INGÉNIERIE SOCIALE
La principale menace de
sécurité au monde
Rédaction
Anthony Bettini
Hiep Dang
Benjamin Edelman
Elodie Grandjean
4 Les origines de l'ingénierie sociale Du cheval de Troie de l'Odyssée au Jeff Green
phishing sur Internet : la tromperie à l'épreuve du temps Hiep Dang Aditya Kapoor
Rahul Kashyap
Markus Jacobsson
9 Demandez et vous recevrez Les raisons psychologiques du succès de
Karthik Raman
l'ingénierie sociale Karthik Raman
Craig Schmugar
13 L'ingénierie sociale sur le Web : que nous réserve l’avenir ? Statistiques
La fraude aux clics compte sans doute parmi les menaces auxquelles nous Toralv Dirro
devrons faire face à l'avenir. Markus Jakobsson Shane Keats
David Marcus
16 Les Jeux Olympiques de Pékin : une cible de choix pour les logiciels François Paget
d'ingénierie sociale A l'instar d'autres événements marquants, les JO sont un Craig Schmugar
terrain de jeu irrésistible pour les auteurs de malwares. Elodie Grandjean
Illustrateur
22 Les vulnérabilités des marchés boursiers Les pirates peuvent-ils s'enrichir Doug Ross
grâce aux correctifs de Microsoft et à la falsification de l'actualité de sociétés ?
Anthony Bettini Graphisme
PAIR Design, LLC
28 L'avenir des sites de réseau social Les sommes d'argent colossales en jeu et
Remerciements
le nombre croissant d'inscrits font des sites de réseau social une cible alléchante
De nombreuses personnes ont contribué à
pour les auteurs de logiciels malveillants. Craig Schmugar la création de ce numéro de McAfee
Security Journal. Nous tenons à tous les
31 Le nouveau souffle des vulnérabilités Les techniques d'ingénierie sociale remercier et profitons de l'occasion pour
exposent les utilisateurs aux failles béantes des logiciels. Rahul Kashyap saluer nommément nos principaux
contributeurs : les cadres dirigeants de
34 Typosquatting: les itinéraires inattendus de la navigation sur Internet McAfee, Inc. et McAfee Avert Labs qui ont
L'internaute peu attentif doit s'attendre à l'inattendu. Benjamin Edelman encouragé et soutenu la création de ce
journal ; nos réviseurs Carl Banzhof, Hiep
38 Qu'est-il donc arrivé aux logiciels espions et aux logiciels publicitaires ? Dang, David Marcus, Craig Schmugar,
Un renforcement de la législation a peut-être permis de dompter les logiciels Anna Stepanov et Joe Telafici ; nos
espions, mais les programmes potentiellement indésirables et les chevaux de auteurs, leurs supérieurs et collègues qui
Troie n'ont pas dit leur dernier mot. Aditya Kapoor les ont assistés par leurs idées et
commentaires ; les experts en marketing
44 Statistiques Quel niveau de risque pour les domaines de premier niveau ? Cari Jaquet, Mary Karlton, Beth Martinez
et Jennifer Natwick ; notre chargé de
David Marcus
relations publiques Joris Evers et son
équipe internationale, ainsi que Red
Consultancy Ltd. ; notre agence de
graphisme Pair Design ; notre imprimeur
RR Donnelley ; Derrick Healy et ses
collègues du bureau de localisation de
Cork en Irlande, qui ont traduit cette
publication dans de nombreuses langues.
Cette publication n'aurait pas été possible
sans leur inestimable contribution.
Dan Sommer
Rédacteur en chef
Nous sommes heureux de vous présenter le premier Nous commencerons par nous pencher sur le passé, avec
numéro de McAfee Security Journal. En réalité, il ne s'agit pas un bref exposé sur la tromperie à travers les âges. Ensuite,
à strictement parler d'un premier numéro, puisque nous avons nous examinerons les éléments de psychologie qui expliquent
rebaptisé la publication intitulée, suivant les pays, McAfee Sage/ la réussite de l'ingénierie sociale. Notre troisième article se
Global Threat Report — en français, Point global sur les menaces. projettera dans l'avenir et envisagera l'évolution probable de
Notre McAfee Security Journal présente le même point de vue l'ingénierie sociale au cours des prochaines années. Au lendemain
sans détour et le même contenu dynamique que vous attendez des Jeux Olympiques 2008 de Pékin, nous analyserons les
désormais des meilleurs chercheurs et auteurs dans le domaine stratagèmes encore une fois imaginés par les auteurs de logiciels
de la sécurité informatique : les experts de McAfee® Avert® malveillants pour amener les amateurs de sport à visiter des
Labs. Dans ce numéro, nous nous pencherons sur le vecteur de sites web factices. Est-il possible de gagner en bourse en tablant
menaces le plus insidieux et répandu : l'ingénierie sociale. sur des événements tels que le jour de diffusion des correctifs
mensuels Microsoft ou en créant de faux articles d'actualité
Pour un Tibet libre ! Nouvelles images de la 3e guerre
d'entreprises ? Nos recherches de pointe ont permis de répondre
mondiale ! Les meilleures astuces pour évader le fisc !
à ces questions. Quel est l'avenir des sites de réseau social ? Leur
Nouvelles technologies pour économiser l'énergie ! Achetez
sécurité sera-t-elle renforcée, ou sont-ils voués à rester des proies
des médicaments bon marché en ligne !
faciles à cause de la trop grande crédulité de leurs utilisateurs ?
La liste est loin d'être exhaustive, mais les exemples illustrent Nous nous pencherons aussi sur la façon dont les auteurs de
bien notre propos. Pour parvenir à leurs fins, les auteurs de logiciels malveillants tirent parti des vulnérabilités des logiciels et
logiciels malveillants (malwares) et les spécialistes de l'usurpation du typosquatting, qui consiste à exploiter les fautes de frappe
d'identité doivent créer des messages attirants et efficaces, dans les requêtes de page web. Notre dernier article fournit
bien plus que par le passé. Les arnaques par ingénierie sociale, un aperçu historique des logiciels publicitaires (adwares) et des
toutefois, sont loin de constituer une nouveauté. Elles sont aussi logiciels espions (spywares). Enfin, diverses statistiques vous
vieilles que la communication humaine elle-même. « Tu possèdes permettront d'apprécier les différents degrés de risque auxquels
une chose que je convoite. Je vais essayer de te convaincre de sont exposés les domaines de premier niveau de par le monde.
me la donner ou d'agir comme je le souhaite. » L'ingénierie
Nous espérons que vous trouverez ce numéro aussi captivant et
sociale est probablement la menace la plus difficile à contrer en
propice à la réflexion qu'il l'a été pour nous. Merci de vous joindre
raison du facteur humain. La façon la plus facile de dérober les
à nous pour explorer les arcanes de la sécurité informatique.
informations d'identité d'une personne est sans doute de lui
demander tout simplement de vous les fournir.
Les techniques d'ingénierie sociale (qu'il s'agisse de chaînes de
Ponzi, de systèmes de pyramides, d'impostures, d'escroqueries, de
Jeff Green est Vice-Président directeur de McAfee
phishing ou de spam) se conforment toutes à un même modèle.
Avert Labs et du département Développement de
Certaines de ces attaques sont physiques, d'autres numériques,
produits. Il est responsable à l'échelle mondiale de
mais elles ont toutes des éléments en commun. Elles poursuivent le
tous les centres de recherche de McAfee, établis sur
même objectif et utilisent souvent les mêmes techniques. Elles visent
les continents américain, européen et asiatique. Jeff
toutes à manipuler leurs victimes en exploitant une faiblesse de la
Green est à la tête des équipes de recherche sur les
nature humaine, Elles créent des scénarios conçus pour persuader la
différents types de menaces (virus, attaques ciblées
victime de dévoiler des informations ou d'accomplir une action.
et par piratage, logiciels espions, spam et attaques
Pour la rédaction de ce numéro, nous avons fait appel à par phishing), sur les vulnérabilités et les patches,
d'éminents chercheurs et auteurs afin qu'ils analysent et illustrent ainsi que sur les technologies de détection et de
ce thème à votre intention. Ce numéro constitue en outre une prévention des intrusions sur l'hôte et sur le réseau.
véritable première puisque des contributeurs invités ont également Il dirige également la recherche à long terme, qui
participé à sa création. Remercions donc à cet égard deux noms permet à McAfee de conserver une longueur
prestigieux : Markus Jacobsson du Palo Alto Research Center et d'avance sur les menaces émergentes.
Benjamin Edelman, professeur à la Harvard Business School.
AUTOMNE 2008 3
Les origines de
l'ingénierie sociale
Hiep Dang
AUTOMNE 2008 5
Croissance des logiciels malveillants et des programmes potentiellement indésirables (PUP)
Familles, de 1997 à 2007 en milliers
140
130 Virus et robots
120 Chevaux de Troie
Programmes
110 potentiellement
indésirables
100
90
80 Figure 1 : La fréquence de
publication de fichiers de
70 signatures de McAfee destinés
spécifiquement aux logiciels
60 malveillants et aux programmes
potentiellement indésirables
50 a connu plusieurs pics cette
dernière décennie. En 1998, les
40
générateurs de virus ont fait
leur apparition. Entre 2003 et
30
2004, les mass-mailers se sont
20 répandus. Entre 2004 et 2005,
les réseaux de robots (botnets)
10 étaient en hausse. Et entre 2006
et 2007, les chevaux de Troie ont
0 connu une croissance fulgurante.
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
60
Tentatives de phishing
50
individuelles signalées
40 Nouveaux sites
de phishing
30
Phishing
Le terme « phishing » (hameçonnage) est une invention numéros, les escrocs ont commencé à rechercher des noms
des pirates informatiques. Il a été forgé par analogie avec le d'utilisateur et mots de passe réels pour attaquer les réseaux du
terme anglais « fishing » (qui signifie « pêche ») du fait que fournisseur de services. Ils se sont mis à envoyer de faux e-mails
la technique d'ingénierie sociale utilise un leurre pour amener et messages instantanés semblant provenir du support technique
les victimes à dévoiler leurs noms d'utilisateur, mots de passe, d'AOL. De nombreuses victimes peu méfiantes ont révélé leurs
numéros de carte de crédit et autres informations personnelles. informations de compte, et les activités et achats réalisés par
Dans les années 1990, de nombreux pirates informatiques les pirates à l'aide de leurs comptes compromis leur ont été
ont exploité les offres d'essai gratuites de services Internet facturés. Ces malfaiteurs n'ont pas mis longtemps à se rendre
d'AOL (America Online) en utilisant des numéros de carte de compte des plantureux profits à la clé et du taux de réussite de
crédit factices, générés automatiquement, qui en réalité ne ce type d'attaque : ils se sont mis à cibler des sociétés (banques,
correspondaient pas aux comptes existants. Après qu'AOL a eBay, Amazon et d'autres) spécialisées dans les transactions et le
renforcé ses mécanismes de sécurité et amélioré ses tests de commerce en ligne.
validation des cartes de crédit pour garantir la légitimité des
AUTOMNE 2008 7
Sécurité informatique : petite perspective historique
1948 1965 1969 1971 1978 1980 1982 1983 1984 1986 1988 1995 1996 2000 2002 2008
John Draper (surnommé Captain Le film « War Games » montre Les termes « spyware » (logiciel
Crunch) découvre qu'un sifflet à l'écran les conséquences du espion) et « adware » (logiciel
offert en cadeau dans une boîte de piratage informatique. publicitaire) commencent à
céréales peut être utilisé pour se répandre.
pirater des réseaux téléphoniques
(phreaking).
L'histoire se répète
Quel que soit le terme employé — ingénierie sociale, tromperie,
escroquerie, exploitation des biais cognitifs ou arnaque —, le
procédé qui vise à abuser de la naïveté et de la confiance d'un Hiep Dang est Directeur des recherches sur la lutte
contre les logiciels malveillants au sein de McAfee
individu est vieux comme le monde. Les experts en sécurité Avert Labs. Il est chargé de la coordination de
s'accordent à dire que l'homme est le maillon faible de la chaîne l'équipe mondiale des experts en logiciels malveillants
de la sécurité. Nous pouvons développer les logiciels les plus sûrs de McAfee, spécialisés dans la recherche sur les
pour protéger les ordinateurs, mettre en œuvre les stratégies de attaques de malwares (notamment les virus, les
sécurité les plus restrictives ou déployer tous les efforts possibles vers, les chevaux de Troie, les robots et les logiciels
espions), leur analyse et l'élaboration de réponses.
pour sensibiliser les utilisateurs : tant que nous agirons sous M. Dang contribue régulièrement à la rédaction des
le coup de la curiosité et de la cupidité, sans tenir compte des livres blancs et des articles de blog d'Avert Labs, et
conséquences éventuelles, nous risquons de revivre un nouveau il participe également à la rédaction de McAfee
cauchemar semblable à la tragédie du cheval de Troie. Security Journal. Il a été interviewé par le Wall Street
Journal, MSNBC, PC Magazine, et de nombreuses
Le progrès ne tient pas au changement : il dépend de la capacité autres publications et médias au sujet des tendances
à le rendre durable. Quand le changement est absolu, il ne reste des menaces et programmes malveillants. Hiep Dang
plus aucune possibilité d'amélioration et aucune orientation est également un fervent pratiquant du Tai Chi et du
d'amélioration n'est définie : et quand les leçons tirées de Kung Fu du style de la mante religieuse ou Tang Lang
Quan. Il a actuellement mis entre parenthèses ses
l'expérience ne sont pas retenues, comme parmi les sauvages, séances d'entraînement pour focaliser ses énergies sur
l'enfance perdure. Ceux qui ne peuvent pas se souvenir du la sécurité informatique.
passé sont condamnés à le répéter. — George Santayana,
volume « Reason in Common Sense » de « The Life of Reason »
OUVRAGES CITÉS
t Anderson J.P., Computer Security Technology Planning Study, vol. II (Etude sur la t Homère, L'Odyssée, (traduction de C. M. Leconte de Lisle)
planification des technologies de sécurité informatique), US Air Force, 1972 t Mitnick K., The Art of Deception (L'art de la supercherie), Indianapolis, Wiley Publishing
t Farquhar M., A Treasury of Deception (Histoire de la tromperie), New York, t Myers M. J., Phishing and Countermeasures (Phishing et contremesures), John
The Penguin Group Wiley & Sons, Inc., 2007
t Hésiode, Théogonie (traduction de C. M. Leconte de Lisle, 1869) t Santayana G., The Life of Reason (La vie de la raison), 1905
t Hésiode, Les travaux et les jours (traduction de C. M. Leconte de Lisle, 1869) t Virgile, L'Enéide, 19 av. J.-C. (traduction de Jacques Delille)
AUTOMNE 2008 9
Lorsque nous revivons la situation ayant entraîné le combat
ou la fuite par le passé, nous laissons la réponse émotionnelle
Les politiciens malhonnêtes, les espions et
reprendre le contrôle, bien que notre raison nous pousse
objectivement à rejeter son bien-fondé. les escrocs savent que jouer sur l'émotion
Les politiciens malhonnêtes, les espions et les escrocs savent que — en particulier sur la peur — pour susciter
jouer sur l'émotion — en particulier sur la peur — pour susciter
une réaction affective est un moyen très
une réaction affective est un moyen très efficace de parvenir à
leurs fins. L'ingénierie sociale s'inscrit dans cette optique. efficace de parvenir à leurs fins. L'ingénierie
sociale s'inscrit dans cette optique.
