisateur de remplacer l adresse de la page d accueil n est 2004 Aladdin Knowledge Systems. Tous droits réservés 13-22

14 généralement que temporairement efficace, quand elle n est pas totalement vaine. 6. Redirection - Certains programmes de spyware contrôlent les saisies effectuées dans les moteurs de recherche et redirigent la recherche vers des pages commerciales liées. Par exemple, la recherche «Angelina Jolie» retournera essentiellement des liens de sites commerciaux offrant des produits marketing liés à l actrice, des DVD ou d autres produits de l industrie hollywoodienne tels que des magazines, des sites Web dédiés à l actualité cinématographique (avec possibilité d abonnement payant bien entendu), etc. 7. Objets de type BHO (Browser Helper Objects) - Ce type de spyware est directement intégré au navigateur Web et peut généralement utiliser la plupart des méthodes décrites ci-dessus car il contrôle entièrement la capacité de navigation. Les spyware de barre d outil tels que Seeq sont très répandus et directement intégrés au navigateur. Cyniquement, celui-ci, imite même la fonction Google de blocage de pop-up. 8. Le comble du spyware «anti-spyware» - Certains éditeurs de spyware n ont vraiment peur de rien! Conscients des inquiétudes engendrées par les logiciels espions et exploitant l essor d Internet ainsi que leur expertise marketing, ils ont tout simplement inventé le spyware «anti-spyware» Il en existe malheureusement des dizaines. En général, ces applications reposent sur des pratiques publicitaires agressives, mensongères et manipulatrices visant à convaincre les utilisateurs et s installent parfois automatiquement. Certaines sont même payantes ou proposent une «mise à jour» payante et ne permettent que de limiter le nombre de publicités. Elles prétendent nettoyer les systèmes infectés mais ne le font pas ou seulement partiellement et permettent à leurs propres publicités et systèmes de collecte d informations de fonctionner en toute impunité. Ce type de spyware est particulièrement dangereux car il crée une fausse impression de sécurité Aladdin Knowledge Systems. Tous droits réservés 14-22

15 Section 4 Les enjeux de blocage du spyware De nombreux experts de la sécurité considèrent que, tout comme les virus informatiques, les programmes de spyware sont très difficiles à bloquer car ils se présentent sous de multiples formes et tailles ; recourir à une méthode unique pour se protéger du spyware ne suffit pas. Si de nombreux produits permettent de bloquer certains types de spyware, bien peu sont rigoureusement «étanches»... En raison de nombreux facteurs juridiques et techniques, les logiciels espions ne sont pas toujours aussi simples à bloquer que les virus. Les développeurs de spyware opérant la plupart du temps en toute légalité bien que dans des conditions parfois discutables, ils peuvent exercer leurs activités ouvertement, engager des programmeurs talentueux pour améliorer leurs logiciels, trouver de nouvelles techniques pour intégrer plus étroitement leurs programmes aux systèmes et collecter des informations plus nombreuses et plus détaillées. Contrairement aux virus et aux vers, le spyware n utilise pas encore de méthodes de propagation automatique ; les postes infectés ne peuvent donc pas infecter d autres postes. Bien entendu, ceci peut changer, d autant plus que les développeurs de spyware recherchent de nouveaux terrains de chasse. En conclusion, les entreprises ne prennent pas le spyware suffisamment au sérieux au même titre que les autres grandes menaces. Alors que chacun dispose d informations minimales sur les virus, les statistiques démontrent que seule une personne sur quatre se considère informée sur les mesures à prendre pour lutter contre le spyware. Or, 80 % des ordinateurs en sont infectés! Enjeux juridiques A l inverse des virus, les logiciels espions sont généralement installés sur le système avec l accord de l utilisateur ou au moins son accord partiel ou intégrés à des applications choisies et installées par les utilisateurs, ce qui rend la distinction difficile quand elle n est pas impossible. La suppression du programme de spyware empêche les applications de fonctionner et les techniques utilisées pour contrer les virus se révèlent donc inexploitables. En effet, s il est possible de supprimer un virus sans même en informer l utilisateur, la suppression d un programme est plus délicate ; sans compter que de nombreuses applications de spyware ne sont pas à proprement parler illégales. Le simple fait de les désigner par le terme de «spyware» peut être contesté par leurs développeurs qui se considèrent comme des opérateurs légitimes et n hésitent pas à introduire des poursuites en diffamation contre les personnes portant prétendument atteinte à leur réputation. Solutions existantes et problèmes associés Depuis quelques années, la ligne de défense communément retenue pour se protéger du spyware consiste à tenter de l éviter et à utiliser de manière aléatoire des produits bureautiques pour nettoyer le système. Cette approche peut s avérer appropriée pour le grand public mais est clairement insuffisante pour les entreprises. Jusqu à très récemment, 2004 Aladdin Knowledge Systems. Tous droits réservés 15-22

