Méthodes de protection des données confidentielles dans les logiciels actuels de la classe Security Suite

Classement des outils informatiques de vol des données

La problématique du vol des données confidentielles est abordée au sens le plus large sur le site de la Federal Trade Commission des Etats-Unis dans la rubrique consacrée au vol d’identité (Identity Theft). Les auteurs y évoquent le grand nombre de moyens traditionnels non liés aux ordinateurs utilisés pour voler les données confidentielles tels que le vol de sacs à main ou de portefeuilles, la recherche de documents dans les ordures, les appels téléphoniques d’un prétendu représentant d’un organisme bancaire, l’utilisation de lecteur de bande magnétique pour lire le numéro des cartes de crédit, etc.

Outre les méthodes citées ci-dessus, il existe également les vols perpétrés à l’aide d’un ordinateur personnel. Ces vols peuvent être classés en trois catégories. Dans la première catégorie, la victime transmet elle-même les données aux individus mal intentionnés après s’être laissé piéger par une requête factice, souvent sous la forme d’un courrier indésirable. Dans ce cas, les individus mal intentionnés créent un site Internet factice qui ressemble au site de la banque ou d’une institution financière quelconque ciblée. C’est ce qu’on appelle le phishing ou l’hameçonnage (pour consulter la définition, cliquez ici Viruslist.com).

La deuxième méthode employée pour voler des informations confidentielles repose sur l’observation des actions de l’utilisateur et sur l’enregistrement de celles-ci. Ce type d’espionnage électronique est réalisé à l’aide de chevaux de Troie spécialisés dénommés Trojan-Spy dans la classification de Kaspersky Lab. Parmi les chevaux de Troie de type Trojan-Spy les plus populaires à l’heure actuelle, il faut citer les enregistreurs de frappes auxquels nous avons déjà consacré plusieurs articles détaillés.

La troisième tactique déployée pour le vol de données confidentielles implique le recours à des programmes malveillants (le plus souvent, des chevaux de Troie) qui recherchent les données confidentielles sur l’ordinateur de la victime et qui les transmettent, après chiffrement, à l’individu mal intentionné. Dans ce cas, l’individu mal intentionné peut uniquement obtenir les données que l’utilisateur a cru bon d’enregistrer dans la mémoire de l’ordinateur. Cet inconvénient est compensé par le fait que l’opération ne requiert à aucun moment l’intervention de l’utilisateur.

Mode de diffusion des méthodes de vols de données confidentielles.

Les méthodes employées pour diffuser ces programmes malveillants sont nombreuses : ils peuvent être activés à l’ouverture du fichier, joints à un message électronique, exécutés après l’activation d’un lien dans un message ICQ (messagerie instantanée), au moment de l’exécution d’un fichier dans un répertoire partagé dans un réseau P2P, à l’aide d’un script sur des pages Internet qui exploite les particularités d’un navigateur pour permettre l’exécution automatique des programmes dès que l’internaute accède à la page ou à l’aide d’un programme malveillant installé au préalable capable de télécharger d’autres programmes malveillants et de les installer dans le système.

L’objectif principal poursuivi par les programmes malveillants du type Trojan-PSW (voir la classification de Kaspersky Lab), est d’obtenir diverses informations sur le système de l’utilisateur ainsi que les mots de passe des programmes et des services du système d’exploitation. Pour ce faire, ils balaient tous les endroits où de telles informations pourraient être enregistrées : référentiel sécurisé de Windows, clés de registres et fichiers particuliers présentant un intérêt pour l’individu mal intentionné (en général, il s’agit des clients des services de messagerie instantanée, des services de messagerie ou des navigateurs).

Une fois que le cheval de Troie a récolté les informations dans les espaces indiqués, il les chiffre et les compresse dans un fichier binaire de petite taille. Ce fichier peut alors être envoyé par courrier électronique ou transféré sur le serveur FTP de l’individu mal intentionné.

Les principes de fonctionnement de ces types de programmes malveillants ont été présentés en détail dans un article intitulé « Vol dans les réseaux informatiques ». Le présent article est consacré aux diverses stratégies mises en œuvre dans les systèmes de protection modernes pour empêcher le vol des données confidentielles. Ce rapport démontre également la supériorité technologique de la solution retenue par les experts de Kaspersky Lab sur la dernière version 7.0.

Stratégie de protection des données confidentielles dans la majorité des logiciels existants

La majorité des systèmes de protection moderne (Security Suite) propose un composant de protection des données confidentielles généralement appelé Privacy Control. (Dans certaines applications, ce composant est repris sous le même nom que d’autres composants de protection comme le composant de protection contre l’hameçonnage). La principale tâche de ce composant est d’assurer la protection des informations confidentielles qui se trouvent sur l’ordinateur de l’utilisateur en refusant l’accès et le transfert non autorisés via les canaux de communication.