Théories au sujet de l'ingénierie sociale
Manipulation des émotions Il ne faut nullement nous attendre à pouvoir reconnaître et
analyser tous les aspects de chaque individu, événement et
De nombreux virtuoses de l'ingénierie sociale exercent une
situation que nous rencontrons au quotidien. Nous n'en avons
manipulation mentale, en tirant parti de la peur, la curiosité, la
ni le temps, ni l'énergie, ni la capacité. Nous devons par contre
cupidité et l'empathie de leurs proies. Il est établi qu'il s'agit là de
souvent recourir à nos stéréotypes, nos règles empiriques, pour
sentiments universels : nous les éprouvons tous un jour ou l'autre.
classer les choses selon quelques caractéristiques clés, afin de
La peur et la curiosité sont utiles dans de nombreuses situations. réagir spontanément lorsque l'un ou l'autre de ces éléments
Par exemple, la peur nous incite heureusement à nous échapper déclencheurs se présentent.
d'un immeuble en feu. Quant à la curiosité, elle peut nous
pousser à nous lancer des défis et à chercher à en apprendre Voyons à présent comment les experts en ingénierie sociale
toujours davantage. Cependant, lorsque nos actes sont dictés peuvent susciter en nous ce type de réactions automatiques
par la peur ou la curiosité, leurs conséquences peuvent être dont ils tireront profit.
indésirables voire dangereuses6.
Certaines attaques exploitant l'ingénierie sociale peuvent être
Déclenchement de biais cognitifs
lancées même sans que leur auteur ne soit présent sur les lieux Un biais cognitif est une erreur mentale résultant de la
pour exploiter la curiosité des victimes potentielles. En avril 2007, simplification d'une stratégie de traitement de l'information10.
des clés USB infectées par un cheval de Troie ciblant les banques Lorsqu'une heuristique fonctionne mal, elle conduit à un biais.
avaient été déposées dans un parking londonien. Les curieux L'ingénierie sociale bouscule nos heuristiques pour créer des
désireux de connaître le contenu de ces clés — et probablement erreurs « graves et systématiques11.
ravis de prendre gratuitement possession d'un périphérique de Certains biais cognitifs qui peuvent expliquer la réussite de
stockage — ont branché celles-ci à leurs ordinateurs, avec pour procédés d'ingénierie sociale sont décrits ci-dessous :
seul résultat de voir ce dernier infecté par un logiciel malveillant7.
t Biais de validation décisionnelle Le souvenir d'un choix que
Les auteurs d'attaques qui menacent ou font chanter leurs l'on a effectué antérieurement lui attribue des aspects positifs
victimes exploitent leur peur. Le cheval de Troie GPCoder.i, qui plus importants que ses aspects négatifs12. Un internaute peut
a fait son apparition en juin 2008, est un exemple de logiciel s'habituer à acheter des articles avec remise sur des sites de
malveillant qui instille la peur : après avoir chiffré des fichiers des vente en ligne lorsqu'il reçoit des e-mails de parrainage d'amis.
utilisateurs, il exige de ces derniers une rançon pour déchiffrer S'il reçoit un message de spam occasionnel qui ressemble
leurs fichiers8. De même, les auteurs d'attaques qui soudoient à une autre invitation d'achat, il risque de dévoiler ses
leurs victimes exploitent leur cupidité, et ceux qui prétendent informations de carte de crédit sur un site web frauduleux.
rechercher de l'aide, leur empathie.
t Biais de confirmation (d'hypothèse) L'individu cherche
Distorsions dans les raccourcis mentaux à collecter des preuves et à interpréter les informations de
façon à confirmer son point de vue13. Prenons un exemple
Les experts en ingénierie sociale font parfois appel à des éléments hypothétique. Supposons que la société Acme conclue avec
extérieurs au registre émotionnel. Ils s'efforcent de saboter Imprimissimo un contrat de maintenance de ses imprimantes, et
nos règles mentales de traitement de l'information, que nous que les membres du personnel de gardiennage d'Imprimissimo
appelons heuristique, ou règles empiriques. portent des chemises grises à longues manches avec des badges
Il faut bien l'admettre : notre heuristique présente certaines nominatifs. Au fil du temps, les employés d'Acme s'habitueront
failles, certes, mais nous ne pouvons pas fonctionner sans elle. à voir les membres du personnel d'Imprimissimo dans leurs
Nos vies seraient trop compliquées si nous devions réfléchir uniformes et identifieront quiconque porte une chemise grise à
longuement à chaque perception, chaque propos, chaque action. longues manches avec un badge comme un gardien. Un intrus
Nous avons désespérément besoin de nos raccourcis mentaux. Le pourrait dont confectionner ou voler un uniforme Imprimissimo
psychologue Robert Cialdini l'explique de la façon suivante9 : afin de se faire passer pour un gardien. En raison du biais de
confirmation qui affecte les employés d'Acme, il est fort possible
que la légitimité de sa présence ne soit pas mise en cause.
AUTOMNE 2008 11
Conclusion
La structure même de notre cerveau, et plus précisément les On ne peut pas changer la nature humaine. Dès la naissance,
interactions complexes entre les centres de l'émotion et de la nos émotions sont séparées de notre raison, et nous sommes
raison, fait que nous sommes vulnérables à l'ingénierie sociale. donc sujets à commettre des erreurs mentales. Bien que ce
Cette dernière consiste en une manipulation mentale des comportement soit normal, son exploitation par qui sait y faire
sentiments de peur, de curiosité, de cupidité et d'empathie. Le en matière d'ingénierie sociale se révèle dangereuse. Pour mieux
succès des attaques d'ingénierie sociale est dû aux biais cognitifs nous défendre contre ce type d'attaques, il est impératif de bien
et à des schémas sociaux erronés. Mais pourquoi ces informations comprendre la psychologie de l'ingénierie sociale et d'informer
nous sont-elles si précieuses ? correctement les utilisateurs sur ses effets.
Dans l'étude « Computer Crime and Security Survey » (Enquête
sur la sécurité et le crime informatiques) réalisée en 2007 par CSI,
seulement 13 % des répondants ont déclaré qu'ils contrôlaient
Karthik Raman, professionnel certifié en matière de
l'efficacité des formations de leur personnel contre les attaques sécurité des systèmes d'information, est chercheur
d'ingénierie sociale21. Ce pourcentage, certes déjà faible, au sein de McAfee Avert Labs. Ses études portent
n'inclut pourtant pas les répondants qui ne disposent d'aucun notamment sur l'analyse des vulnérabilités, la
programme de formation de ce type. sécurité des réseaux et la sécurité des logiciels. Outre
la sécurité, il s'intéresse également aux sciences
Une première étape évidente consiste à mettre en place des cognitives et sociales, ainsi qu'à la programmation
programmes de sensibilisation des utilisateurs aux dangers de informatique. Parmi ses loisirs, citons le cricket, la
l'ingénierie sociale ainsi que des stratégies de sécurité spécifiques, guitare et l'apprentissage des langues. Karthik Raman
et à améliorer ceux-ci le cas échéant. Toute stratégie relative à est titulaire de licences en sciences informatiques et
en sécurité informatique de la Norwich University
l'ingénierie sociale sera plus persuasive si elle est justifiée par des (Vermont), qu'il a décrochées en 2006.
recherches scientifiques. De même, les formations dispensées
aux utilisateurs seront plus efficaces si elles répertorient les biais
cognitifs généralement exploités dans le cadre de ces attaques
et si elles sont accompagnées de vidéos qui illustrent clairement
comment ces attaques tirent parti de chacun de nos biais cognitifs.
NOTES
1 « Bank loses $1.1M to online fraud » (Une banque perd 1,1 million de dollars lors d'une 13 Nickerson R. S., « Confirmation Bias: A Ubiquitous Phenomenon in Many
fraude en ligne), BBC, 2007 — http://news.bbc.co.uk/2/hi/business/6279561.stm Guises » (Biais de confirmation : un phénomène courant qui prend différentes
2 Schneier B., « The Psychology of Security » (La psychologie de la sécurité), éd. formes), Review of General Psychology, vol. 2, n° 2, 175-220, 1998 —
Essays and Op, 2007 — http://www.schneier.com/essay-155.html http://psy.ucsd.edu/~mckenzie/nickersonConfirmationBias.pdf
3 ibid. 14 Zajonc R. B., « Attitudinal Effects of Mere Exposure » (Effet de simple
4 Asimov, I., « The Human Brain: Its Capacities and Functions » (Le cerveau humain, exposition — Changements attitudinaux), Journal of Personality and Social
ses capacités et fonctions), New York, Mentor Books, 1965 [traduction libre] Psychology, 9, 2, 1-27, 1968
5 Johnson S., « Mind Wide Open: Your Brain and the Neuroscience of Everyday 15 Kaplan D., « Virginia Tech massacre may spawn phishing scams » (De nouvelles
Life » (L'esprit à livre ouvert : cerveau et neuroscience au quotidien), New York, escroqueries par phishing risquent de tirer parti du massacre à l'Université de
Scribner, 2004 [traduction libre] Virginia Tech), SC Magazine, 2007 — http://www.scmagazineuk.com/
6 Svoboda E., « Cultivating curiosity; how to explore the world: Developing a sense Virginia-Tech-massacre-may-spawn-phishing-scams/article/105989/
of wonder can be its own reward » (Cultiver sa curiosité pour explorer le monde : 16 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases »
la capacité d'émerveillement peut être une récompense en soi), Psychology Today, (Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130,
2006 — http://psychologytoday.com/articles/index.php?term=pto-4148.html 1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf
7 Leyden J., « Hackers debut malware loaded USB ruse » (Nouvelle ruse de 17 Dhamija R., Ozment A., Schecter S. « The Emperor's New Security Indicators:
pirates : des clés USB chargées d'un logiciel malveillant), The Register, 2007 — An evaluation of website authentication and the effect of role playing on
http://www.theregister.co.uk/2007/04/25/usb_malware/ usability studies » (Nouveaux indicateurs de sécurité d'Internet : évaluation de
8 Bibliothèque d'informations sur les virus McAfee : GPCoder.i, 9 juin 2008 — l'authentification des sites web et effets d'un jeu de rôle sur les études de facilité
http://vil.nai.com/vil/content/v_145334.htm d'utilisation), 2008 — http://www.usablesecurity.org/emperor/
9 Cialdini R., « Influence: The Psychology of Persuasion » (Influence : la 18 Mitnick K. D., Simon W. L., « The Art of Deception » (L'art de la supercherie),
psychologie de la persuasion), New York, HarperCollins, 1998 [traduction libre] Indianapolis, Wiley Publishing, Inc., 2002 [traduction libre]
10 Heuer R. J., « The Psychology of Intelligence Analysis » (Psychologie de l'analyse 19 Gilbert D. T. et Malone P. S., « The correspondence bias » (Le biais de
des renseignements), Center for the Study of Intelligence, CIA, 2002 — correspondance), Psychological Bulletin, 117, 21–38, 1995 —
http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20
11 Tversky A., Kahneman D., « Judgment under uncertainty: Heuristics and biases » (CORRESPONDENCE%20BIAS).pdf
(Jugement en situation d'incertitude : heuristique et biais), Science, 185, 1124-1130, 20 Taylor S.E. et Fiske S. T., « Point of view and perception so causality » (Point de
1974 — http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf vue, perception et causalité), Journal of Personality and Social Psychology, 32,
12 Mather M., Shafir E. et Johnson, M. K., « Misrememberance of options past: 439-445, 1975
Source monitoring and choice » (Distorsions dans la mémoire des options 21 Computer Security Institute, CSI Computer Crime and Security Survey (Enquête
passées : repérage des sources et choix), Psychological Science, 11, 132-138, sur la sécurité et le crime informatiques), 2007 — http://www.gocsi.com/forms/
2000 — http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf csi_survey.jhtml (inscription obligatoire)
Bien que l'ingénierie sociale existe probablement depuis l'aube de la civilisation, les
ravages qu'elle cause aujourd'hui en adaptant ses techniques à Internet suscitent de
nombreuses préoccupations. Cet article traite de l'évolution probable de ce phénomène.
Il est un fait que l'appât du gain est à l'origine de la déferlante Les attaques s'adaptent aux mécanismes de défense
actuelle de logiciels criminels (crimewares). La tendance
d'aujourd'hui manifeste une rupture totale avec le passé. Les Du point de vue des cybercriminels, la fraude sur Internet est une
premiers virus n'étaient autres que l'expression d'une curiosité activité confortable et sans grand danger. En plus de leur garantir
intellectuelle, du désir de compétition et, probablement, d'un des profits juteux et de leur offrir le choix de déterminer l'envergure
certain ennui. Les fraudes aux clics et les attaques par phishing de leur attaque, elle permet également aux malfrats de « travailler »
confirment ce changement : quelle pourrait en être la motivation librement à distance et leur assure une très faible traçabilité, et par
si ce n'est l'appât du gain ? — ces pratiques pouvant être de conséquent des risques fort limités. L'explosion de la cyberfraude n'a
fait fort lucratives. Il en va de même pour les différentes formes donc rien d'étonnant. Mais pour bien comprendre le fonctionnement
de spam. Ce dernier n'existerait pas s'il n'était pas synonyme de ces attaques, il faut d'abord analyser les mécanismes déployés
de rentrées d'argent pour les spammeurs. Il paraît donc logique pour s'en prémunir. Aujourd'hui, la lutte contre la cybercriminalité
d'examiner les différentes façons dont les cybercriminels s'effectue à trois niveaux : par des fonctions techniques (par
exploitent pour leur propre compte les diverses facettes d'Internet exemple, logiciels antivirus, filtres antispam et plugins de navigateur
afin de prévoir les tendances à venir en matière de fraude. antiphishing) ; par des campagnes de sensibilisation telles que
celles du FTC, d'eBay, de SecurityCartoon.com, de banques et
l'initiative CUPS (CMU Usable Privacy and Security) des laboratoires
de Carnegie Mellon University, et enfin par des moyens légaux. Ces
Fraude sur Internet : l'attaque sociotechnique derniers impliquent généralement l'identification de l'origine de la
Les experts sont de plus en plus nombreux à admettre que la fraude, la détection des « drop boxes » (boîtes de dépôt) et, enfin, la
cyberfraude ne se limite plus désormais au domaine technique, traduction en justice des coupables.
mais qu'elle fait de plus en plus appel à l'ingénierie sociale. Le Si le déploiement de moyens techniques et les mesures de
phishing en est l'un des exemples les plus évocateurs, même s'il sensibilisation — lorsqu'ils donnent des résultats tangibles —
n'est pas le seul. De nos jours, les attaques de logiciels criminels amenuisent les profits des criminels, les efforts légaux accroissent
qui recourent aux techniques d'ingénierie sociale sont de plus en les risques. Ces derniers sont considérables, en particulier au vu
plus courantes. Citons par exemple l'arnaque récemment de la croissance effrénée de la fraude sur Internet. Nous avons
perpétrée contre le Better Business Bureau (Bureau d'éthique donc de sérieuses raisons de penser que la cybercriminalité réagira
commerciale), illustrée à la figure 1. Lors de cette attaque par en développant des mécanismes visant à réduire ou à empêcher
phishing, une victime potentielle reçoit un e-mail semblant la traçabilité des attaques. En partant de cette hypothèse, nous
provenir de cet organisme et signalant une réclamation contre chercherons à déterminer les conséquences futures possibles de
l'entreprise du destinataire. La pièce jointe, qui comporte cette tendance. Pour cela, nous envisagerons deux types d'attaques
soi-disant les détails de la réclamation, contient en réalité un très difficilement traçables qui, même si elles n'ont encore jamais
téléchargeur de cheval de Troie. Pire encore, ces e-mails sont eu lieu, ne tarderont sans doute pas à se manifester. Commençons
généralement envoyés à des personnes haut placées dans la par analyser l'importance de l'aspect légal. Nous ferons pour cela
hiérarchie de l'organisation visée, bien souvent des responsables une légère digression afin d'examiner les raisons pour lesquelles les
de la gestion des plaintes émanant des clients. logiciels de demande de rançons (ransomwares) n'ont jamais pris
l'ampleur et produit les effets désastreux que l'on craignait.
