Ces maliciels dont vous êtes le héros


Nelson Dumais - 05/12/2008

Les logiciels de sécurité étant plus efficaces et les systèmes d’exploitation plus difficiles à pirater, pensons au Mac OS X ou à Vista 64, les criminels se servent de plus en plus des usagers pour atteindre leurs objectifs. Ils deviennent des experts en déguisement, camouflage, leurre et tous les coups sont permis.

On dirait qu’au train où vont les choses, la question n’est plus de savoir qu’elle est la plateforme informatique la moins vulnérable, mais plutôt qu’elle est la base d’utilisateurs la moins connaissante.

Par exemple, les criminels auront recours aux services de réseautage social. C’est ainsi que dernièrement, les membres de Facebook pouvaient recevoir des liens photos, vidéos ou YouTube intitulés « Maan,yyou’re great! », « your ass looks not bad in this video », « Some0ne thinks your special and has a Hot_Crush on you. Find out who it could be » ou encore, « i can see yooooooooo ». Si sollicités, ces liens ouvraient la porte à un Troyen connu chez Symantec sous le nom de W32.Koobface.A, un vers qui se répandait en utilisant la liste d’amis de la victime. Sa mission? Fouiner dans les témoins pour retrouver celui du compte Facebook afin de modifier les paramètres – utilisateur en ajoutant des liens vers des sites malicieux. Parmi ceux-ci, on pouvait noter un clone de YouTube qui suggérait la mise à niveau du lecteur vidéo. En le faisant, on permettait à Koobface de glaner de l’info confidentielle dans l’ordi de l’utilisateur et de détruire son compte Facebook.

Ici, rien de bien nouveau. Quelque chose de semblable était arrivé à MySpace dès 2006, et à Twitter, plus récemment.

Toujours dans le but de déjouer les gens qui s’estiment en sécurité, les malfaiteurs utiliseront le Mac (si si, l’incorruptible Mac) ou encore ils s’attaqueront à Firefox, l’alternative Open Source à la soi-disant passoire Internet Explorer. C’est le cas très récent de Trojan.PWS.ChromeInject.A tel que l’a baptisé la firme de sécurité BitDefender. Spécifique à Firefox, il prétend être Greasemonkey, un module complémentaire permettant de configurer l’affichage de pages Web. Une fois installé, il se met à la recherche de mots de passe utilisés avec les sites financiers; on l’a programmé pour qu’il en reconnaisse une centaine, dont PayPal. Quand il les découvre, il en informa un serveur en Russie. À défaut d’être installé par l’usager, il peut s’attraper lors de la visite de certains sites Web contaminés.

Même le Mac?

Dernièrement, de nombreux amateurs de cette plateforme ont déploré la prolifération de OSX.RSPlug.D, pour utiliser le nom que lui a attribué la firme de sécurité Intego. Ce vers troyen propose à l’usager qui se trouve sur certains sites pornos de télécharger un « Video ActiveX Object » sous prétexte qu’il faut réinstaller FlashPlayer. Si l’usager accepte, il loge toute une vermine dans son Mac. RSPlug.D est un « downloader » très bien écrit qui installe tout ce que son serveur à distance lui demande d’installer et d’exécuter.

Plus récemment, on a vu passer OSX.Lamzev.A, un utilitaire malicieux permettant d’installer des « backdoors » sur un Mac. Incapable de s’installer tout seul, il se présente camouflé en logiciel légitime que l’on installe soi-même.

Pas plus tard que la semaine dernière, je relatais mon expérience dans le PC d’un copain pourtant protégé par NOD32, qui s’était infecté avec un logiciel d’apparence légitime, Antivirus 2008. Une fois nettoyé, j’y avais débusqué tout un arsenal pour transformer ce PC en zombie : Win32/Spy.Agent.NKE trojan, Win32/Agent.ODG Trojan, Win32/Agent.OIK Trojan, Win32/Adware.IeDefender.NHG application et Win32/Downloader.Ircfast application. Que s’était-il produit? Le copain s’était fait avertir par un « pop up » d’allure Microsoft que son PC était infecté et qu’il lui fallait installer Antivirus 2008. Ce qu’il a fait sans réfléchir. Dans un premier temps, ses moteurs de recherche (Google, Yahoo, etc.) ont été détournés, la fonction System Restore désactivée, et NOD32 probablement (j’attends une confirmation) privé de sa fonction de démarrage automatique à l’allumage du système. Imaginez la fiesta!

Qu’ont en commun tous ces scénarios? Ils frappent dans des endroits « cool » et requièrent la collaboration de l’utilisateur. Autrement dit, quelqu’un qui ne clique jamais sur des liens à senteur de souffre, qui sait que le Mac n’utilise pas d’ActiveX, qui n’a pas besoin d’un deuxième antivirus quand il en a un très bon d’installé, qui n’ira jamais télécharger un module complémentaire, une rustine ou un petit utilitaire ailleurs que sur des sites de téléchargement respectés ou chez le fabricant lui-même (entendre : non, il ne faut pas télécharger de mise à niveau de FlashPlayer sur un site porno…), c’est quelqu’un qui est passablement à l’abri des chtouilles.

Malheureusement, les gens ne sont pas ainsi. Ils cliquent et recliquent. Pour obéir, pour voir, pour le fun. Par étourderie, par curiosité, par devoir. Ils vont attraper un requin par la queue ignorant la nature cartilagineuse de la bête, ils vont tendre la main à un vison pour le caresser, inconscients de leur redoutable morsure, ils vont laisser leur python hors cage les observer sans manger pendant trois semaines, ignorant que le reptile est à la veille d’essayer de se repaître de leur propre personne.

C’est la principale raison, dit-on, pourquoi ce type de maliciel nécessitant la collaboration de l’usager, ne sévit pas en giron Linux/Unix. En comparaison avec les plateformes Windows et Mac, on y est mieux renseigné, plus informé et très connaissant, apparemment. Idem pour les utilisateurs des versions 64 bits de Windows XP ou de Vista; certains clament ne jamais rien attraper. Encore ici, ces gens ont une plus grande expérience que les autres en informatique.

Bref, tant qu’il y aura des internautes peu soucieux de comprendre les pourquoi, les comment et les conséquences de leurs cyber faits et gestes, il y aura toutes sortes de saletés létales en circulation. Autrement dit, il y en aura toujours, la nature humaine est ainsi faite.

Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.