Le cas de Symantec : l’illusion de la sécurité ?

Voyons comment la société Symantec a intégré la protection des données confidentielles à ces produits. Nous avons choisi cet éditeur car il s’agit d’un des premiers à avoir intégré la protection des données confidentielles à ses logiciels.

A la fin de l’année 1999, Symantec publia des informations relatives à son nouveau logiciel Norton Internet Security 2000 qui proposait le nouveau composant Norton Privacy Control dont le module Confidential Data Blocking était un des plus importants.

Ce composant fonctionnait de la manière suivante :

  1. L’utilisateur doit saisir toutes les informations qu’il estime confidentielles ;
  2. Ensuite, ce logiciel analyse tout le trafic sortant de l’ordinateur et remplace les données sensibles présentes dans le trafic par des caractères sans signification (par exemple « * »).


Illustration 1. Composant « Données confidentielles »
de Norton Internet Security 2000

Le composant Norton Privacy Control fut inclus dans toutes les nouvelles versions des logiciels Norton Personal Firewall et Norton Internet Security.

Dans le produit phare actuel, Norton360, lancé par Symantec en 2007, on retrouve également le composant Privacy Control, mais non pas dans le logiciel principal mais bien en tant que module complémentaire téléchargeable depuis le site de Symantec.


Illustration 2. Composant de blocage
des données confidentielles de Norton360

Toutefois, le principe de base de fonctionnement du composant reste le même : tout comme dans Norton Internet Security 2000, il existe un tableau dans lequel l’utilisateur peut saisir ses données confidentielles (cf. ill. 2).

Imperfections de la démarche traditionnelle utilisée pour la protection des données confidentielles

Pour quelles raisons les développeurs du programme ont-ils retiré le composant de protection des données confidentielles de la liste des modules principaux de Norton360 ?

Il existe probablement plusieurs raisons et l’une d’entre elles est évidente. Il s’avère que cette conception de la protection des données confidentielles n’est pas efficace et elle donne à l’utilisateur l’illusion de la sécurité !

Dans la description des caractéristiques principales de la dernière version de Norton Internet Security 2007, un des points est « bloque les tentatives de vol de données confidentielles ». Mais cela ne correspond pas à la réalité.

A regarder la première fenêtre de l’illustration 2 de plus près, on voit un commentaire qui, en français, pourrait être traduit de la manière suivante : « Norton Add-on Pack ne peut bloquer les données confidentielles sur les sites Web protégés. Toutefois, les sites Web protégés garantissent eux-mêmes la sécurité de vos données ». La raison en est étonnamment simple : la communication avec les sites Web protégés s’opère via un protocole qui crypte toutes les données transmises, ce qui empêche toute personne extérieure d’analyser ces données.

Il ne faut toutefois pas oublier que le composant de protection des données confidentielles doit également offrir une protection contre les chevaux de Troie de type Trojan-PSW. Et qu’est-ce qui empêcherait un cheval de Troie de crypter lui-même les données transmises ? C’est tout à fait envisageable et plus de 80% des chevaux de Troie travaillent de cette manière ! Pour cette raison, un composant de protection des données confidentielles dont le travail repose sur l’analyse du trafic et la recherche de données préalablement définies par l’utilisateur ne peut empêcher l’envoi de ces données dans la majorité des cas car il ne les trouve pas dans le flux de données cryptées par le cheval de Troie.

Il convient également de remarquer que la saisie de toutes les données confidentielles dans un endroit via une boîte de dialogue semblable à celle de l’illustration 2 ne peut en aucun cas améliorer la sécurité. Au contraire, au lieu de devoir chercher ces informations dans divers endroits du système de fichiers, l’individu mal intentionné n’a qu’à accéder au fichier utilisé par le composant de la protection. Evidemment, les développeurs du programme tentent d’offrir une sécurité maximum aux données saisies par l’utilisateur mais, cette garantie n’existe pas.

Voici un exemple de composant efficace : si une page Web vous invite à saisir votre numéro de téléphone, alors NIS 2000, après la saisie, vous demande si vous souhaitez vraiment envoyer des données confidentielles.

Toutefois, un tel avertissement n’est pas utile dans la réalité car la décision de l’utilisateur dépend de la confiance qu’il accorde à ce site Internet. Si l’utilisateur estime qu’il s’agit d’un site authentique, l’avertissement ne l’arrêtera pas ; et s’il estime que le site est suspect, il ne pensera même pas à donner son numéro de téléphone ou toutes autres données sensibles. Malheureusement, les sites fictifs mis en ligne par les individus mal intentionnés ces derniers temps ressemblent de plus en plus aux sites réels des institutions financières et les utilisateurs saisissent leurs données malgré les avertissements du programme de protection.