AUTOMNE 2008 13
Le fiasco des ransomwares D'après vous, que se passe-t-il si quelqu'un ouvre ou exécute le
fichier joint ? Si l'e-mail ne finit pas dans le dossier de spam et si
A la fin des années 1990, les chercheurs de l'Université de le système antivirus ne le bloque pas, l'ordinateur est infecté ; un
Columbia ont émis l'hypothèse que la nouvelle vague de logiciels ordinateur qui a accès à des données sensibles ou au site web de
malveillants pourraient tenter de réaliser des prises d'otage de l'entreprise. Pire encore, qu'arrive-t-il si ces données sensibles se
données : celles-ci seraient chiffrées au moyen d'une clé publique retrouvent exposées sur Internet, peut-être même sur le site web
véhiculée par un logiciel malveillant, leur « libération » étant de l'entreprise elle-même ? Tohu-bohu général, et dégringolade
conditionnée au paiement d'une rançon contre divulgation de la du cours de l'action ! Le criminel remporte donc son pari : il ne
clé secrète, permettant l'accès aux fichiers chiffrés. Des années plus lui reste plus qu'à réaliser ses options de vente et à encaisser les
tard, le cheval de Troie Archiveus a lancé une attaque semblable, à bénéfices sur l'action en chute libre. En procédant ainsi, l'auteur
la seule différence qu'il mettait en œuvre un chiffrement par clés de l'attaque reste totalement intraçable, puisqu'il se comporte de
symétriques au lieu d'une clé publique. L'attaque a été déjouée la même façon que les autres investisseurs détenant des options
lorsqu'une ingénierie inverse a permis de démanteler le cheval de de vente. Qui est le coupable ? Personne n'est à même de le dire.
Troie et d'extraire la clé de chiffrement/déchiffrement pour ensuite
la distribuer aux victimes. Cependant, l'attaque par Archiveus était Falsification des clics
sans doute vouée à l'échec même si elle avait utilisé un chiffrement
par clé publique (qui, par nature, aurait empêché l'ingénierie La fraude aux clics est un autre type courant de fraude en
inverse de la clé de chiffrement à partir du code, puisque cette clé ligne. Elle exploite le fait que lorsqu'un internaute clique sur
n'aurait jamais été contenue dans le code). La raison de l'échec une annonce, l'annonceur paie une commission au site web
probable n'est pas d'ordre technique, mais financier : en effet, les sur lequel est affichée l'annonce et au portail qui a fourni cette
criminels n'auraient eu aucun moyen de récupérer la rançon en dernière au site web. D'autres types de fraudes similaires tirent
toute sécurité, sans être pistés. parti de campagnes publicitaires qui entraînent un transfert
d'argent dès que l'internaute « voit » une bannière publicitaire
L'offensive des logiciels de cybervandalisme (qu'il effectue ou non une action), ou déclenchent une vente ou
une autre action quand celui-ci voit une annonce. Ces fraudes
Partons de l'exemple des logiciels de demande de rançons ont pour objectif de ponctionner ces transferts d'argent (le
pour examiner un nouveau type d'attaque, celle des logiciels cybercriminel empoche pour chaque annonce affichée sur son
de cybervandalisme (vandalwares). Ce n'est ni l'amusement ni site web) ou de drainer les budgets publicitaires de concurrents
la provocation qui motive ce type de délinquance, mais plutôt (si ces derniers sont les annonceurs qui paient pour les publicités).
l'intérêt financier. Le cybervandale s'y prend en général de la façon Souvent, les escrocs génèrent du trafic de façon automatisée, de
suivante : il commence par choisir l'entreprise qu'il va cibler, puis il sorte que les annonces semblent avoir été réellement visualisées
recourt à des techniques d'exploration de données pour collecter par des internautes. L'automatisation peut avoir recours à
autant d'informations détaillées que possible sur les travailleurs une forme de logiciel malveillant, tel qu'un réseau de robots.
vulnérables. Ces derniers sont ceux qui ont accès aux données Autre approche courante : les malfaiteurs peuvent recruter des
sensibles ou aux pages qui constituent la « devanture » du site « cliqueurs à gage » qui activeront des annonces sélectionnées.
web de l'entreprise. L'employé vulnérable constitue pour les
vandales du Web une source précieuse d'informations, notamment
sur la structure interne de l'entreprise, les noms des personnes Réclamation auprès du BBB
occupant des postes importants et le format des adresses e-mail.
Ensuite, l'escroc achète des options de vente de l'entreprise (s'il BBB CASE #569822971
s'agit d'une société cotée en bourse). Une option de vente est
&RPSODLQW¿OHGE\ 0LFKDHO7D\ORU
un instrument financier dont la valeur augmente si le cours de %XVLQHVV1DPH
l'action correspondante chute : elle permet aux investisseurs et &RPSODLQW¿OHGDJDLQVW &RQWDFW
%%%0HPEHU
spéculateurs d'engranger des bénéfices dans la mesure où un titre
&RPSODLQWVWDWXV
est sur le point de perdre de la valeur. Il est fort probable qu'en
&DWHJRU\ &RQWUDFW,VVXHV
plus du criminel, d'autres investisseurs acquièrent également &DVHRSHQHGGDWH
des options de vente, en particulier si l'action de l'entreprise &DVHFORVHGGDWH
ciblée présente un volume de transactions raisonnable. Enfin,
$WWDFKHG\RXZLOO¿QGDFRS\RIWKHFRPSODLQW3OHDVHGRZQORDGDQG
le cybervandale lance l'attaque contre la société, en général NHHSWKLVFRS\VR\RXFDQSULQWLWIRU\RXUUHFRUGV
en envoyant à quelques travailleurs sélectionnés des e-mails 2Q)HEUXDU\WKHFRQVXPHUSURYLGHGWKHIROORZLQJLQIRUPDWLRQ
falsifiés semblant provenir d'un autre membre du personnel, 7KHFRQVXPHULQGLFDWHGKHVKH','127UHFHLYHGDQ\UHVSRQVHIURPWKH
EXVLQHVV
leur supérieur par exemple : « Bonjour Jacques, Pouvez-vous
7KHIRUP\RXXVHGWRUHJLVWHUWKLVFRPSODLQWLVGHVLJQHGWRLPSURYHSXEOLF
examiner la présentation PowerPoint en pièce jointe et me dire DFFHVVWRWKH%HWWHU%XVLQHVV%XUHDXRI&RQVXPHU3URWHFWLRQ&RQVXPHU
ce que vous en pensez ? Merci de bien vouloir me faire un bref 5HVSRQVH&HQWHUDQGLVYROXQWDU\7KURXJKWKLVIRUPFRQVXPHUVPD\
HOHFWURQLFDOO\UHJLVWHUDFRPSODLQWZLWKWKH%%%8QGHUWKH3DSHUZRUN
rapport sur la question pour demain matin. Je compte sur vous. » 5HGXFWLRQ$FWDVDPHQGHGDQDJHQF\PD\FRQGXFWRUVSRQVRUDQGD
SHUVRQLVQRWUHTXLUHGWRUHVSRQGWRDFROOHFWLRQRILQIRUPDWLRQXQOHVVLW
Ou le soi-disant expéditeur peut être un administrateur système : GLVSOD\VDFXUUHQWO\YDOLG20%FRQWUROQXPEHU7KDWQXPEHULV
« Un nouveau virus informatique dangereux a été détecté, et nos %%%RUJ$OO5LJKWV5HVHUYHG
systèmes ne sont pas équipés des correctifs adéquats pour nous en &RPSODLQWBGRF!
protéger. Veuillez installer immédiatement le programme ci-joint
sur votre ordinateur pour assurer notre sécurité. Effectuez cette Figure 1 : Escroquerie contre le Better Business Bureau. L'e-mail contient une pièce jointe
procédure le plus vite possible. » infectée, l'auteur de l'attaque espérant que celle-ci sera ouverte par le destinataire.
AUTOMNE 2008 15
Une cible de choix
pour les logiciels
d'ingénierie sociale
Elodie Grandjean
La plupart d'entre nous ont déjà reçu un e-mail concernant une t Faux e-mails émanant de banques, de services de paiement
importante mise à jour de sécurité ou un message émanant en ligne et d'autres services financiers qui demandent une
d'une ancienne connaissance désireuse de renouer le contact, qui confirmation ou une mise à jour des références de connexion
contenaient en réalité une pièce jointe ou une URL malveillante. ou des informations de carte de crédit
t E-mails de menace, mentionnant des peines d'emprisonnement
Ne croyez pas que les e-mails constituent le seul vecteur de
ou des appels à des fonctions de juré
propagation des logiciels malveillants à l'aide des techniques
d'ingénierie sociale. Il existe une pléthore d'autres ruses, t Jeux et économiseurs d'écran gratuits contenant un cheval de
recourant notamment aux très populaires services de messagerie Troie ou des outils antispyware gratuits, souvent eux-mêmes
instantanée. Si son système a été compromis, un ami peut vous des programmes malveillants
envoyer un message dans lequel il vous invite à regarder des t Evénements majeurs, tels que compétitions sportives,
photos, accompagné d'une URL pointant vers un fichier. Vous catastrophes climatiques ou actualité brûlante
faites naturellement confiance au contact sans savoir que son
système est infecté. Et dans de nombreux cas, l'URL vous redirige t Mention de célébrités et potins les concernant
vers un logiciel malveillant. t Relations secrètes ou considérées comme fiables, notamment
l'abonnement à des sites de réseau social, faux amis, anciens
D'autres logiciels malveillants font appel à l'ingénierie sociale camarades de classe, membres de la famille et amants secrets
pour s'emparer d'informations confidentielles, dont les références
de connexion, les numéros de carte de crédit, etc. Ces techniques La liste des sujets potentiels est pratiquement illimitée, et tous
sont généralement utilisées dans le cadre d'attaques par phishing sont très attirants pour un grand nombre d'utilisateurs aux quatre
ou d'intrusions sur les serveurs. coins du monde. A la lumière de la liste, on constate également
que l'ingénierie sociale peut souvent prendre pour cible des
Parmi les sujets évoqués par les spécialistes de l'ingénierie sociale groupes d'utilisateurs au niveau local ou national. Ainsi, une
pour appâter leurs victimes, les plus souvent utilisés sont les attaque d'envergure mondiale lancée contre un site de réseau
services « pour adultes ». En voici quelques autres, étant entendu social connu touchera un public international. En revanche, une
que la liste est loin d'être exhaustive : attaque similaire concernant l'élection présidentielle américaine
t Liens et images pornographiques fera des victimes majoritairement américaines.
AUTOMNE 2008 17
Etude de cas : attaque de logiciel actifs, localise le répertoire d'installation d'Acrobat puis ouvre
le fichier book.pdf. La figure 4 (page suivante) montre le code
malveillant sur fond de Jeux Olympiques contenu dans le fichier injecteur responsable de l'action.
Nous avons récemment reçu le fichier PDF, declaration_olympic_ Le logiciel malveillant injecte également un autre fichier
games_eng.pdf, envoyé initialement à un groupe pro-tibétain exécutable, book.exe, qui se copie sous %ALLUSERSPROFILE%\
(voir figure 1). Ce document semblait inoffensif dans la mesure Application Data\msmsgs.exe et crée un nouveau service
où, à l'ouverture de l'application, le texte apparaissait sans bloquer Windows4. Ce nouveau service porte le nom de « Logical Disk
l'application ni provoquer d'événements inhabituels. La plupart Manager Service » (Service du gestionnaire de disques logiques)
des utilisateurs n'ont dès lors pas suspecté la présence d'une et garantit l'exécution automatique du cheval de Troie au
quelconque activité malveillante. Toutefois, en arrière-plan, certains démarrage de Windows.
fichiers malveillants étaient silencieusement créés sur les ordinateurs
des victimes. Examinons à présent le fonctionnement de l'attaque. Le logiciel malveillant dispose même d'un « plan de secours »
pour intercepter le processus de démarrage : s'il n'arrive pas
En fait, le fichier declaration_olympic_games_eng.pdf est un à créer le service, il ajoute une nouvelle entrée de Registre,
fichier PDF vide qui exploite une vulnérabilité d'Acrobat pour Windows Media Player, qui pointe vers msmsgs.exe. Windows
injecter et exécuter la première partie d'un package malveillant. Media Player est ajouté à la clé de démarrage suivante dans
Ce fichier exécutable malveillant (détecté sous le nom de le Registre5 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
BackDoor-DOW3) est incorporé sous une forme chiffrée à Windows\CurrentVersion\Run. Le cheval de Troie crée également
l'emplacement illustré dans l'éditeur hexadécimal de la deux fichiers contenant certaines données chiffrées :
figure 2 (page suivante).
t C:\WINDOWS\jwiev.log.bak
La figure 3 (page suivante) montre les premiers octets du fichier
incorporé après qu'il a été déchiffré.
t C:\WINDOWS\clocks.avi.bak
Name/Title
Date
AUTOMNE 2008 19
Cette tendance risque de prendre de
Les trois scripts côté serveur loginv2.asp, votev2.asp et l'ampleur au cours des mois à venir.
logoutv2.asp informent l'auteur de l'attaque qu'un nouvel
Elle est inquiétante car la plupart
ordinateur compromis est disponible afin de vérifier si
une commande a été envoyée par le pirate ou d'arrêter le des internautes font confiance aux
composant Backdoor. Pour lire la réponse envoyée après la éditeurs de logiciels de sécurité. Si cette
connexion à l'un des scripts côté serveur, le cheval de Troie crée confiance était entamée, les dommages
une copie de la page web renvoyée dans le dossier suivant :
C:\Program Files\InstallShield Installation Information\ seraient sans doute encore plus graves.
Le nom du fichier représente une valeur aléatoire de six
chiffres et, une fois lu, le fichier est supprimé. loginv2.asp et
logoutv2.asp renvoient uniquement des pages web vides (avec
des balises <html><head></head></html>). En revanche,
votev2.asp renvoie soit du code signifiant approximativement
Sites et logiciels malveillants
« Le composant backdoor est prêt mais aucune action n'est Les accroches dont usent les auteurs d'attaques d'ingénierie
nécessaire pour le moment » (@n4@300@), soit une commande sociale ne se limitent pas aux événements sportifs. Depuis plusieurs
similaire aux exemples suivants : mois, nous avons pu constater une augmentation des logiciels
malveillants prétendument développés par des éditeurs de logiciels
t @n11@http://www1.palms[supprimé]/ld/v2/sy64.
de sécurité. Ces programmes trompent les victimes en prétendant
jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d
les aider. Comble de l'ironie, plusieurs variantes du cheval de Troie
302f7a58aeb1@
FakeAlert7 avertissent les victimes que leur ordinateur a été infecté
t @n11@http://www1.palms[supprimé]/ld/v2/200764.jpg @% et communiquent des informations (souvent des URL malveillantes)
SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f permettant de télécharger des outils « antispyware » qui sont en
fd48c@. réalité des applications malveillantes.
