Les explorateurs du cybercriminel

L’émergence du ver de réseau Kido/Conficker peut être considérée, sans aucune exagération, comme l’un des événements les plus marquants de ces dix dernières années dans le secteur informatique. Ce programme malveillant se caractérise par la simplicité de sa diffusion grâce à la vulnérabilité MS08-067 dans le service du serveur Windows. Il suffit d’envoyer un paquet de réseau dans un format spécial au ver présent sur l’ordinateur attaqué. Si les correctifs requis n’ont pas été installés sur le système d’exploitation, le code malveillant est exécuté.

L’attaque menée contre Microsoft et Google, dans le but de dérober des informations confidentielles, figure parmi les autres événements marquants de ces derniers temps. Cette attaque fut organisée à l’aide du script malveillant Aurora. La vulnérabilité CVE-2010-0249 dans MS Internet Explorer était prise pour cible.

Le ver Stuxnet qui exploite une nouvelle vulnérabilité dans les fichiers LNK est apparu récemment. La vulnérabilité permet de diffuser le programme malveillant en créant un raccourci LNK spécial qui sera placé sur l’ordinateur victime de l’attaque. Quand l’utilisateur ouvre le dossier réseau contenant ce lien, le programme malveillant est exécuté. Ces raccourcis vulnérables peuvent également être diffusés par courrier : le téléchargement du programme malveillant a lieu si le client de messagerie tente d’afficher l’icône. Nous avons observé ces derniers temps, une augmentation du nombre de programmes malveillants qui exploitent la vulnérabilité dans les fichiers LNK. Citons par exemple les droppers Sality.ag qui sont diffusés à l’aide de raccourcis vulnérables.

La mise à jour automatique des applications installées sur l’ordinateur de l’utilisateur est très importante et a un effet sur la sécurité du système d’exploitation dans son ensemble. La société Microsoft, dont les logiciels sont utilisés dans la grande majorité des ordinateurs du monde entier, est une pionnière en la matière. En effet, elle offre gratuitement le service Windows Update depuis la version Windows 98 de son système d’exploitation. Ce service permet d’installer les correctifs pour les applications vulnérables, de télécharger des pilotes plus récents, des modules complémentaires, etc. pour le système Windows. Au fil du temps, ce service s’est transformé et est devenu le service Microsoft Update. Toujours gratuit, il analyse le système afin de déterminer les logiciels Microsoft qui doivent être actualisés, notamment SQL Server, Visual Studio, Office, etc.

Alors qu’avant les cybercriminels exploitaient principalement les vulnérabilités dans les systèmes d’exploitation MS Windows, ils ont depuis quelques années tourner leurs regards vers les produits d’Adobe tels que Flash Player et Adobe Reader. Au début, Adobe n’était pas vraiment disposé à corriger ces erreurs. Mais elle a compris qu’une telle attitude n’était pas bonne pour la satisfaction de la clientèle. C’est ainsi qu’est apparu le produit Adobe Updater dont les fonctions sont semblables à celles de Windows Update. Il télécharge et installe automatiquement les correctifs pour les applications installées chez l’utilisateur. À l’heure actuelle, la société Sun, dont le moteur Java présente des vulnérabilités exploitées, tente également d’organiser la diffusion des mises à jour.

De leurs côtés, les développeurs de logiciels antivirus ne restent pas les bras croisés. Ils diffusent les mises à jour contenant les codes d’exploitation dangereux détectés. Ceci permet de repousser, d’une certaine manière, l’assaut des individus malintentionnés jusqu’à la diffusion de la mise à jour officielle par le développeur de l’application vulnérable. La coopération entre Microsoft, Adobe et les éditeurs de logiciels antivirus réduit la durée de réaction face aux menaces et permet de mieux protéger les utilisateurs.

De l’importance des mises à jour

De nos jours, la majorité des attaques sur Internet débute par l’utilisation de codes d’exploitation qui permettent aux individus malintentionnés de charger discrètement le programme malveillant dont ils ont besoin sur l’ordinateur de l’utilisateur. De plus, de nombreuses vulnérabilités permettent aux cybercriminels d’obtenir un accès complet au système. Comment les utilisateurs peuvent-ils se protéger contre de telles attaques ?

Tout d’abord, et c’est un des points les plus importants, il faut installer à temps les mises à jour pour les applications utilisées. Malheureusement, les données de Kaspersky Lab indiquent que de nombreux utilisateurs n’actualisent pas leurs applications en temps et en heure. Il suffit de voir le nombre élevé de vulnérabilités non corrigées sur les ordinateurs des utilisateurs. De plus les vulnérabilités que l’on rencontre le plus sont les vulnérabilités découvertes il y a déjà quelques mois de cela, voire quelques années.

Ainsi, au troisième trimestre de cette année, 31 425 011 applications et fichiers contenant des vulnérabilités non corrigées ont été recensés sur les ordinateurs des utilisateurs. Le Top 10 des vulnérabilités du trimestre contenait des vulnérabilités découvertes en 2009, 2008 et même en 2007 !

Nombreux sont les utilisateurs qui pensent que les individus malintentionnés utilisent uniquement les nouvelles vulnérabilités. Parmi les codes d’exploitation qui figurent dans nos classements mensuels des programmes malveillants, nous retrouvons toujours des anciennes vulnérabilités. Par exemple, les auteurs de virus au mois d’août 2010 ont beaucoup utilisé le code d’exploitation de vulnérabilités anciennes telles que CVE-2009-3867, CVE-2010-0806 et CVE-2010-0094.

Il faut se tenir au courant des mises à jour et les installer manuellement si nécessaire. Il faut également activer les services Microsoft Update et Adobe Updater. Outre les mises à jour pour les logiciels de Microsoft et d’Adobe, il ne faut pas ignorer les mises à jour pour d’autres applications, par exemple le célèbre lecteur Winamp.

Il convient également de respecter les règles élémentaires de sécurité informatique : ne pas ouvrir les messages d’expéditeur inconnu, ne pas cliquer sur des liens inconnus, etc. La majorité des navigateurs modernes tels que Google Chrome, Mozilla Firefox et Internet Explore offrent des filtres spéciaux qui bloquent les sites d’hameçonnage et autres sites malveillants. Utilisez un navigateur qui offre de tels filtres.

Et, bien entendu, il est indispensable d’utiliser un antivirus complet qui utilise les bases antivirus les plus récentes afin de pouvoir contrecarrer les codes d’exploitation de vulnérabilités qui n’ont pas encore été supprimées.