Méthode alternative pour protéger les données confidentielles

Il existe une autre manière de protéger les données confidentielles. Elle repose sur le blocage de l’action du programme malveillant bien avant le transfert des données via un canal de communication, étape où il est bien souvent déjà trop tard pour intervenir comme nous l’avons vu plus haut.

Afin de pouvoir voler des informations confidentielles, le programme malveillant doit exécuter deux actions : trouver les informations et les extraire d’un référentiel quelconque (il peut s’agir d’un fichier, d’une clé de registre, d’un référentiel spécial du système d’exploitation) et les transmettre à l’auteur du programme malveillant via un canal de communication. Dans la mesure où de nombreux ordinateurs sont déjà dotés de pare-feu qui contrôlent l’activité de réseau des applications installées, il est impossible de transmettre ces données au nom du programme malveillant. C’est la raison pour laquelle de nombreux programmes de la catégorie Trojan-PSW utilisent différentes méthodes pour contourner le pare-feu et envoyer les données à l’insu de l’utilisateur.

Dans ce contexte, la démarche suivante est plus rationnelle : le composant de la protection doit surveiller l’activité de l’application qui est l’indicateur d’une éventuelle tentative de vol de données confidentielles :

  1. Tentative d’accès aux données personnelles ou aux mots de passe du référentiel protégé du système d’exploitation Microsoft Windows (Protected Storage).

    Ce service conserve les données confidentielles telles que les mots de passe locaux, les mots de passe d’accès aux boîtes aux lettres des serveurs POP et SMTP, les mots de passe d’accès à Internet, les mots de passe d’accès automatique aux parties fermées des sites, les données Internet et les mots de passe pour le remplissage automatique, etc. Ces données sont saisies dans les champs correspondants des clients de messagerie et des navigateurs. En règle générale, l’utilisateur peut enregistrer les données saisies et pour ce faire, il doit cocher une case spéciale. Dans ce cas, les données saisies sont conservées par le service de Microsoft Windows dans le référentiel protégé.

    Signalons que même les utilisateurs qui craignent la fuite d’informations du référentiel protégé et qui par conséquent, n’enregistrent pas les mots de passe et les données dans les navigateurs, sauvegardent malgré tout les mots de passe des comptes du système de messagerie car leur saisie à chaque envoi ou réception de courrier serait une trop grande perte de temps. Si l’on tient compte du fait qu’il arrive toujours, chez plusieurs fournisseurs d’accès, que le mot de passe d’accès au courrier soit le même que le mot de passe d’accès à Internet, l’obtention de celui-ci permet à l’individu mal intentionné d’accéder non seulement à la boîte aux lettres mais également aux paramètres d’accès à Internet.

  2. Tentative d’envoi dissimulé via les canaux de communication.

    Afin de transmettre les données recueillies, les programmes malveillants tentent d’utiliser différentes méthodes de contournement du pare-feu qui pourrait être installé sur l’ordinateur de l’utilisateur. Par exemple, ils peuvent lancer le processus du navigateur Internet en mode ouvert et lui transmettre les données à l’aide d’interfaces logicielles (COM, OLE, DDE et autres) offertes par la majorité des navigateurs. Etant donné que la majorité des pare-feu modernes propose un ensemble de règles prédéfinies qui autorisent l’activité de réseau des applications de confiance, le pare-feu ne réagit pas au transfert des données via le navigateur, l’utilisateur n’est pas averti et il ne peut empêcher la fuite d’informations.

Il est important de signaler que le cryptage des données volées par le programme malveillant n’est pas un problème dans le cadre de cette méthode de protection car l’interception de l’action du programme malveillant a lieu avant le transfert des données cryptées via le canal de communication.

C’est cette méthode qui a été privilégiée dans Kaspersky Internet Security 7.0 développé par Kaspersky Lab.

Protection contre le vol des données confidentielles à l’aide de KIS 7.0 contre Trojan-PSW.Win32.LdPinch

Le module de protection des données confidentielles inclus dans Kaspersky Internet Security 7.0 (cf. ill. 3) est un des sous-systèmes du composant Anti-Escroc. Il analyse le comportement de tous les processus dans le système de l’utilisateur et dès qu’il identifie une des deux activités présentées ci-dessus, il avertit l’utilisateur ou il la bloque automatiquement.


Illustration 3. Paramètres du composant Anti-Escroc dans Kaspersky Internet Security 7.0

Voyons comment ce module de KIS protège l’utilisateur contre les tentatives de vol des informations confidentielles sur la base d’un véritable cheval de Troie (Trojan-PSW.Win32.LdPinch) dont l’objectif principal est le vol des mots de passe de divers programmes installés sur l’ordinateur.