Les deux commandes signifient approximativement « télécharger Etant donné l'importance que revêtent les mises à jour des
le fichier susmentionné avec l'extension .JPG et l'injecter dans le logiciels, il n'a pas fallu longtemps pour que des sites web
dossier %SysDir% de l'ordinateur de la victime à l'aide du nom malveillants commencent à imiter le site Windows Update légitime.
du fichier exécutable fourni ». La dernière partie de la réponse est Une méthode très élaborée utilisant des composants DLL a été
le hachage md5 du fichier en passe d'être téléchargé (et utilisé récemment découverte. Liée à un pseudo-site Windows Update,
pour contrôler l'intégrité du fichier). elle empêchait Internet Explorer d'avertir les utilisateurs lorsqu'un
Tout au long du processus, les victimes ne se doutent pas un seul serveur web distant utilisait un certificat non valide pour un site
instant de ce qui se passe en arrière-plan. Pendant qu'ils lisent et web sécurisé (HTTPS). Cette attaque avait pour but de dissimuler
complètent la déclaration envoyée par le fichier PDF malveillant, des fichiers malveillants sous le couvert de mises à jour Windows
le composant backdoor est installé silencieusement sur leur qui étaient téléchargées et exécutées par les victimes.
ordinateur, dans l'attente des commandes qui seront envoyées Cette tendance risque de prendre de l'ampleur au cours des mois
par le pirate. A ce stade, il est possible de télécharger n'importe à venir. Elle est inquiétante car la plupart des internautes font
quel autre fichier malveillant sur l'ordinateur, dans la mesure où il confiance aux éditeurs de logiciels de sécurité. Si cette confiance
est entièrement compromis. était entamée, les dommages seraient sans doute encore plus graves.
NOTES
1 Fribet, McAfee VIL — http://vil.nai.com/vil/content/v_144356.htm 7 FakeAlert-B, McAfee VIL — http://vil.nai.com/vil/content/v_139058.htm
2 « Is Malware Writing the Next Olympic Event? » (Le développement de logiciels FakeAlert-C — http://vil.nai.com/vil/content/v_139219.htm
malveillants est-il le prochain événement olympique ?) Blog McAfee Avert Labs FakeAlert-D — http://vil.nai.com/vil/content/v_140346.htm
— http://www.avertlabs.com/research/blog/index.php/2008/04/14/ FakeAlert-D!56c05f7f — http://vil.nai.com/vil/content/v_142850.htm
is-malware-writing-the-next-olympic-event/ FakeAlert-H — http://vil.nai.com/vil/content/v_141377.htm
3 « BackDoor-DOW », McAfee VIL — http://vil.nai.com/vil/content/v_144476.htm FakeAlert-I — http://vil.nai.com/vil/content/v_141466.htm
4 « Services », Microsoft Developer Network — http://msdn.microsoft.com/en-us/ FakeAlert-G — http://vil.nai.com/vil/content/v_141163.htm
library/ms685141(VS.85).aspx FakeAlert-M — http://vil.nai.com/vil/content/v_142807.htm
5 « Registre », Microsoft Developer Network — http://msdn.microsoft.com/en-us/ FakeAlert-Q — http://vil.nai.com/vil/content/v_143088.htm
library/ms724871(VS.85).aspx FakeAlert-R — http://vil.nai.com/vil/content/v_143102.htm
6 « Description de Svchost.exe dans Windows XP », Microsoft Help and Support FakeAlert-S.dll — http://vil.nai.com/vil/content/v_143110.htm
— http://support.microsoft.com/kb/314056/en-us FakeAlert-T — http://vil.nai.com/vil/content/v_143406.htm
Generic FakeAlert.a — http://vil.nai.com/vil/content/v_143470.htm
AUTOMNE 2008 21
Les vulnérabilités des
marchés boursiers
Anthony Bettini
La récente crise des crédits qui a secoué les marchés des actions et des produits dérivés a
attiré l'attention sur les nombreuses facettes du secteur financier autres que les structures
de contrôle réglementaire, les agences de notation financière, les fonds spéculatifs, le
capital d'investissement, les fonds de pension et d'autres teneurs de marché.
En raison de cette attention médiatique constante, les spécialistes Comme il s'agit d'un sujet d'étude très large, commençons par
des sciences connexes (informatique, bioinformatique, etc.) analyser uniquement les vulnérabilités des produits Microsoft. Dans
commencent à s'intéresser de plus près à l'ingénierie financière. un proche avenir, nous prévoyons de compléter nos recherches
en y incluant des données relatives à d'autres éditeurs de logiciels,
Etant donné notre expérience dans le domaine de la recherche ainsi qu'une étude comparative sur l'impact économique des
de vulnérabilités et le battage médiatique autour de la crise des méthodes de distribution de correctifs (par exemple la publication
crédits, il est normal de se pencher sur les vulnérabilités des mensuelle de Microsoft, la publication trimestrielle d'Oracle et les
marchés des actions et des produits dérivés. Lors de la conférence publications en fonction des besoins d'autres éditeurs).
Black Hat 2007 aux Etats-Unis, Matasano Security s'est intéressé
au protocole FIX (Financial Information eXchange), sur lequel
repose le transfert des messages entre les gestionnaires de L'hypothèse
portefeuille exécutant des ordres pour le compte de leurs clients et Le jour de diffusion des correctifs mensuels est le deuxième mardi
les opérateurs en bourse1,2. Les recherches de Matasano portent de chaque mois (d'où le surnom de « Patch Tuesday »). C'est le
sur diverses questions dont les éventuelles vulnérabilités du seul jour du mois où Microsoft publie principalement les mises
protocole FIX. S'il s'agit d'une approche intéressante sur les points à jour fonctionnelles et les mises à jour de sécurité de Windows
faibles des protocoles financiers en termes de sécurité, notre article et de ses autres applications. Selon notre hypothèse, en ce jour
adopte, quant à lui, une démarche différente. Il s'attache plutôt à précis, il existe une pression à la baisse sur l'action Microsoft
l'aspect financier et à l'ingénierie sociale qu'aux vulnérabilités. (sigle de l'action : MSFT). Cette pression est vraisemblablement
due à des communiqués de presse concernant les répercussions
Notre recherche s'intéresse aux questions suivantes :
négatives des vulnérabilités de sécurité présentes dans les
t Quelles sont les implications sur le cours de l'action de la logiciels Microsoft. De la même façon, le cours a tendance à
publication mensuelle des correctifs Microsoft (Patch Tuesday) ? remonter le lendemain, le mercredi, lorsque les investisseurs
réalisent que l'action a été survendue la veille.
t Qu'en est-il du jour qui précède cette publication ?
t Et du jour qui suit celle-ci (parfois désigné en anglais par le Le jour de diffusion des correctifs fait-il l'objet d'une
terme « Exploit Wednesday ») ? certaine forme de spéculation ?
t Que se passe-t-il le jour de la publication des bulletins Tout porte à le croire. En tout cas, il semble y avoir une
Microsoft Security Bulletin Advance Notification ? corrélation entre les fluctuations du cours de l'action et le cycle
de distribution des correctifs. A titre d'exemple, reportons-nous à
t Qu'en est-il des menaces émergentes ?
la figure 1 (page suivante).
t Les investisseurs sont-ils même conscients de ces événements ?
La première ligne, « Moyenne de l'année », représente notre
t Existe-t-il actuellement des événements d'ingénierie sociale moyenne de référence de la différence entre le cours de l'action
liés aux vulnérabilités et aux marchés des actions ? Des Microsoft à l'ouverture des marchés, et ce cours à la clôture. La
événements de ce type pourraient-ils se multiplier à l'avenir ? figure inclut une autre base de référence, à savoir la moyenne
Fluctuation du cours de l'action Microsoft entre l'ouverture et la clôture Fluctuation de l'action Microsoft entre le cours d'ouverture et le cours
intrajournalier le plus bas
FLUCTUATION DU COURS DE L'ACTION FLUCTUATION DU COURS DE L'ACTION
MSFT ENTRE L'OUVERTURE ET LA 2008 2007 2006 MSFT ENTRE L'OUVERTURE ET 2008 2007 2006
CLÔTURE DES MARCHÉS LE COURS LE PLUS BAS
Moyenne de l'année -0,17 % 0,06 % 0,08 % Moyenne de l'année -1,35 % -0,89 % -0,64 %
Jours sans événements -0,20 % 0,07 % 0,08 % Jours sans événements -1,39 % -0,90 % -0,64 %
Publication des bulletins Microsoft
-0,43 % -0,12 % -0,08 % Publication des bulletins Microsoft -1,24 % -1,24 % -0,36 %
Security Bulletin Advance Notification
Security Bulletin Advance Notification
Jour de publication des correctifs Jour de publication des correctifs
-0,45 % -0,29 % -0,11 % -1,58 % -0,99 % -0,93 %
mensuels (Patch Tuesday) mensuels (Patch Tuesday)
Tous les mardis 0,16 % 0,05 % -0,03 % Tous les mardis -1,16 % -0,81 % -0,74 %
Tous les mardis sauf Patch Tuesday 0,37 % 0,15 % -0,01 % Tous les mardis sauf Patch Tuesday -1,01 % -0,76 % -0,68 %
Jour suivant Patch Tuesday 0,49 % 0,21 % 0,27 % Jour suivant Patch Tuesday -0,91 % -0,74 % -0,47 %
Tous les mercredis -0,18 % 0,44 % 0,29 % Tous les mercredis -1,39 % -0,78 % -0,51 %
Mercredi sauf celui qui suit Mercredi sauf celui qui suit
-0,40 % 0,51 % 0,26 % -1,56 % -0,79 % -0,54 %
Patch Tuesday Patch Tuesday
Figure 1 : L'analyse de la fluctuation du cours de l'action Microsoft les jours clés Figure 3 : Le jour de publication des correctifs mensuels conserve sa position de cours
montre une tendance régulière sur trois ans. le plus bas par rapport au cours intrajournalier moyen le plus bas de l'année.
Figure 2 : Dans les transactions intrajournalières, les jours de notification avancée et les
jours de publication des correctifs mensuels de Microsoft affichent systématiquement des
moyennes de cours de l'action moins élevées que les autres jours de l'année.
AUTOMNE 2008 23
Avant de poursuivre, un conseil de prudence à l'intention du Sachant qu'à l'heure actuelle, de fausses rumeurs et divulgations
spéculateur sur séance occasionnel ou du petit investisseur : ces de vulnérabilités circulent déjà via des listes de diffusion telles
fluctuations du cours sont relativement faibles et très limitées que Full Disclosure ou dans les salles de chat IRC, on peut
dans le temps. Avec un tel profil d'investissement, réaliser un envisager la possibilité d'orchestrer des événements de ce type
bénéfice exigerait un gros investissement important et assez grâce à l'ingénierie sociale dans le but de manipuler le marché
risqué en capital. Qui plus est, l'ensemble de données illustré et ses acteurs. Un tel scénario serait évidemment illégal, mais
ici est relativement restreint et donc inévitablement peu fiable. certains font peu de cas de la loi lorsqu'il y a l'espoir d'un profit
Par exemple, une année compte environ 260 jours d'ouverture à la clé. Par ailleurs, comme nous le verrons plus tard, toutes les
des marchés, dont douze seulement correspondent aux jours de attaques n'auraient pas nécessairement recours à l'ingénierie
publication des correctifs mensuels. Néanmoins, en dépit d'un sociale. Certaines peuvent même être légales.
ensemble de données et de fluctuations limités, ce niveau de
En tenant compte de l'hypothèse d'efficience des marchés
corrélation peut s'avérer utile pour les investisseurs institutionnels,
(EMH, Efficient Market Hypothesis) et de l'hypothèse de marche
même s'il doit être modélisé de la façon adéquate.
aléatoire (RWH, Random Walk Hypothesis), il semble peu
Examinons à présent les chiffres comparatifs des écarts de plus- probable qu'il existe des scénarios de plus-value basés sur des
value potentiels de la figure 4. prévisions à court terme du marché, et en tout cas qu'ils se
Elle montre qu'il semble possible de réaliser une petite plus-value reproduisent régulièrement3,4. A cet égard, il convient d'attirer
l'attention des lecteurs sur le fait que « les performances passées
en achetant des actions lorsque le cours s'approche de sa valeur
ne laissent rien présumer des performances futures5.
moyenne intrajournalière la plus basse le jour de la publication
des correctifs mensuels, et en les vendant le jour suivant, lorsque
la valeur de l'action correspond à la moyenne intrajournalière la Rôle du volume des actions en tant qu'indicateur
plus élevée. (L'effet serait naturellement atténué si cette pratique Dans une autre théorie, nous soutenions que le cycle des jours
devait se généraliser.) de publication des correctifs mensuels avait atténué l'impact
Les écarts de plus-value illustrés ici sont basés sur de véritables qu'une presse négative pouvait avoir à l'époque où la diffusion
divulgations de vulnérabilités et sur l'hypothèse que les gens des bulletins de sécurité n'était pas planifiée (avant la mi-
réagissent de façon prévisible à de tels événements. De la même octobre 2003). Un rapide coup d'œil à l'indicateur du volume
façon que des rumeurs d'une OPA hostile peuvent se répercuter d'actions semblent étayer cette théorie. (Reportez-vous à la
sur le cours d'une action, des rumeurs concernant plusieurs figure 5 pour plus de détails.)
failles de sécurité graves et dangereuses pour les utilisateurs
risquent d'avoir le même effet.
Cours intra- Cours intra- Cours intra- Cours intra- Cours intra- Cours intra-
journalier journalier journalier journalier journalier journalier
le plus bas le plus haut le plus bas le plus haut le plus bas le plus haut
Entre le cours intrajournalier le plus bas de l'année
-1,35 % 1,28 % -0,89 % 0,97 % -0,64 % 0,88 %
et le cours intrajournalier le plus haut de l'année
Entre le cours intrajournalier le plus bas d'un jour Figure 4 : L'achat d'actions le
de publication des correctifs mensuels (Patch jour de publication des correctifs
Tuesday) et le cours journalier le plus haut -1,58 % 0,92 % -0,99 % 0,98 % -0,93 % 0,67 %
mensuels et leur vente le
d'un même jour
lendemain permet de réaliser un
Entre le cours intrajournalier le plus bas d'un jour de gain légitime, mais uniquement
publication des correctifs mensuels (Patch Tuesday) -1,58 % 1,52 % -0,99 % 1,30 % -0,93 % 0,70 % sur de gros volumes d'actions et
et le cours journalier le plus haut du jour suivant
avec un risque considérable.
ÉCARTS DE VOLUME D'ACTIONS MSFT ECHANGÉES (PUBLICATIONS NON PLANIFIÉES) 2003 2002
Volume moyen, année complète (en actions échangées par jour) 65 074 644 76 903 678
Volume moyen, année complète (jours sans événements) 64 512 432 76 503 325
Figure 5 : Volume de
Volume moyen, jour d'un bulletin non planifié 70 017 743 78 796 255
transactions liées à l'action
Différence moyenne en volume 7,60 % 2,46 % Microsoft avant le passage à
la publication planifiée des
Ecart moyen en volume par rapport aux jours sans événements 8,53 % 3,00 %
correctifs mensuels
Volume moyen, année complète 84 898 274 62 506 437 67 074 387 66 612 503 66 793 733
AUTOMNE 2008 25
La figure 5 (page 25) montre que le jour de la publication d'un
bulletin de sécurité non planifié en 2003 et en 2002, le volume
Il se peut que certains utilisent déjà des
moyen des actions échangées dépassait le volume moyen de
l'année, respectivement de 7,6 % et de 2,46 % en moyenne. menaces de type « jour zéro » dans un
En les comparant uniquement aux jours sans événements but lucratif, non plus simplement en les
pour le volume moyen de l'année complète, ce chiffre atteint incorporant à des chevaux de Troie voleurs
respectivement 8,53 et 3 %. de mots de passe, mais pour prendre des
Ces chiffres contrastent nettement avec les écarts de volume positions de vente ou d'option sur les
constatés lors des publications de correctifs mensuels, plus marchés des actions et des produits dérivés.
prévisibles, comme l'illustre la figure 6 (page 25). Nous avons
également inclus une comparaison entre l'action Microsoft
(MSFT) et l'indice NASDAQ Composite (^IXIC).
