Rechercher dans les publications Rechercher:

Imprimer cet article

Rechercher dans les publications Auteur : Cariboo
Site Web :
Pnambique

Directeur du Pôle Experts de la société @position http://www.aposition.com



Articles de l'auteur :
La détection du Link Spam : un challenge pour les moteurs [3/4]
La détection du Link Spam : un challenge pour les moteurs [2/4]
La détection du Link Spam : un challenge pour les moteurs [Bibl.]
La détection du Link Spam : un challenge pour les moteurs [1/4]
Cuill veut surpasser Google grâce à l’analyse de données sémantiques
2007 : l’année des moteurs furtifs
L’autre sémantique - Le Web Sémantique et les systèmes de recherche d’information. [3.4]
L’autre sémantique - Le Web Sémantique et les systèmes de recherche d’information. [3.3]
L’autre sémantique - Le Web Sémantique et les systèmes de recherche d’information. [3.2]
L’autre sémantique - Le Web Sémantique et les systèmes de recherche d’information. [3.1]
Joachim Kreibich (Seekport) : pour nous, un moteur de recherche de qualité doit tenir compte des particularismes linguistiques nationaux, voire régionaux
Une tentative de définition du spamdexing
Google Base dévoilé !
Les concepts de la POO
La programmation objet : qu’est-ce que c’est ? à quoi ça sert ?
Gregory Olivier "MSN Search cherche à établir un véritable dialogue avec les webmasters et les référenceurs"
Direct Answers from Encarta
MSN Search utilise-t’il l’analyse au niveau des blocs ?
Spyware : les méthodes pour s’en débarasser
Michael James, de la société Mirago "Nous misons sur nos partenaires pour développer notre visibilité"
La sémantique appliquée et les outils de recherche [2/6]
Linguistique statistique et sémantique appliquée : outil de pertinence pour les moteurs, de KM et de référencement
ANALYSE THEMATIQUE (4/4) par le Pr E. Garcia
ANALYSE THEMATIQUE (3/4) par le Pr E. Garcia
Applications des outils sémantiques au référencement et aux moteurs de recherche
Sémantique appliquée : Liens et références bibliographiques
ANALYSE THEMATIQUE (2/4) par le Pr E. Garcia
ANALYSE THEMATIQUE (1/4) par le Pr E. Garcia
CIRCA : la technologie d’Applied Semantics au coeur des Adwords et des Adsense de Google [3]
Mon premier programme en PHP (3e Partie)
CIRCA : la technologie d’Applied Semantics au coeur des Adwords et des Adsense de Google [2]
CIRCA : la technologie d’Applied Semantics au coeur des Adwords et des Adsense de Google [1]
Quelques pistes pour comprendre le nouvel algorithme de Google (suite et fin)
Quelques pistes pour comprendre le nouvel algorithme de Google
FOOXX, le moteur futé venu d’Allemagne
Le futur moteur que prépare Microsoft pour MSN sera-t’il Brilliant ?
Mooter, un moteur de recherche innovant venu d’Australie
Les techniques évoluées d’indexation dans les moteurs de recherche (2e partie)
Visibilité et stratégies de développement d’audience sur le Web
Les techniques évoluées d’indexation dans les moteurs de recherche
L’algorithme HITS et le projet CLEVER (deuxième partie)
L’algorithme HITS et le projet CLEVER
La structure du web est en forme de "noeud papillon"
Webfountain d’IBM
Vers un moteur de recherche sensible au contexte (1ère partie)
Vers un moteur de recherche sensible au contexte (2ème partie)
Vers un moteur de recherche sensible au contexte (3ème partie)
Droit d’auteur et site web
Droit d’auteur et site web (2e Partie)
Droit des producteurs de bases de données (législation française)
Tester correctement variables et valeurs en php
Mon premier programme en PHP (2e Partie)
Les nouveautés de la version 5 de PHP
Les origines du PHP
Mon premier programme en PHP
Pourquoi choisir le PHP pour réaliser des pages dynamiques ?
Spyware : les méthodes pour s’en débarasser

Spyware

Spyware : les méthodes pour s’en débarasser

HBO, MSH, HSA, CoolWebSearch, SearchDom, ....

5 février 2005, par Cariboo

La menace que représente les spywares est généralement sous estimée. Les risques que ces logiciels font courir à vos données sont réels, et la frontière entre virus et spywares est devenue très ténue.

Il y’a encore quelques mois, on pouvait s’en débarasser facilement à l’aide d’une application ad hoc et des connaissances basiques en informatique. Mais les inventeurs de spyware exploitent l’une après l’autre, et en un temps record, toutes les failles découvertes dans les navigateurs webs, et des versions particulièrement insidieuses de ces logiciels ont été développées. Il faut maintenant souvent déployer beaucoup d’efforts et un arsenal d’outils impressionnant pour s’en débarasser.

