Cours - Génie logiciel et des TI · 2016-06-08 · Logiciel espion (spyware) Tout logiciel qui contient un programme-espion et qui emploie en arrière-plan la connexion Internet

Logiciels malveillants

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS Logiciels malveillants - A11 2

Plan de présentation

Introduction

Listes des logiciels malveillants

Définitions et principales caractéristiques

Virus – détails

Ver – détails

Logiciel espion – détails

Conclusions


Introduction

Les logiciels malveillants viennent sous diverses formes.

Certains se reproduisent.

Certains détruisent des informations.

Certains volent des informations.

Certains dorment jusqu’au moment propice.

…

Ils exploitent

Les vulnérabilités logicielles La fenêtre d’opportunité entre la découverte d’une vulnérabilité et la disponibilité du

correctif.

La naïveté des usagers Directement ou indirectement.

…


Listes des logiciels malveillants

Virus

Ver

Mailers – Mass-Mailer worms

Bombe logique

Cheval de Troie

Porte dérobée (Backdoor)

Rootkit

Ordinateur zombie – bots

Permet notamment de « flooder »

Logiciel espion (Spyware)

Logiciel publicitaire (Adware)

Germs

Premier rudiment d’un

logici8el malveillant

Rabbit

Vers existant en une seule

copie

Keylogger, Password-

Stealing

Souvent via un cheval de

Troie

Dropper, Injector

Injecteur de virus (1ière

génération)


Virus

Programme malveillant dont l'exécution est déclenchée lorsque

le vecteur auquel il a été attaché clandestinement est activé, qui

se recopie au sein d'autres programmes ou sur des zones

systèmes lui servant à leur tour de moyen de propagation, et qui

produit les actions malveillantes pour lesquelles il a été conçu.

Principales caractéristiques

Se reproduisant grâce à une vulnérabilité logicielle ou avec l’aide des

usagers.

Se propageant au sein de l’ordinateur infecté.

Nécessitant un programme hôte à infecter.

Les plus célèbres: ILoveyou, Melissa, …


Virus – Autopsie

Un mécanisme d’infection

Comment le virus se reproduit-il et se propage-t-il?

Un moyen de déclenchement (trigger)

Comment le virus décide-t-il d’exécuter sa charge utilite?

Une charge utile (payload) Qu’est-ce que fait le virus, autrement que de se reproduire et de se propager?


Virus – Environnement

Les virus sont généralement développés en fonction de la plateforme

Architecture de l’ordinateur

Microprocesseur

Système d’exploitation Version

Système de fichier (DOS, FAT, NTFS, …)

Format de fichier

Interpréteur Macro Microsoft, VisualBasic

Shell UNIX/Linux

JScript, Python, TCL, PHP, Perl, …

Vulnérabilités logicielles

…


Ver

Programme malveillant, autonome et parasite, capable de se

reproduire par lui-même.


Se reproduisant généralement automatiquement grâce à une

vulnérabilité logicielle.

Exception les Mass-Mailer Worms ou simplement les Mass-Mailers nécessitant l’aide

des usagers – fichier exécutable déclenché par l’usager et utilisant le client courriel.

Se propageant par le réseau vers d’autres ordinateurs vulnérables.

Certains auteurs présentent les vers comme des virus réseau.

Ne nécessitant pas de programme hôte à infecter.

Les plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, …


Ver – Autopsie


Comment le ver se reproduit-il et se propage-t-il?

Un moyen de déclenchement (trigger)

Comment le ver décide-t-il d’exécuter sa charge utile?

Une charge utile (payload)

Qu’est-ce que fait le ver, autrement que de se reproduire et de se propager?