Cela sous-entendrait que le passage d'une publication non
Communiqués de presse, réactions et implications
planifiée des bulletins (marche aléatoire) à une publication Les implications de cette analyse sont intéressantes et nous
préplanifiée (le deuxième mardi du mois) a entraîné une espérons que cet article contribuera à stimuler la réalisation de
diminution de l'intérêt des opérateurs en bourse pour les nouvelles études concernant l'influence des vulnérabilités et des
événements associés à Patch Tuesday. menaces sur les marchés des actions.
Examinons à présent les données de comparaison concernant Prenons l'exemple du canular Emulex7. Dans cette affaire, une
la publication des bulletins Microsoft Security Bulletin Advance personne a publié un faux communiqué de presse sur le départ
Notification (figure 7 ci-dessous). du président-directeur général de la société qui a entraîné ce
jour-là une chute de 62 % du cours de l'action Emulex. L'auteur
Pourquoi le volume moyen des transactions est-il plus faible le jour
du canular avait pris une position courte importante sur l'action
de cette notification avancée et le jour de publication des correctifs
et a réalisé un bénéfice de plus de 250 000 dollars. Il s'agissait
mensuels ? Selon notre hypothèse, la différence entre le volume
d'une fraude manifeste. De la même façon, les médias font
moyen de l'année et le volume moyen enregistré le jour des
périodiquement état de délits d'initiés (tout aussi illégaux).
correctifs mensuels peut s'expliquer en partie par des événements
d'importance majeure affectant la moyenne annuelle (en vertu de En revanche, si les fluctuations du cours de l'action sont liées à
la théorie des martingales) et qui, statistiquement, ont moins de des annonces de correctifs ou de vulnérabilités, que se passerait-il
chances de se produire le jour de la publication mensuelle compte si un investisseur prenait une position courte sur une importante
tenu de sa faible fréquence (douze fois par an)6. société d'édition de logiciels et publiait une série de vulnérabilités
ECARTS DE VOLUME D’ACTIONS MSFT ECHANGEES (NOTIFICATION AVANCEE) 2008 2007 2006
Volume moyen, année complète 84 898 274 62 506 437 67 074 387
Volume moyen, année complète (jours sans événements) 86 738 696 64 210 868 68 753 419
Volume moyen, jour de notification avancée 82 848 700 61 532 042 54 484 850
Ecart moyen en volume par rapport aux jours sans événements -4,48 % -4,17 % -20,75 %
Volume moyen pour l’indice ^IXIC, année complète 2 249 267 340 2 089 534 502 1 926 859 522
Figure 7 : En moyenne, le
volume d'échange des actions
Volume moyen pour l’indice ^IXIC, année complète (jours sans événements) 2 271 900 270 2 094 466 552 1 935 854 692 Microsoft est plus faible les jours
de notification avancée et de
Volume moyen pour l’indice ^IXIC lors d’une notification avancée 2 221 380 000 2 224 365 833 1 872 442 500
publication des correctifs mensuels.
AUTOMNE 2008 27
L'avenir des sites
de réseau social
Craig Schmugar
Ces dernières années, les sites de réseau social tels que MySpace, Facebook et bien
d'autres ont vu leur popularité croître à ce point qu'ils font désormais partie du paysage.
Dans l'esprit de la plupart des gens, il s'agit d'un phénomène relativement neuf
alors qu'en réalité, des sites tels que Classmates.com et SixDegrees. Lorsque le parc d'utilisateurs s'est fortement développé et que
com existent depuis plus de dix ans. Il n'en reste pas moins que le contenu proposé a évolué (notamment par l'ajout de jeux), le
ces sites n'ont connu un véritable essor qu'au cours des dernières système dorsal s'est trouvé incapable de faire face à la charge
années. Posons-nous d'abord la question de savoir ce qui caractérise supplémentaire. Les administrateurs du site ont été contraints
un site de réseau social. A la base, les sites de réseau social sont de limiter le contenu à bande passante élevée sans toutefois
des sites qui hébergent une communauté en ligne permettant aux remédier aux problèmes de performances, et les utilisateurs ont
utilisateurs de partager des informations, de nouer de nouveaux fini par se détourner du site. De plus, Friendster attendait de
contacts et de renouer avec d'anciennes connaissances. ses utilisateurs qu'ils se conforment à son modèle prédéterminé
d'utilisation du réseau et qu'ils correspondent à un certain profil.
Les sites de réseau social sont importants à deux égards. D'une
part, ils sont la parfaite illustration des sites du Web 2.0, dont le MySpace constituait une plate-forme plus robuste, tout d'abord en
réseau d'utilisateurs représente la plate-forme et la communauté termes de bande passante, mais aussi en raison de la grande liberté
détermine le contenu. La plate-forme se développe grâce aux accordée aux utilisateurs pour créer, modifier et consulter un contenu
contributions des utilisateurs qui utilisent, pour ce faire, les très diversifié. Lorsque le bruit a couru que MySpace était devenu le
applications mises à la disposition de la communauté. D'autre nouveau Friendster, il n'a pas fallu longtemps pour que la majorité
part, les sites de réseau social combinent divers canaux de des utilisateurs abandonnent ce dernier au profit du premier.
communication (e-mail, forums de messages, messagerie
instantanée et salles de chat) aux supports multimédias que sont De cette première bataille dans l'univers des réseaux sociaux, on
l'audio, la vidéo et l'impression. Au sein de ces communautés, peut tirer quelques enseignements : la souplesse de la plate-forme
des personnes ayant des centres d'intérêt similaires partagent est capitale, tout comme sa faculté de s'étendre et d'évoluer ou
informations, opinions et commentaires. De tels sites peuvent encore sa capacité à fidéliser les utilisateurs. Le respect de ces trois
servir de plates-formes de collaboration, ce qui permet aux grands principes prépare l'avenir des sites de réseau social.
réseaux de gagner en valeur à mesure que leur parc d'utilisateurs
prend de l'ampleur. En outre, ces plates-formes représentent
des canaux de médias extrêmement directs et ciblés. Dans une
Insécurité sociale
optique de marketing, les sociétés peuvent ainsi concentrer MySpace a pu supplanter Friendster en offrant notamment
leurs efforts sur les consommateurs réellement intéressés par aux utilisateurs des possibilités de personnalisation accrues.
leurs produits. Les sites de réseau social hébergent une mine Mais les auteurs d'attaques en ont profité pour insérer du code
d'informations qu'il est possible d'explorer et d'analyser dans malveillant et lancer des attaques par phishing très convaincantes
le but de compléter des profils d'utilisateur et de cartographier directement à partir de leur profil MySpace.
de façon précise les relations entre les utilisateurs d'une part, et Malheureusement, cette souplesse offerte aux utilisateurs crée un
entre les utilisateurs et leurs centres d'intérêt d'autre part. environnement idéal pour les exploits, dont les malfaiteurs usent
et abusent. Dans la course aux parts de marché et pour éviter une
La clé du succès d'un site de réseau social est un parc d'utilisateurs
débâcle similaire à celle de Friendster, de nombreux sites de réseau
bien développé et fidèle. Friendster.com en a fait la triste expérience.
social ont relégué la sécurité au second plan. Ils sont par conséquent
Précurseur de MySpace, Friendster a été, à son heure de gloire, le le théâtre de nombreuses nuisances : vers, attaques par phishing,
plus important site de réseau social. Cela n'a malheureusement vulnérabilités, collecte illicite d'informations, fuites de données,
pas duré. Le site a été, en quelque sorte, victime de son succès. distribution de publicités indésirables, diffamations et spam.
Secret Crush programme indésirable FaceBook De votre iPhone, vous pourrez consulter les recommandations
des membres de votre réseau concernant les films à voir. Vous
Ver Xanga ver Xanga
pourrez lire les critiques que vos amis ont appréciées et afficher
les horaires des cinémas proches de chez vous, de même qu'il
Figure 1 : Les vers et autres menaces sévissent sur les sites de réseau social en raison vous sera possible de savoir où se trouvent vos amis et combien
de la trop grande confiance des utilisateurs envers les sites de leur communauté. de temps il leur faudra pour vous retrouver.
AUTOMNE 2008 29
Les sites seront en mesure d'identifier vos centres d'intérêts en doute permettre de concilier convivialité et sécurité. La relation de
fonction de votre comportement : les sites web visités, les articles confiance entre les sites et les utilisateurs revêt une importance
consultés, la musique que vous écoutez, les amis avec lesquels cruciale dans le succès des réseaux de demain. Toute violation de
vous conversez ainsi que leurs centres d'intérêt, par exemple. Ces cette confiance peut entraîner l'échec de toute une communauté.
données seront utilisées pour vous tenir au courant de l'actualité
L'utilisation croissante de profils ouverts et portables, d'applications
qui vous intéresse, tout en éliminant les informations inutiles
composites (applications web associant le contenu de
dont les utilisateurs sont aujourd'hui bombardés. Vous évoluerez
plusieurs sources en un seul outil) et d'API ouvertes faciliteront
dans un environnement web très personnalisé qui nécessitera
considérablement l'utilisation intersite, mais elles compliqueront
très peu d'intervention directe de votre part. Alors que les sites
singulièrement la tâche des administrateurs chargés d'assurer la
du Web 1.0 étaient déterminés par les administrateurs de site
protection contre les menaces ciblant ces vecteurs. Déjà difficiles
et ceux du Web 2.0 par le contenu généré par les utilisateurs,
à détecter aujourd'hui, les attaques multiniveaux le seront sans
l'avenir du réseau social réside dans les relations entre les
doute encore plus demain. Elles pourront émaner d'un site et
utilisateurs et les contenus, combiné au comportement des
se propager via un autre avant d'apparaître sur un réseau social
utilisateurs pour personnaliser le contenu.
touché. Le système de protection en place sur l'hôte devra identifier
Les premiers sites de réseau social de la troisième génération, ou les relations entre les sites afin de faire le tri entre les interactions
Social Networking 3.0, peuvent donner froid dans le dos tant la intersites valides et non valides et d'identifier les menaces.
précision de « l'intelligence artificielle » est impressionnante. Leur
Le problème d'atteinte à la vie privée soulevé dans cet article
profilage prend ici un tout autre sens, dans la mesure où le site
(collecte et corrélation d'informations, suivi de l'emplacement
peut en fait rassembler des utilisateurs présentant des affinités
géographique) ne peut manquer d'interpeller de nombreux
ou des centres d'intérêt similaires. D'un certain point de vue, les
utilisateurs. Il est clair que bon nombre d'entre eux choisiront
profils de compatibilité utilisés par certains services de rencontres en
de ne pas s'abonner à de tels services. Néanmoins, lorsqu'ils
ligne peuvent être considérés comme l'un des premiers exemples
réaliseront les avantages offerts en retour de quelques éléments
de la création de relations sociales par le profilage en ligne et la
d'information et qu'ils auront établi des relations de confiance,
mise en relation de personnes compatibles. Toutefois, dans les
la majorité n'hésitera plus à communiquer certains détails. Les
sites de réseau social de troisième génération, ce concept est
fournisseurs sont très conscients de cette situation et encouragent
considérablement élargi sans qu'il soit nécessaire de remplir un long
les utilisateurs à une adoption progressive des services, notamment
questionnaire. Chaque fois que vous cliquez sur un lien, évaluez un
en n'autorisant la communication de l'emplacement qu'au niveau
blog ou conversez sur un sujet spécifique, le site peut recueillir des
du département ou de la ville, par exemple. Malheureusement, les
informations sur vous afin d'enrichir votre réseau social.
cyberprédateurs ne sont jamais loin et les vulnérabilités de sécurité
Qui seront les grands bénéficiaires de cette corrélation croissante peuvent avoir de graves conséquences si de telles informations
d'informations ? Les utilisateurs constituent évidemment un venaient à tomber entre leurs mains.
facteur essentiel mais d'autres acteurs cherchent à tirer parti
Les sites de réseau social entrent dans une période faste : ils se
de cette situation. Les annonceurs se réjouissent d'avance de la
développent rapidement, leur nombre d'utilisateurs ne cesse
hausse anticipée des taux de conversion lorsque le marketing
d'augmenter et leurs fonctionnalités se multiplient. Leur valorisation
ciblera les utilisateurs en fonction de leurs centres d'intérêt
s'élève à plusieurs milliards de dollars. Les grands bouleversements
spécifiques. Les utilisateurs accorderont inévitablement une
qui nous attendent sont à la fois excitants et dangereux. A de
attention plus grande aux publicités et à leur contenu.
nombreux égards, l'avenir des sites de réseau social risque fort
d'être déterminant pour l'avenir d'Internet lui-même.
Un risque en hausse
Si les avantages offerts aux utilisateurs se multiplient, il en ira de
même pour les opportunités d'attaque. Les spammeurs et les
Spécialiste de la recherche des menaces, Craig
escrocs chercheront à exploiter cette mine d'or et, grâce à toutes
Schmugar a réalisé de nombreuses études et
ces données, pourront créer bien plus facilement des attaques
neutralisé d'importantes menaces pour le compte
d'ingénierie sociale convaincantes. Le niveau de détail et de
de McAfee Avert Labs depuis l'année 2000. Il
personnalisation des messages risque fort de tromper la vigilance
a découvert et classé des milliers de nouvelles
des utilisateurs. Les réseaux de robots sociaux auront également
menaces dont les vers Blaster, Mydoom, Mywife
l'opportunité de perturber sérieusement l'écosystème, en
et Sasser. Il reconnaît avoir développé au cours de
empoisonnant le réseau avec des messages racoleurs et des faux
cette période certaines tendances antisociales...
témoignages. Les administrateurs auront du pain sur la planche
puisqu'ils devront veiller à la qualité du contenu tout en déjouant
les manœuvres des criminels, et sans pour autant empêcher les
autres utilisateurs de profiter des multiples avantages du site.
La sécurité des futurs réseaux sociaux dépendra pour beaucoup NOTES
du système de défense mis en place au niveau des serveurs. 1 http://cwe.mitre.org/documents/vuln-trends/index.html
Les systèmes dorsaux devront analyser un volume considérable 2 http://www.facebook.com/press/info.php?statistics
de données entrantes et sortantes à la recherche de preuves 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebook-
de délits ou de la présence de code malveillant. Les services de s-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google.
vérification de la réputation des sites et du contenu peuvent sans com/search?num=100
Bien que l'ingénierie sociale n'intervienne pas dans tous les types de
menaces pour la sécurité, McAfee Avert Labs a constaté une nouvelle
tendance de plus en plus répandue : des auteurs de logiciels malveillants
utiliseraient l'ingénierie sociale pour exploiter des vulnérabilités logicielles.