Nous allons faire un point sur les différentes sortes de spyware, sur les outils pour les détecter et s’en débarasser, ainsi que sur la manière d’utiliser ces outils.

Les spywares, c’est quoi cette bête là ?

Le terme spyware se traduit directement par "logiciel espion". Mais on a pris la (mauvaise) habitude d’appeler spyware, non seulement les "logiciels espions" mais aussi des cousins qui ont d’autres objectifs que d’espionner le comportement de l’internaute.

D’une manière générale, on appelle spyware un logiciel qui se télécharge et s’active à l’insu et/ou contre la volonté de l’utilisateur.

Les adwares

Les adwares sont des logiciels publicitaires. Leur objectif est de "profiler" un internaute en observant ses habitudes de surf, et/ou en lui demandant de remplir un formulaire personnalisé. L’adware se charge ensuite de faire apparaître des fenêtres publicitaires ciblées. Classiquement, ces logiciels permettent de faire apparaître la fenêtre d’un casino en ligne lorsque l’on surfe sur un site de casino concurrent, ou font surgir régulièrement un popup vantant les mérites du viagra aux internautes de plus de 50 ans...

Ces logiciels peuvent se télécharger à l’insu de l’internaute, ou s’activer en même temps qu’un logiciel gratuit que l’on vient d’installer. Kazaa contient par exemple un tel logiciel, baptisé Cydoor [1]. D’autres logiciels contiennent directement dans leur code des routines élaborées par des sociétés spécialisées, et qui transforment ces logiciels apparemment anodins en adwares [2]

Les vrais "spywares" ("les mouchards")

Les adwares interagissent avec les utilisateurs, et se manifeste de manière souvent très visible... En général, on sait que l’on a "attrapé" un adware.

Le "mouchard" est lui parfaitement silencieux. Des millions de gens en hébergent sur leur machine sans le savoir. Les "mouchards" sont des logiciels dont l’objectif est de collecter des données (sur les habitudes de surf de l’utilisateur) et de les envoyer en douce à des serveurs de sociétés spécialisées qui les revendent.

Comme les adwares, les mouchards s’installent, soit pendant l’installation d’un logiciel hôte d’apparence anodine, soit par téléchargement automatique en surfant sur internet.

Attention aux "barres d’outils" proposées pour les navigateurs web : la plupart contiennent un mouchard.

Les trojan "spywares"

Avec le spyware "cheval de Troie", on franchit un seuil supplémentaire dans la malveillance. Il s’agit d’un logiciel qui se télécharge automatiquement en surfant sur des pages hôtes, et qui est capable d’ouvrir un canal de communication avec le serveur de la société qui cherche à pirater votre machine.

Ces trojan peuvent avoir des objectifs divers (récupérer des données, des fichiers, des numéros de carte bleues, servir de relais de mail pour du spam, préparer une attaque de type DOS, etc...)

La frontière entre ce type de logiciel et le virus n’existe plus : il s’agit purement et simplement d’une forme de virus Trojan, qui ne cherche pas à se répliquer.

Ces trojan sont particulièrement dangereux pour la sécurité de vos données et de votre machine.

Cool Web Search et ses avatars

Une famille spécifique de spyware est apparu il y’a quelques mois, inaugurée par "Cool Web Search".

Depuis plusieurs années, des petits malins avaient réussi à exploiter les failles d’internet explorer pour remplacer automatiquement la page d’accueil et/ou la page de recherche de votre navigateur favori par leur page (une bonne méthode pour générer des pages vues sans efforts).

Cool Web Search et ses avatars (nombreux) représente la dernière version de ces scripts... Sauf que cette génération de spyware est techniquement très avancée, et déjoue toutes les techniques habituelles d’éradication (les logiciels comme adaware ou spybots sont inefficaces).

Ces spywares là sont en fait de vrais "chevaux de Troie", qui après leur installation téléchargent en fait d’autres mouchards ou logiciels.

Les dialers

Les dialers (composeurs de numéro) sont en fait une forme très particulière de "evilware" qui change les paramètres de votre connexion internet... Pour les gens qui surfent en RTC, cela peut aboutir à une note de téléphone très salée, puisqu’au lieu d’utiliser leur FAI préféré et son forfait, vous vous mettez à appeler un numéro surtaxé ...