16 il n existait pas de mesures efficaces ni de solutions bureautiques centralisées pour lutter contre les logiciels espions. Nous avons synthétisé ci-dessous certaines des solutions et pratiques anti-spyware actuellement disponibles, avec leurs limites respectives. Législation Loi I-SPY : La loi de 2004 sur la prévention du spyware sur Internet (Internet Spyware Prevention Act, dite «Loi I-SPY») constitue l une des toutes premières dispositions légales anti-spyware. Malheureusement, bien que cette loi soit un texte important définissant le spyware et reconnaissant le problème, il est probable que tout comme la loi CAN-SPAM, elle ne fera que repousser les éditeurs de spyware aux limites de la légalité, voire les encouragera à recourir à des activités illégales à partir de serveurs de spyware délocalisés. Résumé et statut de la loi I-SPY : Solutions bureautiques Eviter le spyware en évitant d en installer... Cette méthode simplissime est devenue totalement inefficace. Les programmes de spyware sont tellement répandus que même les utilisateurs expérimentés disposant d un système sain ne peuvent s en tenir là pour éviter l infection. De plus, cette approche est manifestement inappropriée pour les entreprises où les utilisateurs installent imprudemment de nouveaux programmes sur leurs systèmes sans disposer d informations appropriées et sans penser à poser les questions nécessaires. La plupart du temps, les utilisateurs n ont même pas conscience qu un programme de spyware a été installé lors de leur navigation Web. Solutions bureautiques - Ces outils contrôlent le système et nettoient les programmes et les résidus de spyware. Les programmes de spyware sont généralement identifiés par la signature fichier, les clés de registre, les fichiers hôtes et les cookies. Certains produits offrent également en arrière-plan une protection active contre les nouvelles infections mais cela implique un traitement supplémentaire susceptible d interférer avec certaines applications, de ralentir le démarrage et d alourdir le système. La plupart des outils disponibles nécessitent une certaine expérience informatique, mais le principal problème pour les entreprises réside dans l absence d outils d installation et d administration centralisée. En outre, il existe actuellement près de signatures de composants de spyware et ce chiffre est en augmentation constante. La méthode de détection par signature est identique à celle des anti-virus «classiques» ; elle exige une base de données volumineuse et constamment mise à jour en fonction des nouvelles versions de spyware et des programmes correspondants. Cette solution est complexe et implique une grande réactivité. Solutions passerelle Signatures passerelle - Ces solutions utilisent une base de signatures et sont soumises aux mêmes limites que les produits bureautiques. Cependant, contrairement a ces derniers, la détection ne porte que sur les fichiers transitant par la passerelle et pas sur les clés de registre, les fichiers hôtes modifiés ni les autres composants bureautiques enregistrés. De plus, elles sont inefficaces lorsque les utilisateurs installent des logiciels espions à partir d ordinateurs portables lorsqu ils 2004 Aladdin Knowledge Systems. Tous droits réservés 16-22

17 sont en déplacement ou en cas d introduction de ces programmes par d autres biais, par exemple par CD-ROM. Blocage d URL - Cette méthode empêche l accès aux sites Web liés à des programmes de spyware. Il s agit tout simplement d interdire à un utilisateur ou à un processus automatisé d accéder à certaines adresses HTTP prédéfinies. Blocage des installations non-autorisées - L identification de procédures d installation indésirables, notamment sur des pages Web douteuses, permet de protéger le système contre l invasion du spyware. Il s agit simplement d interdire l installation de certains logiciels espions identifiables par Internet. Blocage du protocole spyware - En identifiant le protocole de communication utilisé par le spyware et en bloquant cette communication, il est possible d empêcher le logiciel espion de transmettre les informations collectées, de télécharger les contenus publicitaires et d effectuer des mises à jour de code. Section 5 Blocage du spyware avec esafe Présentation générale de la défense anti-spyware d esafe La passerelle esafe bénéficie d un positionnement unique pour répondre aux problèmes de spyware grâce à sa technologie brevetée NitroInspection et à son système ultra-rapide d inspection des contenus. Grâce à ses modules AppliFilter et PSE (Proactive Security Engine), esafe fournit une solution complète de protection contre le spyware reposant sur une architecture multicouche. Les quatre couches de blocage d esafe Couche 1 - Blocage des téléchargements de programmes de spyware Couche 2 - Blocage des fiches d identité spyware Couche 3 - Blocage des signatures spyware Couche 4 - Blocage des communications spyware Couche 1 - Blocage des téléchargements de programmes de spyware Cette couche bloque de manière proactive les attaques de spyware reposant sur des téléchargements automatiques. Elle permet également de limiter l accès aux serveurs de spyware. Ce niveau de protection est efficace pour la plupart des programmes de spyware, notamment les programmes insidieux disposant d un système d installation automatique, également désignés téléchargements «par contournement» («drive-by»). Avec esafe, seuls les modules agréés peuvent être téléchargés et exécutés Aladdin Knowledge Systems. Tous droits réservés 17-22