La plupart des vers Internet les plus virulents du début de la des vers de réseau qui, à cette époque, causaient d'importants
décennie exploitaient généralement des vulnérabilités présentes dommages aux produits Windows. Les effets du Service Pack 2
dans des applications Microsoft. Ces vers bien connus que pour XP sont devenus beaucoup plus évidents quelques années
sont Sasser, Blaster, Code Red ou SQL Slammer avaient tous un plus tard, lorsqu'un grand nombre d'utilisateurs sont passés à
point commun. (Notons au passage que Sasser et Blaster furent cette nouvelle version du système d'exploitation.
découvert par Avert Labs, au même titre que d'autres logiciels
malveillants de premier plan.) Ces vers exploitaient tous des Malheureusement, les auteurs de logiciels malveillants n'étaient
vulnérabilités de serveurs. Ils avaient pour objectif la destruction pas en reste. Ils se détournèrent en effet rapidement des
des serveurs par le biais d'une propagation automatique après serveurs pour s'attaquer aux clients, mettant à jour de nouvelles
exploitation des failles. Bien que de nombreux produits de vulnérabilités dans Microsoft Office, Microsoft Internet Explorer
fournisseurs différents aient connu des brèches de sécurité et dans de nombreux formats de fichiers propriétaires. Ces
semblables, nous nous attarderons ici principalement sur les attaques contre les clients furent marquées par l'apparition d'un
vulnérabilités et tendances relatives aux produits Microsoft. Cela nombre important de fuzzers4 (dont le rôle est de repérer les
ne signifie aucunement que Microsoft soit particulièrement brèches de sécurité en bombardant une application avec des
vulnérable, mais nous considérons simplement que la popularité données aléatoires), de bugs liés à l'analyse syntaxique dans un
des produits de cette marque auprès des particuliers et des langage de script et de vulnérabilités de contrôles ActiveX. Des
entreprises en fait une cible privilégiée des auteurs de logiciels projets du type « Month of Browser Bugs5 » (Mois des bugs des
malveillants et des voleurs de données. navigateurs), axfuzz6, COMRaider ou encore hamachi7 ont permis
d'éveiller l'intérêt dans ce domaine et de révéler les innombrables
D'après Avert Labs, les vulnérabilités de serveurs pouvant être vulnérabilités touchant les logiciels clients. La recherche de bugs
exploitées par des vers ont diminué en nombre ces dernières et l'exploitation d'applications clientes connurent à cette époque
années, grâce à une utilisation plus fréquente de mesures de
sécurité permettant de protéger les appels de procédure à Patchs de correction des vulnérabilités exploitables à distance Microsoft
14
distance. La figure 1 ci-contre répertorie toutes les vulnérabilités
exploitables par appels de procédure à distance Microsoft 12
Windows sur une période de dix ans, jusqu'au premier 10
trimestre 2008. Comme vous pouvez le constater, leur nombre
8
a été réduit de manière significative ces deux dernières années.
Cette tendance se manifeste également lorsqu'on isole ce type 6
de vulnérabilités pour les autres plates-formes serveur Microsoft 4
populaires, comme IIS Web Server ou SQL Server.
2
Microsoft a par ailleurs renforcé la protection de ses produits 0
en publiant le Service Pack 2 pour Windows XP. Parmi d'autres 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
mécanismes de protection, le Service Pack 2 incluait des outils de
prévention d'exécution des données2 qui, même s'ils n'étaient Figure 1 : Microsoft a largement renforcé la sécurité des appels de procédure à
pas infaillibles3, ont toutefois contribué à limiter la propagation distance depuis 2006. (Source : Microsoft1)
AUTOMNE 2008 31
Patchs de correction des vulnérabilités d'Office
45 Attaques ciblées
40 La clé des vulnérabilités touchant les systèmes clients est que
35
pour pouvoir être exploitées, l'intervention de l'utilisateur est
nécessaire. Les auteurs de logiciels malveillants ont par conséquent
30 dû trouver des idées novatrices pour tromper les utilisateurs et les
25 inciter à cliquer sur des liens spécifiques ou à télécharger certains
documents ou images depuis Internet. L'une des avancées les plus
20
importantes en matière d'exploitation de systèmes clients a été
15 l'évolution rapide du spam fondé sur l'ingénierie sociale.
10 L'exploitation de vulnérabilités de systèmes clients et l'ingénierie
5 sociale vont de pair. Le lien entre ces deux facteurs est plus
qu'évident et la menace est récemment devenue plus complexe.
0
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Cette complexité repose en partie sur les attaques ciblées
d'ingénierie sociale, lesquelles représentent une nouvelle
Figure 2 : Le nombre de vulnérabilités de Microsoft Office a augmenté en 2006 et est tendance dans le paysage actuel des menaces. Ces attaques
resté élevé les deux années suivantes. (Source : Microsoft) ciblées visent plus particulièrement les structures relevant de
l'armée ou de la défense nationale12. Depuis la vague des
leur apogée, et cette tendance se poursuit au moment même vulnérabilités Office en 2006, de nombreux rapports ont
où nous écrivons cet article. Le nombre de logiciels touchés est indiqué que certaines administrations recevaient des messages
difficile à déterminer. Certaines sources prétendent toutefois électroniques contenant des fichiers malveillants au format
qu'ils se compteraient en plusieurs centaines de millions8. Word, PowerPoint ou Access. Il semble donc que l'association
entre ingénierie sociale et exploitation des vulnérabilités soit
La figure 2 illustre clairement la croissance soudaine du nombre désormais utilisée à des fins bien précises : l'espionnage.
de vulnérabilités affectant Microsoft Office. Elles ont connu leur
point culminant en 2006 et continuent depuis à donner du fil à L'espionnage est, par essence, bien plus difficile à détecter et à
retordre aux équipes de Microsoft. contrecarrer que les attaques motivées par le simple appât du
gain. Il n'est pas rare que les vulnérabilités découvertes dans
La grande majorité de ces vulnérabilités concernait Office 2000. ces documents malveillants soient des attaques de type « jour
Cette version est en effet très répandue, et par conséquent plus zéro » : ces fichiers de données échappent donc encore plus
largement exploitée. Dans le modèle économique des auteurs de facilement à la vigilance, d'autant que les vulnérabilités qu'ils
logiciels malveillants, les vulnérabilités d'Office 2000 représentent recèlent ne sont souvent identifiées que lorsque le mal est fait.
un meilleur retour sur investissement. Cela est principalement Dans la mesure où ces attaques « jour zéro » ciblaient l'armée
dû au fait que cette suite logicielle souffre depuis longtemps ou l'administration, on peut émettre l'hypothèse qu'elles
d'une défaillance majeure en termes de sécurité : les utilisateurs ont pu être financées par des agents ou des Etats étrangers.
d'Office 2000 doivent en effet se rendre sur le site web Techniques d'ingénierie sociale taillées sur mesure, vulnérabilités
« Office Update » pour télécharger des patchs9, et la procédure « jour zéro », argent, pouvoir : on se croirait presque dans un
automatique en ligne n'inclut pas les mises à jour spécifiques roman d'espionnage de John le Carré. Certains analystes en
à Office 2000 et Office 97. Cette négligence représente une sécurité considèrent toutefois que la réalité a rejoint la fiction.
véritable aubaine pour les auteurs de logiciels malveillants qui De nombreux experts ont par ailleurs prédit que c'est dans
peuvent ainsi profiter du fait que de nombreux utilisateurs le cyberespace qu'éclateront les prochaines guerres. Tous ces
n'effectueront pas de mise à jour régulière de leur suite Office10. événements ne sont peut-être après tout que des coups d'essai,
Le nombre d'ordinateurs transformés en « zombies » (et donc dans la perspective d'une cyberguerre à venir ?
contrôlés par des pirates) en raison d'une telle brèche de sécurité
pourrait s'élever à plusieurs dizaines de milliers.
Piratage web furtif
Bien que cet article se concentre avant tout sur les vulnérabilités Un domaine où les exploitations ont également évolué ces
propres aux produits Microsoft, cette tendance affecte également dernières années est celui du piratage des serveurs web.
d'autres fournisseurs de logiciels clients populaires, comme Auparavant, les auteurs d'attaques dégradaient les sites web
Adobe, Mozilla, Apple et bien d'autres encore. Le « mois des bugs après les avoir piratés, laissant généralement leur marque sur le
Apple » (Month of Apple Bugs) a mis en évidence de nombreux site dans l'espoir de devenir célèbres. Ces pratiques ne sont plus,
problèmes rencontrés par les clients ; de plus, on a enregistré une en tout cas pour ce qui est des pirates de la nouvelle génération,
augmentation fulgurante du nombre de vulnérabilités découvertes plus sophistiqués. Dans un contexte où les vulnérabilités de
dans des logiciels largement répandus comme Apple QuickTime, logiciels clients sont légions, les pirates ont commencé à travailler
Adobe Flash Player ou Adobe Acrobat Reader. L'exploitation de manière systématique et coordonnée : ils commencent par
récente de la vulnérabilité touchant la fonction mailto: dans les infiltrer des sites web populaires, puis y implantent ensuite
fichiers PDF (CVE-2007-5020)11 et de la vulnérabilité liées au code furtivement leurs logiciels malveillants, et trompent ensuite les
Flash utilisant ActionScript (CVE-2007-0071) sont des exemples de internautes par des manœuvres relevant de l'ingénierie sociale.
failles critiques qui ont affecté des milliers d'utilisateurs.
NOTES
1 http://www.microsoft.com/technet/security/current.aspx 10 « MS Office Flaws Ideal Tools for Targeted Attacks » (Les failles de MS Office sont
2 « How to Configure Memory Protection in Windows XP SP2 » des outils idéaux pour les attaques ciblées) — http://blog.washingtonpost.com/
(Configuration de la protection de la mémoire dans Windows XP SP2) — securityfix/2006/04/ms_office_flaws_ideal_tools_fo_1.html
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/
3 « Analysis of GS protections in Microsoft Windows Vista » 12 « The New E-spionage Threat » (Cyberespionnage : la nouvelle menace) —
(Analyse des protections GS dans Microsoft Windows Vista) — http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm
http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf 13 « Dolphins' Web sites hacked in advance of Super Bowl » (Sites web des
4 « Browser Fuzzing for fun and profit » (Le fuzzing de navigateurs, pour le plaisir Dolphins piratés en prévision du Super Bowl) — http://www.networkworld.com/
et pour l'argent) — http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun- news/2007/020207-dolphins-web-sites-hacked-in.html
and-profit.html 14 « Hacking the interwebs » (Piratage Internet), 12 janvier 2008 —
5 « Month of Browser Bugs » (Le mois des bugs des navigateurs) — http://www.gnucitizen.org/blog/hacking-the-interwebs/
http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 15 « Application-Specific Attacks: Leveraging the ActionScript Virtual Machine »
6 « AXFUZZ: An ActiveX/COM enumerator and fuzzer » (AXFUZZ : fuzzer et (Attaques ciblées sur des applications : exploitation de la machine virtuelle
énumérateur actif de code ActiveX et COM) — http://sourceforge.net/projects/axfuzz/ ActionScript) — http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf
7 « Hamachi », H D Moore et Aviv Raff — http://metasploit.com/users/hdm/tools/ 16 « Unusual Bugs » (Des bugs pas comme les autres), Ilja van Sprundel —
hamachi/hamachi.html http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf
8 « 637 million Users Vulnerable to Attack » (637 millions d'utilisateurs vulnérables aux 17 « Heap Feng Shui in JavaScript » (Feng Shui et Heap Overflow dans JavaScript) —
attaques), Frequency X — http://blogs.iss.net/archive/TheWebBrowserThreat.html http://www.determina.com/security.research/presentations/bh-eu07/
9 « Keep your operating system updated: Frequently asked questions » bh-eu07-sotirov-paper.html (Inscription obligatoire)
(Conservez votre système d'exploitation à jour : FAQ) —
http://www.microsoft.com/protect/computer/updates/faq.mspx
AUTOMNE 2008 33
Les itinéraires
inattendus de
la navigation
sur Internet
Benjamin Edelman
Une simple navigation innocente sur Internet peut vous exposer aux
nombreuses attaques décrites dans ce McAfee Security Journal.
Des bannières malveillantes aux logiciels publicitaires groupés, les sites navigateurs, qui ajoutent automatiquement le suffixe « .com » aux
que vous avez l'intention de visiter peuvent se révéler très dangereux. noms de domaine sans domaine de premier niveau, et enregistrent
Méfiez-vous toutefois aussi des sites que vous n'aviez aucunement ainsi des adresses de type « www.mcafeecom.com ». D'autres
prévu de consulter, mais sur lesquels vous tombez par accident. typosquatteurs préfèrent concentrer leurs efforts sur les préfixes
de type « http » ou enregistrer les domaines .com pour les sites
résidant justement dans d'autres domaines de premier niveau.
Stratégie de base Comment les utilisateurs sont-ils amenés sur ces sites détournés ?
Pour ceux d'entre nous qui sont parfois imprécis lorsqu'ils Certains utilisateurs oublient l'orthographe exacte de l'adresse d'un
saisissent une URL, il existe un type particulier de menace dont site, d'autres font des fautes de frappe. (Cela est particulièrement
ils doivent se méfier. Ce fléau, touchant principalement les vrai pour les utilisateurs ne parlant pas ou peu anglais, les
spécialistes des fautes de frappe, est appelé le « typosquatting » personnes ayant des problèmes de vue ou encore ceux qui ne sont
— de « typo », faute de frappe, et « squat », prendre abusivement pas tout à fait à l'aise avec un clavier.) Les utilisateurs débutants
possession d'un local vacant. La stratégie du typosquatteur peuvent ne pas connaître la syntaxe correcte de l'adresse d'un
consiste à anticiper les fautes de frappe pouvant être commises. site web, tandis que les plus pressés commettent des erreurs
Imaginez qu'en voulant saisir « bankofamerica.com », un d'inattention. Même les utilisateurs les plus chevronnés ne sont
utilisateur tape deux fois sur la touche « k » et omette le « e », pas à l'abri d'une erreur lorsqu'ils saisissent une URL à partir du
entrant ainsi l'adresse « bankkofamrica.com ». Ce type de coquille minuscule clavier d'un téléphone portable ou d'une tablette avec
entraînerait normalement un message d'erreur du navigateur et un reconnaissance d'écriture manuscrite, ou encore lorsqu'ils se
renvoi vers le site officiel de Bank of America. Imaginez maintenant trouvent en voiture sur une route accidentée. On ne peut ainsi en
qu'un typosquatteur ait anticipé cette erreur. Rien ne l'empêche en vouloir à personne d'entrer une adresse erronée et de se retrouver
effet d'enregistrer un nom de domaine sur la base d'une mauvaise sur un site utilisant une technique de typosquatting. Au contraire
orthographe (ou autres approximations) dans l'espoir que des d'ailleurs, car bien qu'il soit certain que ces sites sont visités par de
utilisateurs peu attentifs y atterrissent. nombreux utilisateurs, c'est généralement à la suite d'une erreur.
A l'origine, les typosquatteurs exploitaient principalement les
coquilles, qu'il s'agisse de caractères supplémentaires, manquants Etendue du phénomène
ou inversés. Depuis peu, ils font également appel à de nouvelles
Comptant sur la part importante d'utilisateurs commettant
méthodes peu orthodoxes pour récupérer tout ce trafic non
des erreurs, le typosquatting s'est développé de manière
intentionnel. Un typosquatteur peut en effet enregistrer le nom
remarquable. Le service McAfee SiteAdvisor® réalise en
de domaine « wwwmcafee.com », ce qui dirigerait vers son site
permanence des recherches sur les typosquatteurs. L'étude
tout utilisateur omettant le point séparant les trois w du nom de
réalisée par McAfee Avert Labs en mai 2008 a répertorié plus de
domaine dans l'URL « www.mcafee.com ». (Pour l'anecdote, ceci
80 000 domaines de typosquatting dérivés des 2 000 sites web
est réellement arrivé. McAfee fait en ce moment le nécessaire pour
les plus populaires. Et plus on creuse, plus on se rend compte de
récupérer ce nom de domaine.) Dans le cas des points de séparation,
l'ampleur du phénomène.
les typosquatteurs anticipent à juste titre le comportement des
blogspot.com 276
clubpenguin.com 271
wikipedia.com 266
runescape.com 264
Le service McAfee SiteAdvisor réalise
miniclip.com 263
en permanence des recherches sur les
bankofamerica.com 251
typosquatteurs. L'étude réalisée par McAfee
dailymotion.com 250
Avert Labs en mai 2008 a répertorié plus de
metroflog.com 249
80 000 domaines de typosquatting dérivés
addictinggames.com 248
friendster.com 246
des 2 000 sites web les plus populaires.
myspace.com 239
verizonwireless.com 238
facebook.com 235
Figure 1 : Liste des sites les plus touchés par le typosquatting. Ce tableau répertorie
les marques les plus détournées par les typosquatteurs. Ces données sont tirées de
l'étude des analyses SiteAdvisor en mai 2008.
AUTOMNE 2008 35
Figure 2 : Un typosquatteur
a enregistré un nom de
domaine proche de celui d'une
banque connue, puis fait payer
(indirectement) ses espaces
publicitaires à cette même
banque et à d'autres.