Comme l’indique la description d’une des versions du programme Trojan-PSW.Win32.LdPinch (en anglais), ce cheval de Troie peut voler les informations relatives au disque dur de l’ordinateur et à l’espace disponible, les renseignements relatifs au compte utilisateur en session, le nom de réseau de l’ordinateur, la version du système d’exploitation, le type de processeur, les caractéristiques (possibilités) de l’écran, les noms des programmes installés sur l’ordinateur, les processus exécutés et les connexions dialup déjà établies dans le système. Bien entendu, les informations les plus importantes sont les mots de passe d’une multitude de programmes, parmi lesquels:

  1. Systèmes de messagerie instantanée:
    • ICQ 99B-2002a
    • ICQ 2003/Lite/5/Rambler
    • Miranda IM
    • TRILLIAN
    • &RQ, RnQ, The Rat
    • QIP
    • GAIM
    • MSN & Live Messenger

  2. Clients de systèmes de courrier électronique:
    • The Bat!
    • MS Office Outlook
    • Mail.Ru Agent
    • Becky
    • Eudora
    • Mozilla Thunderbird
    • Gmail Notifier

  3. Navigateurs Internet:
    • Opera
    • Protected Storage(IE,Outlook Express)
    • Mozilla Browser
    • Mozilla Firefox

  4. Utilitaires de numérotation:
    • RAS
    • E-DIALER
    • VDialer

  5. Gestionnaires de fichiers :
    • FAR
    • Windows/Total Commander

  6. Clients FTP:
    • CuteFTP
    • WS FTP
    • FileZilla
    • Flash FXP
    • Smart FTP
    • Coffee Cup FTP

    et beaucoup d’autres.

Les mots de passe volés sont utilisés pour propager le programme malveillant. Ainsi, après avoir volé le mot de passe du client ICQ, le cheval de Troie le remplace sur le site de ICQ et commence à envoyer des messages contenant un lien vers son propre fichier exécutable au nom de la victime et essaie d’augmenter le nombre d’ordinateurs infectés.

Toutes les informations volées sont envoyées cryptées, à l’adresse définie ou téléchargées sur le serveur FTP de l’individu mal intentionné.

Le système de protection des données confidentielles qui reposent sur l’analyse du trafic (comme Norton Privacy Control) ne peuvent empêcher l’envoi des données chiffrées même si l’utilisateur enregistre tous les mots de passe de tous ces logiciels dans la liste des programmes contrôlés. Ainsi, si l’ordinateur de l’utilisateur sur lequel est installé un des logiciels de Symantec avec le sous-système Privacy Control ou un autre logiciel qui adopte une démarche similaire pour la protection des informations, est attaqué par une nouvelle version du cheval de Troie Trojan-PSW.Win32.LdPinch qui ne figure pas dans les bases antivirus et qui n’est pas reconnue par les autres composants de la protection, alors la majorité des mots de passe de l’utilisateur sera volée par l’individu mal intentionné et utilisée à ses fins.

Toutefois, le système de protection qui repose sur l’analyse de l’activité des applications exécutées permet de bloquer la collecte (cf. ill. 4) et l’envoi dissimulé (cf. ill. 5) des données confidentielles recueillies par le cheval de Troie Trojan-PSW.Win32.LdPinch.


Illustration 4. Message de Kaspersky Internet Security 7.0
sur une tentative d’obtention d’accès des données confidentielles par Trojan-PSW.Win32.LdPinch


Illustration 5. Message de Kaspersky Internet Security 7.0
sur une tentative d’envoi dissimulé de données confidentielles par Trojan-PSW.Win32.LdPinch

Conclusion

Cet article a abordé la classification des méthodes utilisées pour voler des informations et nous avons étudié deux méthodes différentes intégrées aux composants de protection des données confidentielles inclus dans les systèmes complexes de sécurité. Nous avons analysé l’efficacité des deux méthodes sur la base de l’opposition entre le système de protection et un cheval de Troie connu.

Cette comparaison des méthodes de protection des données confidentielles a démontré la suprématie de la méthode développée et perfectionnée par Kaspersky Lab. Cette approche consiste à analyser le comportement des applications exécutées et à surveiller l’activité qui évoque la possibilité de transfert de données confidentielles. La méthode qui repose sur la constitution d’une liste par l’utilisateur des données qui ne peuvent être consultées par des tiers et sur la surveillance de trafic pour éviter que des éléments de cette liste ne soient transmis dans le trafic sortant est à l’évidence moins efficace, moins sûre et donc plus dangereuse !

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *