Sommaire

Cet article fait partie d'une série de 5 articles sur la sécurité informatique.

Dernière mise à jour : 25/11/2007.

Comment les ennuis arrivent

Les responsabilités sont plus ou moins partagées entre l'utilisateur et les éditeurs des logiciels, suivant la façon dont on utilise sa machine.

L'utilisateur doit éviter les comportements à risque, susceptibles d'ouvrir la porte à un logiciel malveillant

  • se méfier des pièces attachées dans les emails
  • ne pas se connecter à un compte Internet à partir d'un email reçu (compte en banque notamment)
  • ne pas installer n'importe quelle application
  • éviter certains types de sites web (jeux, pornographie, piratage notamment)
  • ne pas répondre au spam[1]
  • ne pas laisser son adresse email en clair sur un site web ni dans un lien mailto:[2]
  • ne pas cliquer dans les fenêtres popup[3]
  • ne pas travailler dans une session d'administrateur, ce qui ouvrirait aux logiciels malveillants l'accès à tous les fichiers du système[4]
  • choisir des mots de passe suffisamment complexes, notamment pour les comptes d'administration[5]

D'une manière générale, il faut se méfier au moins autant de la navigation Internet que des courriers électroniques[6].

L'éditeur fournit des applications ou des pilotes pour le matériel[7] qui ne sont jamais parfaits et peuvent être détournés de leur but premier par des pirates. Il faut donc :

  • les mettre à jour régulièrement
  • installer des outils préventifs ou curatifs (antivirus, pare-feu, etc.)
  • configurer sa machine pour réduire les risques d'intrusion
  • vérifier que les applications installées n'ont pas des fonctions cachées qui pourraient être détournées[8]

Les menaces

Les logiciels malveillants

Le but d'un logiciel malveillant est généralement d'endommager un système ou des données, de récupérer des données ou d'ouvrir un accès distant sur une machine[9]. Ces logiciels se propagent par le réseau (Internet, messagerie) ou par support amovible (clef USB, etc.). Toute application connectée à Internet est susceptible d'ouvrir la porte à des logiciels malveillants.

  • Le virus se propage en infectant des fichiers ou des applications que l'on se transmet manuellement
  • Le vers se propage tout seul par la connexion réseau de l'ordinateur
  • Le logiciel espion, spyware en anglais, a pour but de transmettre des informations personnelles à un serveur sur Internet
  • Le cheval de Troie est un logiciel malveillant abrité par une application exempte de tout soupçon
  • Le rootkit est un logiciel malveillant qui est invisible pour l'utilisateur et peut intercepter les communications entre le système et les applications, par exemple l'explorateur de fichiers, afin que sa présence ne soit pas révélée

Les leurres

Les techniques de propagation les plus courantes de nos jours consistent à induire en erreur l'utilisateur afin qu'il installe lui-même des logiciels malveillants. L'astuce classique est de vous envoyer un email prétendument d'un de vos amis. En fait son adresse email aura été récupérée automatiquement dans le logiciel de messagerie d'une machine peu sécurisée ou suite à la réception d'un leurre. La version professionnelle de cette technique consiste à se faire passer pour votre supérieur hiérarchique.

  • Les emails d'alerte demandant de faire une mise à jour ou une maintenance du système le plus vite possible depuis un site web sont des leurres
  • Les pièces attachées aux emails peuvent contenir des virus, elles masquent souvent leur nature par un nom à rallonge ou en tirant partie du masquage des extensions de fichiers[10]
  • Le phishing consiste à envoyer un email incitant l'utilisateur à se connecter à un faux site web qui est une copie exacte d'un site existant[11], site de banque notamment
  • Les fenêtres popup ont souvent pour but d'installer des logiciels via le navigateur web lorsqu'on clique dedans
  • Le cross site scripting est une technique qui permet de détourner les fonctions d'un site web officiel afin d'attaquer ses visiteurs via le navigateur web, on les y attirera avec un mail alléchant

Pourquoi on ne nous dit rien ?

On voit bien que l'on ne s'improvise pas du jour au lendemain connaisseur en matière de sécurité informatique, le domaine étant très vaste et les techniques évoluant rapidement. Malheureusement toute l'industrie informatique à intérêt à ce que l'ordinateur soit vu comme un produit banal : on le déballe, on le branche et c'est bon ! Les éditeurs, les fabricants, les fournisseurs d'accès Internet, les revendeurs ont donc jusqu'à présent fait profil bas sur la question sécurité pour ne pas faire fuir la clientèle massive.

Mais les temps changent et les banques, qui doivent rembourser les clients victimes de fraudes, se sentent maintenant obligées d'informer, certes timidement, leurs clients sur les risques et les parades à adopter. De même l'éducation nationale se met à informer parents et enfants, malgré un biais lié au partenaire mal choisi de leur opération (Microsoft). Malheureusement ces initiatives restent très superficielles par rapport à la réalité de la situation et ce qu'en tirent tous les cyber-criminels. Ainsi ce sont, comme d'habitude avec l'industrie du logiciel, les clients qui en paient la lourde addition.

La suite

Notes

[1] courrier électronique publicitaire, non sollicité

[2] il existe des robots qui scannent les sites web à la recherche de ces adresses pour alimenter le spam

[3] fenêtre du navigateur web qui s'ouvre spontanément

[4] remarque : la notion d'administrateur n'existe sous Windows® que dans les versions professionnelles NT, 2000 et XP professionnal

[5] éviter les mots du dictionnaire utilisés seuls, éviter les prénoms, longueur d'au moins 8 à 10 lettres, etc.

[6] lire à ce sujet Employés surfeurs: un énorme problème de sécurité ou encore Pages web malveillantes : Firefox bas Internet Explorer par KO...

[7] logiciel fourni par le fabricant qui permet d'utiliser le matériel (carte son, carte vidéo, carte réseau, etc.)

[8] connexion régulière à un serveur par exemple

[9] pour en savoir plus, consulter l'article Logiciel malveillant sur Wikipedia

[10] fonctionnalité malheureusement activée par défaut dans Windows® XP

[11] une technique apparue en 2006 permet de faire croire à l'utilisateur qu'il utilise bien l'adresse du site original (ce sont les DNS redirectors) et une autre technique apparue début 2007 interpose le faux site entre le vrai site et l'utilisateur afin qu'il ne se rende compte de rien