Lorsque ces sites en présentent, les publicités ont généralement domaine de ce type et ce typosquatteur devrait même payer
été sélectionnées pour leur pertinence vis-à-vis du contenu d'importants dommages et intérêts à Bank of America si celle-ci
que l'utilisateur souhaitait vraisemblablement consulter. Si l'on portait plainte. Etonnamment, on constate que ce typosquatteur
reprend l'exemple de bankkofamrica.com cité précédemment, on facture en fait de l'espace publicitaire à Bank of America, dont on
peut s'attendre à ce que les publicités proposées concernent des peut supposer, au moins à l'origine, qu'elle n'était pas consciente
services bancaires. Oui, mais lesquels ? Avant tout bien sûr, on de cette entourloupe.
devrait trouver Bank of America (voir figure 2). Pas de surprise,
Comment cela est-il possible ? En fait, les typosquatteurs ne
donc. D'un côté, cette publicité s'avère bénéfique pour Bank
vendent pas directement leur espace publicitaire aux annonceurs.
of America : elle parvient quand même à toucher l'utilisateur,
(Imaginez la scène : « Bonjour, seriez-vous intéressés par un
malgré la faute de frappe empêchant la prise de contact initiale.
espace publicitaire sur notre site de typosquatting ? – Pardon ?? »)
D'autre part, il est assez incroyable qu'un typosquatteur fasse
Concrètement, les typosquatteurs vendent leurs services aux
payer Bank of America la possibilité de toucher un client qui
réseaux publicitaires, qui eux-mêmes recherchent des annonceurs.
souhaitait volontairement se rendre sur leur site. Après tout, ce
Le plus grand réseau de ce type est Google, dont le produit
typosquatteur ne fait rien d'autre que violer les droits de marque
AdSense for Domains et autres services de syndication pour
de Bank of America ; il se rend ainsi coupable d'une infraction
domaines gèrent, d'après les données relevées par SiteAdvisor, les
à l'ACPA, selon laquelle il est interdit d'enregistrer des noms de
publicités de plus de 80 % des sites de typosquatting.
NOTES ANNEXE
1 « Large-Scale Registration of Domains with Typographical Errors » Exemples de sites de typosquatting : Cartoonnetwork.com
(Enregistrement à grande échelle de noms de domaine contenant des erreurs Parmi les 80 000 domaines analysés en mai 2008 par SiteAdvisor, nous avons
typographiques), janvier 2003, Harvard Law School — identifié les variations suivantes du domaine « cartoonnetwork.com » :
http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/
ccartoonnetwork.com ckartoonnetwork.com cairtoonnetwork.com
dcartoonnetwork.com jcartoonnetwork.com cuartoonnetwork.com
ncartoonnetwork.com vcartoonnetwork.com acartoonnetwork.com
cfartoonnetwork.com caertoonnetwork.com bcartoonnetwork.com
ceartoonnetwork.com caortoonnetwork.com canrtoonnetwork.com
AUTOMNE 2008 37
Qu'est-il donc arrivé
aux logiciels espions
et aux logiciels
publicitaires ?
Aditya Kapoor
Les logiciels espions et publicitaires font partie des outils les plus
utilisés pour la publicité et le marketing en ligne.
Ces applications sont souvent utilisées dans le cadre de techniques t Logiciel publicitaire Il s'agit d'un type de programme de
d'ingénierie sociale et phagocytent généralement des logiciels diffusion de publicités, dont l'objectif premier est de diffuser
gratuits (freewares) ou à contribution volontaire (sharewares), par du contenu publicitaire, mais selon des procédés et dans
ailleurs très utiles, téléchargés par les internautes. Ces applications des contextes généralement inattendus et non souhaités par
indésirables sont d'ailleurs fournies avec des contrats de licence l'utilisateur. Le modèle de risque défini par l'ASC décrit en
censés définir les limites de leur comportement. Ceux-ci sont détail divers comportements pouvant être considérés comme
toutefois rarement explicites et utilisables, trompant l'utilisateur et inattendus ou indésirables. De nombreuses applications
laissant le champ libre aux pièges de l'ingénierie sociale. publicitaires disposent également de fonctions de suivi et
peuvent, à ce titre, être qualifiées de technologies de suivi. Il
Au début de la décennie, les logiciels espions (spywares) et les est possible que certains utilisateurs veuillent supprimer des
logiciels publicitaires (adwares), souvent appelés « programmes logiciels publicitaires s'ils sont opposés à ce type de suivi, qu'ils
potentiellement indésirables », ont vu leur nombre augmenter ne souhaitent pas voir s'afficher les publicités proposées par
de manière exponentielle. Après 2005, on a cependant assisté à ces programmes ou qu'ils sont incommodés par leurs effets
un déclin constant de ce nombre. Dans le présent article, nous sur les performances de leur système. A l'inverse, il est possible
étudierons les principaux changements survenus dans les modèles que d'autres désirent conserver des logiciels publicitaires bien
de compensation en ligne qui ont joué un rôle important dans précis s'ils leur permettent de réduire le coût d'un produit ou
cette diminution. Les logiciels espions et logiciels publicitaires sont d'un service particulier, ou si le contenu publicitaire proposé
répartis en deux catégories bien distinctes : l'une comprend des leur semble utile et pertinent, comme des publicités sur des
applications plus saines et des modèles plus élaborés nécessitant produits concurrents ou complémentaires à ceux qu'il détient.
l'approbation de l'utilisateur, développés par des acteurs clés
dans le domaine des logiciels publicitaires ; l'autre comprend des
t Logiciel espion Stricto sensu, cette expression désigne un
logiciels parfois malveillants et souvent définis comme étant des logiciel de suivi déployé sans que l'utilisateur en soit averti,
chevaux de Troie. Cette distinction relativement claire a permis de sans son consentement et sans qu'il en ait la maîtrise. Au
limiter le nombre des logiciels espions et des logiciels publicitaires. sens large, les logiciels espions correspondent à ce que l'ASC
Cependant, si ces programmes potentiellement indésirables ne qualifie de « Spywares et autres technologies potentiellement
représentent plus une réelle menace, peut-on espérer les voir indésirables ». En d'autres mots, des technologies déployées
disparaître à tout jamais ? Pour répondre à cette question, nous sans le consentement préalable de l'utilisateur ou mises en
étudierons les changements qui ont eu lieu dans le paysage des œuvre de manière à limiter le contrôle de l'utilisateur sur :
menaces, ainsi que le rôle des techniques d'ingénierie sociale. – des modifications importantes affectant l'utilisation, la
confidentialité ou la sécurité du système ;
Définitions – l'utilisation des ressources système, y compris les
Les termes logiciel publicitaire (adware) et logiciel espion applications installées ;
(spyware) sont souvent utilisés de manière approximative ou
– la collecte, l'exploitation et la diffusion de données
comme s'ils étaient synonymes, ce qui entretient souvent la
personnelles ou sensibles.
confusion. Pour plus de clarté, nous avons choisi d'utiliser les
définitions établies par l'Anti-Spyware Coalition (ASC)1.
Selon le modèle avec paiement à l'installation, des sociétés Figure 1 : Le nombre de logiciels publicitaires a atteint son apogée en 2005.
marchandes et de services paient des fournisseurs de logiciels (Source : McAfee Avert Labs)
publicitaires pour diffuser leurs annonces. Ces derniers font à
leur tour appel à des partenaires ou à des sociétés affiliées pour Logiciels espions et logiciels de surveillance
300
distribuer leurs logiciels publicitaires, notamment en les combinant
à d'autres applications. (Aux Etats-Unis par exemple, ZangoCash 250
paie entre 0,75 et 1,45 dollar pour chaque installation de son 200
logiciel publicitaire4.) Il ne reste alors plus qu'à attendre que le
150
logiciel soit installé sur l'ordinateur d'un utilisateur.
100
Selon ce modèle, un paramètre d'identification particulier est
utilisé pour détecter les installations effectuées. Ainsi, si Paul 50
Dupont héberge sur son site web le programme d'installation 0
d'un logiciel publicitaire avec paiement à l'installation, et qu'un 2000 2001 2002 2003 2004 2005 2006 2007 2008
utilisateur télécharge et installe ce logiciel via le site de Paul, (estimation)
ce dernier percevra une rémunération définie. Pour augmenter Logiciels espions
le nombre de téléchargements sur son site, Paul essaie alors Logiciels de surveillance
d'attirer de nouveaux visiteurs à l'aide de contenus attrayants, Figure 2 : Les logiciels espions et les logiciels de surveillance ont vu leur nombre
comme des titres accrocheurs, des images et vidéos pour adultes, diminuer globalement depuis 2005, mais nous devons nous attendre à une
ou encore des jeux et sonneries téléphoniques gratuits. recrudescence fin 2008. (Source : McAfee Avert Labs)
AUTOMNE 2008 39
t Exploits L'installation de logiciels publicitaires par le biais Les différents aspects de l'ingénierie sociale
d'exploits peut être effectuée sans intervention de l'utilisateur,
bien que celui-ci soit dans la plupart des cas appâté par des Les pirates informatiques s'attaqueront toujours au maillon le
techniques d'ingénierie sociale vers des sites web malveillants plus faible du système de sécurité, c'est-à-dire l'utilisateur lui-
hébergeant ces mêmes exploits. même. — Kevin Mitnick (2007)11
Quel que soit le modèle utilisé par les développeurs de logiciels
Paiement au clic : le modèle côté serveur6 publicitaires, le facteur de réussite principal reste l'utilisateur.
Dans l'exemple de Paul Dupont, les utilisateurs étaient infectés
Le modèle avec paiement au clic existe sous deux formes : les après avoir visité le site web malveillant, attirés par les stratégies
publicités sponsorisées et les publicités basées sur le contenu. d'ingénierie sociale de Paul. L'une des raisons pour lesquelles ces
Ce modèle ne requiert aucune installation de logiciel espion ou stratégies fonctionnent si bien est que la plupart des utilisateurs
de logiciel publicitaire sur l'ordinateur de l'utilisateur, mais peut font par nature confiance à ce qu'on leur présente et ne se méfient
exploiter le contenu saisi ou demandé (à partir des résultats pas de certaines activités en ligne. Les concepteurs de techniques
proposés par un moteur de recherche, p. ex.) pour diffuser d'ingénierie sociale aux intentions malveillants savent quant à eux
des publicités ciblées. Les publicités contextuelles de Google, très bien exploiter les faiblesses de la nature humaine. Une étude
notamment, fonctionnent sur le modèle du paiement au clic. de cas réalisée par le ministère de l'Intérieur américain révèle que
84 % des administrations américaines attribuent un certain nombre
Les mécanismes de diffusion les plus répandus de publicité par
de failles de sécurité à des erreurs humaines et 80 % les expliquent
paiement au clic sont les suivants :
par un manque de formation et de connaissances en matière de
t Bannières publicitaires Les publicités sont affichées sous sécurité ou à un non-respect des procédures mises en place12.
forme de bannières ou de zones délimitées. Leur contenu peut
Des centaines de milliers de logiciels malveillants font appel à des
être modifié régulièrement.
techniques d'ingénierie sociale pour pouvoir être installés sur les
t Fenêtres pop-up en avant ou en arrière plan Les publicités ordinateurs des utilisateurs : il s'agit de l'un des vecteurs les plus
sont affichées sous forme de fenêtres séparées, représentant courants dans la diffusion des logiciels malveillants. Matthew
une gêne pour l'utilisateur. Braveman classe les différents vecteurs d'installation en quatre
t Publicités au format Flash Ces publicités sont semblables catégories principales13. Selon ses travaux, près d'un tiers des
aux bannières publicitaires, à la différence que les publicités logiciels malveillants a été installé à la suite de l'utilisation de
sont animées et que leur contenu évolue. techniques d'ingénierie sociale.
Le modèle avec paiement au clic peut fonctionner de manière Les créateurs de logiciels espions et de logiciels publicitaires ont
bien plus contrôlée, dans la mesure où le responsable du site adopté de nombreuses techniques déjà populaires et ont développé
web hébergeant ces publicités peut en choisir le mécanisme de leurs propres techniques afin de diffuser leurs logiciels. L'ingénierie
diffusion. Bien que ce modèle soit basé sur le serveur et semble sociale est le vecteur d'installation le plus répandu du modèle avec
plus sûr pour l'utilisateur, il n'est pas dénué de risques. Certains paiement à l'installation, qui offre un nombre plus important de
arnaqueurs peuvent toujours utiliser des pratiques trompeuses possibilités de diffusion de logiciels espions et de logiciels publicitaires.
pour piéger les utilisateurs7. Ces applications peuvent être distribuées à l'aide de mécanismes
d'apparence inoffensifs, comme une offre groupée de logiciels
La plupart des contenus publicitaires étant stockés sur des gratuits ou à l'aide de mécanismes plus douteux, comme le spam ou
serveurs et faisant appel à des technologies de type JavaScript les pièces jointes à des messages électroniques au contenu trompeur.
et Flash notamment, l'insertion de publicités malveillantes à la Un utilisateur souhaitant installer un logiciel gratuit peut par exemple
source ne pose aucune difficulté8, 9. A titre d'exemple, un réseau installer un logiciel publicitaire en toute connaissance de cause
publicitaire détenu par Yahoo a pendant un certain temps afin de profiter gratuitement de services supplémentaires. Même si
diffusé sans le savoir des bannières publicitaires malveillantes l'installation d'un logiciel est effectuée par le biais d'un exploit ou de
ayant pour effet le téléchargement de chevaux de Troie sur les spam, les sociétés de sécurité peuvent ne pas le considérer comme
ordinateurs des utilisateurs. Dans ce cas particulier, les bannières malveillant si leur fournisseur affirme qu'il n'a joué aucun rôle dans la
étaient affichées sur des sites aussi populaires que MySpace et diffusion de son logiciel et que celui-ci est exploité par des tiers.
PhotoBucket. Ces publicités malveillantes avaient été intégrées au
réseau publicitaire de Yahoo sans être détectées. Il est également La plupart des contenus publicitaires étant stockés sur
arrivé que le système de clic soit corrompu par des techniques des serveurs et faisant appel à des technologies de type
d'empoisonnement du cache DNS10. Les utilisateurs ne sont
toutefois pas affectés directement dans ce cas ; les fournisseurs JavaScript et Flash notamment, l'insertion de publicités
d'accès et les serveurs publicitaires sont en effet plus vulnérables malveillantes à la source ne pose aucune difficulté.
à ce type de menace.
Pour réduire plus efficacement les vecteurs d'attaque exploitant La confiance au centre du problème
ces modèles de compensation, il est important d'examiner La figure 3 présente quatre scénarios d'exposition des utilisateurs à
rapidement le rôle que jouent les techniques d'ingénierie sociale un site pratiquant l'ingénierie sociale. Ce schéma très simple peut
sur un marché où le nombre d'opportunités de génération de nous permettre de comprendre les cas réels décrits ci-après. L'élément
revenus est quasiment illimité. essentiel à retenir est que plus le niveau de confiance est élevé,
plus les techniques d'ingénierie sociale se révèleront efficaces. Les
exemples nous permettront de mieux comprendre ces mécanismes.
Moteur de recherche
niveau de confiance bas Site web utilisant des techniques
d'ingénierie sociale (liens vers des
Utilisateur
Lien reçu par messagerie instantanée, fichiers MP3 gratuits, des vidéos
par e-mail ou par spam pour adultes, etc.)
niveau de confiance le plus faible
Figure 3 : De nombreux vecteurs exposent les utilisateurs aux programmes indésirables et malveillants.
Cas nº 1 : Sites web de réseau social confiance très élevé puisque les utilisateurs visitaient des sites de
confiance qu'ils consultaient régulièrement.