18 Couche 2 - Blocage des fiches d identité spyware Cette couche identifie le spyware par son identité d objet ActiveX et d autres paramètres ; elle est également efficace contre d autres types de programmes malveillants et propose de nombreux avantages comme la possibilité d autoriser uniquement l installation d extensions ActiveX et de navigateur prédéfinies (des applications sûres telles que les barres d outils Google et MSN). Les administrateurs peuvent également définir de nouveaux objets utilisés par l entreprise. Couche 3 - Blocage des signatures spyware Cette couche combine une base de données traditionnelle de signatures de type virus et les technologies intelligentes et heuristiques du module PSE, qui identifie et bloque tout élément de code susceptible d être un programme de spyware. Cette couche agit efficacement après le téléchargement d un logiciel espion et avant sa réception par le destinataire. Elle permet également de lutter contre les vers transitant par ou téléchargés sur Internet et sur les sites FTP. Couche 4 - Blocage des communications spyware Le blocage des communications entre le composant de spyware hébergé sur le poste de travail et le serveur distant le rend totalement inutilisable pour son opérateur. Le module AppliFilter d esafe recherche les signes de protocoles de communication spyware dans le trafic brut lors du passage sur la passerelle, avant même sa transformation en fichiers. Fonctionnant de la même manière que les identités IDS, esafe intercepte et bloque les communications spyware avant qu elles n atteignent les postes de AppliFilter empêche les spyware existants de contacter leurs serveurs et de piloter des installations de nouveaux modules d espionnage. travail de l entreprise. En outre, contrairement aux passerelles reposant sur proxy, esafe ne se contente pas de bloquer le spyware sur le port 80 HTTP. En fait, il n est lié à aucun port spécifique et peut contrôler le trafic par protocole, quel que soit le port utilisé par le spyware. Outre sa fonctionnalité de blocage des communications entre le logiciel espion et son serveur, esafe propose des rapports permettant aux administrateurs d identifier les postes infectés et de leur fournir les outils de nettoyage appropriés Aladdin Knowledge Systems. Tous droits réservés 18-22

19 Les rapports de pilotage esafe permettent aux administrateurs d identifier les menaces portant sur chaque station de travail. Mises à jour automatiques Toutes les signatures et tous les paramètres d attaque de spyware d esafe sont automatiquement mis à jour par l équipe CSRT (Content Security Response Team) lorsqu un nouveau programme de spyware est découvert. Les mises à jour automatiques portent notamment sur : Les signatures des programmes de spyware et d autres types de code malveillant. Les définitions heuristiques proactives de spyware et d autres types de code malveillant. Les définitions d identités spyware et d identités légitimes (liste blanche). Les définitions des protocoles de spyware en temps réel d AppliFilter. Synthèse Comme nous l avons vu, le spyware constitue une menace sérieuse de sécurité et un cauchemar pour les services de support informatique. Selon toutes les estimations, le spyware devrait devenir de plus en plus préoccupant en augmentant son degré de pénétration et en perdant de sa légalité. Pour contrôler ce problème le mieux possible, nous recommandons de l appréhender de la même manière que les autres programmes malveillants : Prendre conscience de la menace Elaborer un plan de prévention anti-spyware d entreprise Former les équipes de support informatique Former les utilisateurs Déployer des réponses technologiques : o Utiliser une passerelle pour bloquer les téléchargements et installations de spyware o Utiliser une passerelle pour bloquer les communications entre postes infectés et serveurs de spyware o Analyser les rapports de la passerelle pour identifier les postes infectés o Utiliser des solutions bureautiques pour nettoyer les postes infectés et procéder à des contrôles périodiques 2004 Aladdin Knowledge Systems. Tous droits réservés 19-22

