Logiciels malveillants
Jean-Marc Robert
Génie logiciel et des TI
Jean-Marc Robert, ETS Logiciels malveillants - A11 2
Plan de présentation
Introduction
Listes des logiciels malveillants
Définitions et principales caractéristiques
Virus – détails
Ver – détails
Logiciel espion – détails
Conclusions
Jean-Marc Robert, ETS Logiciels malveillants - A11 3
Introduction
Les logiciels malveillants viennent sous diverses formes.
Certains se reproduisent.
Certains détruisent des informations.
Certains volent des informations.
Certains dorment jusqu’au moment propice.
…
Ils exploitent
Les vulnérabilités logicielles La fenêtre d’opportunité entre la découverte d’une vulnérabilité et la disponibilité du
correctif.
La naïveté des usagers Directement ou indirectement.
…
Jean-Marc Robert, ETS Logiciels malveillants - A11 4
Listes des logiciels malveillants
Virus
Ver
Mailers – Mass-Mailer worms
Bombe logique
Cheval de Troie
Porte dérobée (Backdoor)
Rootkit
Ordinateur zombie – bots
Permet notamment de « flooder »
Logiciel espion (Spyware)
Logiciel publicitaire (Adware)
Germs
Premier rudiment d’un
logici8el malveillant
Rabbit
Vers existant en une seule
copie
Keylogger, Password-
Stealing
Souvent via un cheval de
Troie
Dropper, Injector
Injecteur de virus (1ière
génération)
Jean-Marc Robert, ETS Logiciels malveillants - A11 5
Virus
Programme malveillant dont l'exécution est déclenchée lorsque
le vecteur auquel il a été attaché clandestinement est activé, qui
se recopie au sein d'autres programmes ou sur des zones
systèmes lui servant à leur tour de moyen de propagation, et qui
produit les actions malveillantes pour lesquelles il a été conçu.
Principales caractéristiques
Se reproduisant grâce à une vulnérabilité logicielle ou avec l’aide des
usagers.
Se propageant au sein de l’ordinateur infecté.
Nécessitant un programme hôte à infecter.
Les plus célèbres: ILoveyou, Melissa, …
Jean-Marc Robert, ETS Logiciels malveillants - A11 6
Virus – Autopsie
Un mécanisme d’infection
Comment le virus se reproduit-il et se propage-t-il?
Un moyen de déclenchement (trigger)
Comment le virus décide-t-il d’exécuter sa charge utilite?
Une charge utile (payload) Qu’est-ce que fait le virus, autrement que de se reproduire et de se propager?
Jean-Marc Robert, ETS Logiciels malveillants - A11 7
Virus – Environnement
Les virus sont généralement développés en fonction de la plateforme
Architecture de l’ordinateur
Microprocesseur
Système d’exploitation Version
Système de fichier (DOS, FAT, NTFS, …)
Format de fichier
Interpréteur Macro Microsoft, VisualBasic
Shell UNIX/Linux
JScript, Python, TCL, PHP, Perl, …
Vulnérabilités logicielles
…
Jean-Marc Robert, ETS Logiciels malveillants - A11 8
Ver
Programme malveillant, autonome et parasite, capable de se
reproduire par lui-même.
Principales caractéristiques
Se reproduisant généralement automatiquement grâce à une
vulnérabilité logicielle.
Exception les Mass-Mailer Worms ou simplement les Mass-Mailers nécessitant l’aide
des usagers – fichier exécutable déclenché par l’usager et utilisant le client courriel.
Se propageant par le réseau vers d’autres ordinateurs vulnérables.
Certains auteurs présentent les vers comme des virus réseau.
Ne nécessitant pas de programme hôte à infecter.
Les plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, …
Jean-Marc Robert, ETS Logiciels malveillants - A11 9
Ver – Autopsie
Un mécanisme d’infection
Comment le ver se reproduit-il et se propage-t-il?
Un moyen de déclenchement (trigger)
Comment le ver décide-t-il d’exécuter sa charge utile?
Une charge utile (payload)
Qu’est-ce que fait le ver, autrement que de se reproduire et de se propager?
Jean-Marc Robert, ETS Logiciels malveillants - A11 10
Classifications des vers
Selon le moyen de déclenchement de l’infection
Automatique
Usager
Selon le moyen de propagation
Courrier – Mass-mailer worms
Messagerie instantanée
Réseau poste-à-poste (peer-to-peer)
Balayage – connexion TCP
Aléatoire
Localisé (p.e. 30% aléatoire, 40% réseau, 30% sous-réseau)
Liste de distribution
Topologique (information du réseau est obtenu de l’ordinateur infecté)
Jean-Marc Robert, ETS Logiciels malveillants - A11 11
Bombe logique
Programme malveillant à déclenchement différé, activé soit à une
date déterminée par son concepteur, soit lorsqu'une condition
particulière se trouve vérifiée, ou un ensemble de conditions
réunies, et qui, dès lors, produit l'action malveillante pour
laquelle il a été conçu
Principales caractéristiques
Ne se reproduisant pas.