Les sites web de réseau social représentent une véritable aubaine
en termes d'ingénierie sociale, dans la mesure où les personnes t En 2006, The Washington Post a dévoilé la présence d'une
qui s'y rendent cherchent soit à rester en contact avec des amis, bannière malveillante sur MySpace utilisée pour la diffusion
soit à s'en faire de nouveaux. Les concepteurs de technique d'un logiciel publicitaire et de chevaux de Troie auprès de
d'ingénierie sociale peuvent en profiter pour créer des liens et millions d'utilisateurs, par l'exploitation d'une défaillance au
développer le facteur confiance, comme illustré dans le 1er cadre niveau de Microsoft Windows Metafile ; cela ne nécessitait
de la figure 3, puisque cette catégorie de sites web bénéficie aucune intervention des utilisateurs17.
d'un niveau de confiance très élevé. t Nous assistons en 2008 à une augmentation du nombre
Un certain nombre d'attaques ont fait parler d'elles en exploitant de bannières publicitaires malveillantes. Le dernier incident
cette confiance pour installer des logiciels publicitaires sur les significatif, au moment où nous écrivons ces lignes, concernait
ordinateurs des utilisateurs : une publicité Flash sur le site usatoday.com18. Par une simple
visite sur la page d'accueil, les utilisateurs étaient assaillis par
t MySpace Adult Content Viewer (Visualiseur de contenu
divers logiciels malveillants et fausses alertes (technique populaire
pour adultes MySpace) (niveau de confiance : moyen). La
d'ingénierie sociale) les invitant à télécharger un faux outil
technique utilisée dans ce cas consistait à inciter les utilisateurs
de protection antispyware appelé Malware Alert. (Ce type de
à cliquer sur une fenêtre pop-up présentant des jeunes gens
programme malveillant peut aussi bien contenir des programmes
et portant un titre du type « I want to be loved » (Je veux
potentiellement indésirables que des chevaux de Troie.)
qu'on m'aime)14. En cliquant sur ces publicités, les utilisateurs
pouvaient télécharger le logiciel MySpace Adult Content, qui Cas nº 3 : Autres tactiques douteuses
apparemment téléchargeait lui-même un logiciel publicitaire.
t Usurpation d'adresses e-mail (niveau de confiance : faible).
t Vidéo YouTube frauduleuse sur MySpace (niveau de confiance : Cette tactique a par exemple été utilisée dans le cadre de
élevé). WebSense a indiqué en 2006 qu'une vidéo YouTube l'envoi d'e-mails à partir de fausses adresses eBay incluant un
frauduleuse apparaissait sur plusieurs faux profils MySpace15. lien vers un logiciel publicitaire19. Ces messages invoquaient
Tout utilisateur essayant de regarder cette vidéo se voyait un problème au niveau des informations de facturation et
proposer de procéder à l'installation de ZangoCash. demandaient aux utilisateurs de mettre à jour celles-ci en
t Application Facebook Secret Crush (niveau de confiance : très téléchargeant un logiciel.
élevé). En janvier 2008, Fortinet a publié un avertissement relatif t Fausses pages d'erreur (niveau de confiance : moyen). Certains
à un widget malveillant appelé « Secret Crush » qui tentait sites web affichaient de fausses pages d'erreur de type « Page
d'installer des logiciels publicitaires16. Cette technique d'ingénierie non trouvée » et proposaient à l'utilisateur de résoudre ce
sociale se basait sur l'envoi d'une invitation Facebook portant problème en téléchargeant un contrôle ActiveX qui avait pour
le titre « 1 secret crush invitation » (Vous avez un admirateur rôle d'installer WinFixer20.
secret). Après avoir accepté cette invitation, l'utilisateur devait
installer un widget afin de connaître l'identité de cet admirateur. t Spam lié à Google Bloc-notes (niveau de confiance : élevé).
Il était ensuite invité à l'envoyer à cinq amis avant de découvrir Certains arnaqueurs ont récemment eut recours à une nouvelle
enfin le nom de cette personne. Les internautes les plus crédules technique d'ingénierie sociale consistant à envoyer par e-mail
transféraient alors ce message à cinq autres personnes, participant des liens vers des pages Google Bloc-notes21. Ces liens suivaient
du même coup à la propagation d'un véritable ver social. Une fois le format suivant : www.google.com/notebook/public/[ID-
la procédure terminée, tout ce à quoi les utilisateurs avaient droit utilisateur]/[bloqué]. Le nom de domaine « google.com » met
était un message les invitant à télécharger le logiciel publicitaire les utilisateurs en confiance et les incite à cliquer sur des liens les
Zango. Cette technique a connu un grand succès dans la mesure amenant sur des pages web malveillantes, hébergeant elles-
où le niveau de confiance du site Facebook est très élevé. mêmes de nombreux liens vers des sites pour adultes ou de
fausses vidéos. Leur réel objectif est en fait d'amener l'utilisateur
Cas nº 2 : Bannières publicitaires à procéder au téléchargement de faux programmes antispyware.
Les bannières publicitaires fonctionnent sur le modèle avec
paiement au clic. Les bannières bénéficiaient d'un niveau de
AUTOMNE 2008 41
Une retraite silencieuse Les entreprises doivent immédiatement cesser l'utilisation de
programmes publicitaires ne respectant pas les conditions de
L'absence de législation régulant l'utilisation de logiciels espions l'accord établi ou leurs propres politiques d'utilisation des
et logiciels publicitaires a permis aux développeurs de bénéficier logiciels publicitaires. Dans la mesure où les annonceurs ont
d'une liberté totale, que leurs intentions soient purement vénales maintenant conscience des risques associés au modèle avec
ou réellement malveillantes. A première vue, il semblait que les paiement à l'installation (violation de la vie privée, vices du
utilisateurs étaient protégés par la présence d'un contrat de licence consentement, etc.), ils tendent à opter pour le modèle avec
les avertissant de possibles effets indésirables de ces applications. paiement au clic qui lui ne requiert l'installation d'aucun logiciel
Ces contrats étaient toutefois incomplets et obscurs, ou n'étaient sur l'ordinateur de l'utilisateur.
tout simplement pas affichés. Lorsqu'un utilisateur parvenait à les
consulter, ces contrats étaient généralement illisibles, présentés
dans des fenêtres trop petites n'affichant que quelques mots à
Applications malveillantes
la fois. Alors qu'ils semblaient favorisés par de tels stratagèmes, Parce que les auteurs de logiciels malveillants s'enrichissent
pourquoi les logiciels espions et logiciels publicitaires sont-il en facilement en jouant sur les peurs des utilisateurs, on assiste à
perte de puissance ? Plusieurs facteurs ont contribué à ce déclin. l'apparition d'une nouvelle tendance consistant à diffuser des
applications malveillantes et de fausses alertes relatives à des chevaux
t Poursuites judiciaires Suite à une augmentation des incidents
de Troie, affichant des messages d'erreur et d'infections visant à
imputés à des logiciels espions et logiciels publicitaires, de
tromper l'utilisateur. Dans la plupart des cas, ces fausses alertes
nombreux clients et autres parties ont porté plainte contre
d'infection par chevaux de Troie permettent en fait le téléchargement
certains grands distributeurs de logiciels malveillants22, 23, 24, 25, 26, 27.
d'applications malveillantes détectant de faux fichiers et clés de
Plusieurs décisions de justice ont permis de limiter leur Registre et les présentant comme des logiciels malveillants. Ces
prolifération. Lors du procès contre Zango12 par exemple, la applications copient parfois certains fichiers sur le système de
cour a exigé que cette société surveille ses distributeurs tiers afin l'utilisateur uniquement pour pouvoir les détecter par la suite ; elles
de s'assurer que l'ensemble de ses partenaires se conforment entrent dans la catégorie des chevaux de Troie (voir figure 4).
aux exigences de la Federal Trade Commission (FTC) — agence
Nous avons également constaté que les chevaux de Troie
fédérale américaine chargée de la protection des consommateurs
servaient souvent à installer des logiciels publicitaires.
et de la concurrence. Le tribunal a également interdit à Zango
Downloader-UA fait partie de la catégorie des chevaux de
d'exploiter, directement ou par l'intermédiaire de tiers, des
Troie qui font appel à des techniques d'ingénierie sociale
vulnérabilités de sécurité dans le but de télécharger des logiciels.
pour télécharger de faux programmes. Découverte en 2004,
De plus, il a exigé que la société indique de manière claire et
cette catégorie de chevaux de Troie exploite des vulnérabilités
précise ses conditions de divulgation et obtienne le consentement
de Microsoft Windows Media Player dans l'utilisation de la
exprès de l'utilisateur avant tout téléchargement de logiciel
technologie DRM (Digital Rights Management) et incite les
sur son ordinateur. Ce type de décision a permis de minimiser
utilisateurs à télécharger des fichiers spécialement développés
l'impact du modèle avec paiement à l'installation et a forcé les
à des fins malveillantes31,32. En 2008, un tel cheval de Troie a
distributeurs publicitaires à mettre de l'ordre dans leurs pratiques.
été utilisé pour amener les utilisateurs à télécharger un faux
t Prise de conscience du grand public et groupes sectoriels logiciel de lecture de fichiers MP3 intégrant une sélection de
La FTC met à la disposition des utilisateurs un site web chansons. Une fois installé, ce logiciel procédait lui-même au
d'informations28 offrant un certain nombre de conseils sur téléchargement nombreux logiciels publicitaires33.
la protection contre les logiciels espions et sur la meilleure
Par comparaison avec les années précédentes, la croissance
manière de signaler des abus. L'Anti-Spyware Coalition
du nombre d'applications malveillantes (programmes
propose également une mine d'informations sur ce type de
potentiellement indésirables et chevaux de Troie) s'est accentuée
menace29. Grâce aux efforts déployés par ces organisations,
de manière exponentielle en 2008 (voir figure 4).
consommateurs et législateurs bénéficient désormais d'une
meilleure compréhension des problèmes et des règles inhérents
à la publicité en ligne. Cette prise de conscience a également Applications malveillantes
permis de limiter l'apparition de ces applications indésirables.
1 000
t Mauvaise publicité et procès éventuels contre des
500
annonceurs ayant un lien avec des fournisseurs de
logiciels publicitaires Les fonds ayant permis de financer le 0
marché des logiciels espions et logiciels publicitaires proviennent 2005 2006 2007 2008
(estimation)
à l'origine des annonceurs recourant à des fournisseurs de
Programmes potentiellement indésirables
logiciels publicitaires pour diffuser leurs publicités. Ces sociétés
Chevaux de Troie
marchandes et de services n'avaient pas cherché à savoir dans le
détail de quelle manière les fournisseurs de logiciels publicitaires Figure 4 : Contrairement aux logiciels espions et logiciels publicitaires, le nombre
diffuseraient leurs annonces. Selon un jugement du d'applications malveillantes (programmes potentiellement indésirables et chevaux de
29 janvier 200730 qui a depuis fait jurisprudence, l'accord Troie) a augmenté de manière significative en 2008. (Source : McAfee Avert Labs)
indiquait qu'avant de faire appel à une société assurant la
diffusion de leurs publicités, puis de manière trimestrielle, toute
société se doit de s'enquérir des méthodes de diffusion utilisées.
NOTES
1 http://www.antispywarecoalition.org/documents/2007glossary.htm 18 http://securitylabs.websense.com/content/Alerts/3061.aspx
2 OptOut, Gibson Research Corp — http://www.grc.com/optout.htm 19 http://securitylabs.websense.com/content/Alerts/738.aspx
3 http://en.wikipedia.org/wiki/Compensation_methods 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/
4 Source : Site web Zango — http://www.cdt.org/headlines/headlines.php?iid=51 404-not-just-file-not-found/
5 http://www.benedelman.org/news/062907-1.html 21 http://www.cantoni.org/2008/06/04/google-notebook-spam
6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29 22 http://www.benedelman.org/spyware/nyag-dr/
7 http://www.benedelman.org/ppc-scams/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html
8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 24 http://www.internetlibrary.com/cases/lib_case358.cfm
9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 25 http://blogs.zdnet.com/Spyware/?p=655
10 http://www.secureworks.com/research/threats/ppc-hijack/ 26 http://www.ftc.gov/opa/2006/11/zango.shtm
11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm
12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternal 28 http://onguardonline.gov/spyware.html
ExternalThreat%20Dudeck.ppt 29 http://www.antispywarecoalition.org/
13 http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400- 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html
2550c479f95d/Social_Engineering_Modeling.pdf 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html
14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ 32 http://vil.nai.com/vil/content/v_130856.htm
15 http://securitylabs.websense.com/content/Alerts/1300.aspx 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/
16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html fake-mp3s-running-rampant/
17 http://blog.washingtonpost.com/securityfix/2006/07/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches
myspace_ad_served_adware_to_mo.html 35 http://hosts-file.net/?s=Browse&f=FSA
AUTOMNE 2008 43
Quel niveau de
risque pour les
domaines de
premier niveau ?
David Marcus
0%
-2 %
-4 %
Roumanie .ro
Russie .ru
Ukraine .ua
Union européenne .eu
Iran .ir
Espagne .es
Bulgarie .bg
Italie .it
France .fr
Lettonie .lv
Pologne .pl
Hongrie .hu
République tchèque .cz
Suisse .ch
Belgique .be
Turquie .tr
Slovaquie .sk
Israël .il
Allemagne .de
Lituanie .lt
Estonie .ee
Autriche .at
Portugal .pt
Pays-Bas .nl
Croatie .hr
Afrique du Sud .za
Royaume-Uni .uk
Yougoslavie .yu
Grèce .gr
Suède .se
Irlande .ie
Danemark .dk
Islande .is
Slovénie .si
Norvège .no
Finlande .fi
Domaines de premier niveau d'Asie classés par profil de risque global
20 % Evolution du risque
entre 2007 et 2008
18 %
(par point)
16 %
Risque global en 2008
14 %
12 %
10 %
8%
6%
4%
2%
0%
-2 %
-4 %
-6 %
-8 %
-10 %
Hong-Kong .hk
Philippines .ph
Inde .in
Tuvalu .tv
Tonga .to
Tokélaou .tk
Nioué .nu
Thaïlande .th
Vanuatu .vu
Indonésie .id
Malaisie .my
Nouvelle-Zélande .nz
Singapour .sg
Australie .au
Japon .jp
Domaines de premier niveau du continent américain Critères de risque utilisés pour l'évaluation
classés par profil de risque global des domaines de premier niveau
2,5 % Evolution du risque Exploits de navigateurs
entre 2007 et 2008
2%
(par point)
1,5 %
Risque global en 2008
1% Logiciels publicitaires, Volume important
chevaux de Troie, d'e-mails commerciaux
0,5 % logiciels espions, virus
0%
-0,5 %
-1 % Affiliation avec Fenêtres pop-up
d'autres sites agressives
-1,5 % dangereux
Etats-Unis .us
Argentine .ar
Brésil .br
Mexique .mx
Chili .cl
Canada .ca
Venezuela .ve
Colombie .co
AUTOMNE 2008 45
-5 %
0%
5%
10 %
15 %
20 %
25 %
46
-0,4 %
-0,2 %
0%
0,2 %
0,4 %
0,6 %
0,8 %
1%
1,2 %
-20 %
-10 %
0%
10 %
20 %
30 %
40 %
50 %
60 %
70 %
Roumanie .ro Informations .info Informations .info
Iles Cocos (Keeling) .cc Taïwan (République de Chine) .tw Bulgarie .bg
Classement des 20 domaines de premier niveau présentant le plus grand nombre d'exploits
Etats-Unis .us Bulgarie .bg Lettonie .lv
en 2008
en 2008
(par point)
(par point)
(par point)
Risque global
Risque global
Risque global
entre 2007 et 2008
Evolution du risque