20 Annexe - Technologies esafe esafe est une solution intégrée fonctionnant parallèlement aux systèmes de sécurisation d accès (pare-feux, VPN, détection d intrusion) et tout particulièrement axée sur les besoins gestion sécurisée des contenus :. Anti-virus d Anti-spam Contrôle des contenus Web (HTTP et FTP) Filtrage d URL (sites Web) Protection anti-vers Messages instantanés, P2P, spyware, adware, etc. esafe propose six couches de sécurisation des contenus Virus connus - Détection des signatures et mises à jour Virus inconnus - Protection proactive contre les nouveaux programmes malveillants inconnus Attaques et vers - Protection contre les bombes de courrier électronique («mail-bombs»), les atteintes à la sécurité, etc. Filtrage spam et courrier - Blocage des pourriels et sécurisation des s Filtrage Web - Sites non productifs et inappropriés Filtrage applications - Applications Internet non autorisées Moteur de sécurisation proactive PSE d esafe Le moteur PSE d esafe utilise des technologies brevetées d'inspection dynamique des contenus constituant la solution la plus aboutie de sécurisation sans dégradation des performances même pour les réseaux les plus actifs en termes de volumes de téléchargements Internet Aladdin Knowledge Systems. Tous droits réservés 20-22

21 Fonctionnalités d esafe Protection en temps réel sur l ensemble du trafic Internet (SMTP, POP3, HTTP et FTP) Protection proactive contre les virus et programmes malveillants certifiée ICSA et Checkmark Protection contre les attaques et les vers compromettant l intégrité système ; protection contre différents types de piratage Module anti-spam avancé reposant sur de multiples méthodes de contrôle telles que les listes noires en temps réel (RBL), les recherches DNS, la vérification d entête et le filtrage des mots clés pour limiter les spams Module de filtrage d URL pour exclure les contenus Web indésirables Filtrage des applications Web (messageries instantanées, P2P et partage de fichiers, accès distants, spyware et adware) Moteur avancé de collecte de paquets NitroInspection disposant de multiples configurations pour fournir des performances optimales et une excellente qualité expérience utilisateur Flexibilité de l implémentation réseau Jusqu à 40Mo/s sur matériel standard Système intégré de basculement et d équilibrage de charge couvrant jusqu à 8 postes esafe avec capacité de contrôle de plus de 200Mo/s de trafic econsole Console entièrement intégrée de configuration et d administration Mise à jour automatique en ligne des signatures, moteurs et nouvelles mises à niveau Service d assistance avancé 24/24 7/7 Point de contrôle OPSEC et partenaire certifié Cisco AVVID Intégration simple avec n importe quel pare-feu/solution VPN Offre unique de services à forte valeur ajoutée, particulièrement sur les marchés ISP et MSSP 2004 Aladdin Knowledge Systems. Tous droits réservés 21-22

22 Contact A propos d Aladdin Knowledge Systems Aladdin (NASDAQ : ALDN) est un Pour plus d informations : leader de la sécurisation des contenus ealaddin.com/esafe numériques fournissant depuis 1985 à International Amérique du Nord T : , esafe@ealaddin.com T : , esafe.us@ealaddin.com plus de clients dans le monde des solutions de gestion des droits Royaume-Uni T : , esafe.uk@ealaddin.com numériques et de sécurisation Allemagne T : , esafe.de@ealaddin.com Benelux T : , esafe.nl@ealaddin.com d Internet. France T : , esafe.fr@ealaddin.com Les produits d'aladdin comprennent Israël T : , esafe@ealaddin.com le dispositif USB etoken Japon T : , esafe.jp@ealaddin.com d authentification des utilisateurs et de Espagne T : , esafe.es@ealaddin.com sécurisation du commerce électronique, la gamme esafe de solutions intégrées de protection des réseaux contre les contenus Internet malveillants, improductifs ou inopportuns et la gamme HASP de solutions matérielles et logicielles de protection contre le piratage et d administration et distribution des licences logicielles et des droits de propriété intellectuelle. Pour plus d informations, consultez Pour télécharger une version d'évaluation gratuite ou consulter des cas client et d autres livres blancs sur la sécurité, consultez Si vous désirez obtenir une offre de prix ou des conseils d implémentation d esafe dans votre architecture, contactez l une des représentations d Aladdin mentionnées plus haut Aladdin Knowledge Systems. Tous droits réservés 22-22