Nécessitant un programme hôte à infecter.
Jean-Marc Robert, ETS Logiciels malveillants - A11 12
Cheval de Troie
Programme malveillant qui, dissimulé à l'intérieur d'un autre
programme en apparence inoffensif (par exemple un jeu ou un
utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur.
Principales caractéristiques
Ne se reproduisant pas.
Nécessitant un programme hôte à infecter.
Toutefois, il est possible d’avoir un cheval de Troie dont la seule utilité soit malveillante.
Au quel cas, il n’y a pas vraiment de programme hôte.
Les plus célèbres: Sub7, Back Orifice, …
Jean-Marc Robert, ETS Logiciels malveillants - A11 13
Ordinateur zombie
Ordinateur personnel infecté et contrôlé à distance par un
pirate malveillant, qui sert de relais, à l'insu de son
propriétaire, pour envoyer massivement du pourriel ou pour
lancer anonymement des attaques par déni de service.
Principales caractéristiques
Sous-classe des chevaux de Troie
Un réseau de zombies ou bots est appelé un botnet
Jean-Marc Robert, ETS Logiciels malveillants - A11 14
Logiciel espion (spyware)
Tout logiciel qui contient un programme-espion et qui emploie
en arrière-plan la connexion Internet de l'utilisateur pour
recueillir et transmettre, à son insu et sans sa permission, des
données personnelles, notamment sur ses intérêts et ses
habitudes de navigation, à une régie publicitaire.
Principales caractéristiques
Ne se reproduisant pas.
Ne nécessitant pas de programme hôte à infecter.
Jean-Marc Robert, ETS Logiciels malveillants - A11 15
Logiciel espion (spyware) – Autopsie
Un mécanisme d’infection
Ne se propage pas automatiquement.
Ingénierie sociale
Installé avec un logiciel populaire (p.ex. Kazaa), un outil shareware, un faux anti-spyware.
Vulnérabilités
Visiter une page web malicieuse exploitant une vulnérabilité du fureteur.
Recevoir un courriel contenant une page HTML avec un script malveillant.
Jean-Marc Robert, ETS Logiciels malveillants - A11 16
Logiciel publicitaire (adware)
Logiciel gratuit, offert en version complète, mais affichant,
lors de son utilisation, des annonces publicitaires menant à
des sites commerciaux, qui sont renouvelées à chaque nouvelle
connexion à Internet.
Principales caractéristiques
Ne se reproduisant pas.
Ne nécessitant pas de programme hôte à infecter.
Jean-Marc Robert, ETS Logiciels malveillants - A11 17
Logiciel publicitaire (adware) – Autopsie
Une charge utile (payload)
Affiche des fenêtres publicitaires (pop-up)
Vole les informations personnelles
Toute information contenue dans l’ordinateur infecté.
Adresse, numéro d’assurance social, numéros de carte de crédit, information bancaire, …
Enregistre les habitudes de navigation web
Information marketing
Déroute certaines requêtes HTTP vers des sites commerciaux
…
Jean-Marc Robert, ETS Logiciels malveillants - A11 18
D’autres logiciels malveillants
Scareware est un faux logiciel de sécurité, comme un
antivirus ou un anti-spyware. Ce type de logiciel malveillant
signale des menaces qui en réalité n’existent pas dans le but
d’effrayer l’utilisateur et de l’inciter à acheter un produit
antivirus fictif en affichant à l’écran de fausses alertes au virus.
Rançongiciel, est un logiciel malveillant qui prend en otage
des données personnelles. Pour ce faire, un rançongiciel
chiffre des données personnelles puis demande à leur
propriétaire d'envoyer de l'argent en échange de la clé qui
permettra de les déchiffrer.
Jean-Marc Robert, ETS Logiciels malveillants - A11 19
Conclusions
Bien comprendre le comportement des divers logiciels
malveillants est essentiel afin de
Déterminer les menaces qu’ils représentent et d’évaluer les risques
correspondants.
Déterminer l’efficacité des divers moyens de protection.
Antivirus
Systèmes de détection d’intrusion
Basés sur des signatures
Basés sur des comportements anormaux
Sensibilisation
Jean-Marc Robert, ETS Logiciels malveillants - A11 20
Terminologie et définitions
Les définitions en italique ainsi que les termes français
proviennent de grand dictionnaire terminologique de
l’Office de la langue française du Québec.
(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)
Jean-Marc Robert, ETS Logiciels malveillants - A11 21
Références
Top Related