Classifications des vers

Selon le moyen de déclenchement de l’infection

Automatique

Usager

Selon le moyen de propagation

Courrier – Mass-mailer worms

Messagerie instantanée

Réseau poste-à-poste (peer-to-peer)

Balayage – connexion TCP

Aléatoire

Localisé (p.e. 30% aléatoire, 40% réseau, 30% sous-réseau)

Liste de distribution

Topologique (information du réseau est obtenu de l’ordinateur infecté)


Bombe logique

Programme malveillant à déclenchement différé, activé soit à une

date déterminée par son concepteur, soit lorsqu'une condition

particulière se trouve vérifiée, ou un ensemble de conditions

réunies, et qui, dès lors, produit l'action malveillante pour

laquelle il a été conçu


Ne se reproduisant pas.



Cheval de Troie

Programme malveillant qui, dissimulé à l'intérieur d'un autre

programme en apparence inoffensif (par exemple un jeu ou un

utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur.




Toutefois, il est possible d’avoir un cheval de Troie dont la seule utilité soit malveillante.

Au quel cas, il n’y a pas vraiment de programme hôte.

Les plus célèbres: Sub7, Back Orifice, …


Ordinateur zombie

Ordinateur personnel infecté et contrôlé à distance par un

pirate malveillant, qui sert de relais, à l'insu de son

propriétaire, pour envoyer massivement du pourriel ou pour

lancer anonymement des attaques par déni de service.


Sous-classe des chevaux de Troie

Un réseau de zombies ou bots est appelé un botnet


Logiciel espion (spyware)

Tout logiciel qui contient un programme-espion et qui emploie

en arrière-plan la connexion Internet de l'utilisateur pour

recueillir et transmettre, à son insu et sans sa permission, des

données personnelles, notamment sur ses intérêts et ses

habitudes de navigation, à une régie publicitaire.





Logiciel espion (spyware) – Autopsie


Ne se propage pas automatiquement.

Ingénierie sociale

Installé avec un logiciel populaire (p.ex. Kazaa), un outil shareware, un faux anti-spyware.

Vulnérabilités

Visiter une page web malicieuse exploitant une vulnérabilité du fureteur.

Recevoir un courriel contenant une page HTML avec un script malveillant.


Logiciel publicitaire (adware)

Logiciel gratuit, offert en version complète, mais affichant,

lors de son utilisation, des annonces publicitaires menant à

des sites commerciaux, qui sont renouvelées à chaque nouvelle

connexion à Internet.





Logiciel publicitaire (adware) – Autopsie

Une charge utile (payload)

Affiche des fenêtres publicitaires (pop-up)

Vole les informations personnelles

Toute information contenue dans l’ordinateur infecté.

Adresse, numéro d’assurance social, numéros de carte de crédit, information bancaire, …

Enregistre les habitudes de navigation web

Information marketing

Déroute certaines requêtes HTTP vers des sites commerciaux

…


D’autres logiciels malveillants

Scareware est un faux logiciel de sécurité, comme un

antivirus ou un anti-spyware. Ce type de logiciel malveillant

signale des menaces qui en réalité n’existent pas dans le but

d’effrayer l’utilisateur et de l’inciter à acheter un produit

antivirus fictif en affichant à l’écran de fausses alertes au virus.

Rançongiciel, est un logiciel malveillant qui prend en otage

des données personnelles. Pour ce faire, un rançongiciel

chiffre des données personnelles puis demande à leur

propriétaire d'envoyer de l'argent en échange de la clé qui

permettra de les déchiffrer.


Conclusions

Bien comprendre le comportement des divers logiciels

malveillants est essentiel afin de

Déterminer les menaces qu’ils représentent et d’évaluer les risques

correspondants.

Déterminer l’efficacité des divers moyens de protection.

Antivirus

Systèmes de détection d’intrusion

Basés sur des signatures

Basés sur des comportements anormaux

Sensibilisation


Terminologie et définitions

Les définitions en italique ainsi que les termes français

proviennent de grand dictionnaire terminologique de

l’Office de la langue française du Québec.

(http://www.oqlf.gouv.qc.ca/ressources/gdt.html)

http://www.oqlf.gouv.qc.ca/ressources/gdt.html


Références

Documents

Cours - Génie logiciel et des TI · 2016-06-08 · Logiciel espion (spyware) Tout logiciel qui contient un programme-espion et qui emploie en arrière-plan la connexion Internet