Ceux qui sont raccordés au câble ou à l’ADSL sont à peu près protégés, attraper un "dialer" (le plus souvent incompatible avec la technologie et les permissions de votre FAI) se manifeste le plus souvent par une impossibilité de se connecter à internet. [3]

Une industrie florissante

Au fil du temps, les spywares sont donc devenus une grande famille. Tous ont été créés avec un objectif commercial, et permettent aux sociétés qui s’en servent de générer des millions de dollars de profit. Ces bénéfices permettent de rémunérer à temps plein une armée de développeurs chargé de développer en permanence de nouvelles versions, contournant toutes les nouvelles barrières logicielles mises en place, exploitant toute nouvelle faille de sécurité découverte en un temps record...

Mieux vaut prévenir que guérir

En fait, quelques mesures simples permettent de se prémunir efficacement contre les spywares...

Abandonner Internet Explorer

La chose la plus intelligente à faire est de laisser tomber Internet Explorer, et d’utiliser plutôt Firefox pour surfer sur le web. La plupart des spywares utilisent les failles du navigateur de Microsoft pour s’installer, donc utiliser IE revient à laisser les clefs sur la porte de votre maison...

Je ne doute pas que si un jour Firefox représente plus de 40% des navigateurs utilisés, les failles de Firefox seront aussi exploitées, mais en attendant, c’est la méthode la plus simple pour ne pas avoir de surprises...

Gardez votre système à jour (ou adoptez Linux)

Outre les failles d’IE, la plupart de ces logiciels espions exploitent plus largement les failles des systèmes d’exploitation de Microsoft... Il est donc extrêmement important d’installer rapidement toutes les mises à jour de Microsoft, et, pour XP, de passer à SP2 si ce n’est pas déjà fait.

Attention aux logiciels gratuits

Méfiez-vous des logiciels gratuits ou en shareware : un certain nombre d’entre eux hébergent des spywares. Lisez l’EULA (end user licence agreement) : la présence d’un spyware est souvent mentionnée noir sur blanc...

Une liste (complète, mais non exhaustive) des logiciels contenant des spywares est disponible sur spywareguide.com

Liste des bundled softwares

Pour ceux qui ne lisent pas l’anglais, une page de Patrick Kolla (l’auteur de SpyBot), qui donne les principaux logiciels incriminés

Liste des logiciels courants contenant un spyware

Utilisez un firewall

Dès qu’une machine est connectée au réseau internet, utiliser un firewall devient une mesure de bon sens. Un firewall bien paramétré permet aussi de limiter les dégâts en cas de présence d’un spyware sur votre machine : il vous signalera souvent qu’un logiciel tente d’accéder un internet à votre insu, et bloquera l’accès à votre machine par des ports "exotiques".

Java, Javascript, Active X et Niveau de sécurité

Pour arriver à télécharger et à installer automatiquement un logiciel, les éditeurs de spywares ont besoin de complices... Ces complices ont pour nom : Java, Javascript, et surtout... Active X.

Si vous décidez, malgré tout, de surfer à l’aide d’Internet Explorer, le plus prudent est de désactiver la plateforme Java (qu’elle qu’en soit l’origine), le Javascript et le support des active X.

Et il convient de passer le système et le browser en sécurité haute, pour éviter l’installation et l’execution automatique de programmes.

Sortez couverts, et attention où vous mettez les pieds...

On n’attrape pas de spywares en visitant le site de Liberation ou pagesjaunes.fr. On en attrape en visitant les sites de warez, les sites adultes, certains sites de jeux en ligne, bref toutes les pages "borderline" sur le net...

Visiter les bas fonds du net présente des risques, si vous tentez l’aventure, un seul conseil : sortez couverts !

Les outils de détection

Les outils "antispyware" se multiplient, et il existe de nombreux bons produits. Le problème, c’est qu’aucun d’entre eux ne sait détecter correctement et éliminer toutes les formes de spyware...

Deux toutefois sortent du lot Ad-Aware, et SpyBot : ce sont les plus complets, les plus efficaces, et, chose qui ne gâte rien, ils sont dotés d’une interface en français...

Ad Aware

Ad-Aware est un logiciel très efficace, et très simple d’utilisation. Il existe en version "light" (gratuite) et dans une version payante plus complète et dotée d’outils complémentaires particulièrement utiles pour se débarasser des spywares les plus rebelles...

Le site de Lavasoft

Pour télécharger la version gratuite

SpyBot

Spybot est également un antispyware particulièrement efficace. Spybot est gratuit, il contient beaucoup de fonctionnalités qui ne sont accessibles qu’en version payante pour Ad Aware.

Télécharger Spybot

Lequel choisir ?

Ne choisissez pas : il vous faut les deux. Spybot détecte des spywares que Ad-Aware ne voit pas, et la réciproque est vraie. Même chose pour l’élimination des indésirables. J’ai souvent éliminé des spywares réputés particulièrement vicieux en deux coups de cuillère à pot en les utilisant tout bonnement l’un derrière l’autre...

Un autre logiciel très utile : l’anti-Spyware de Microsoft

Microsoft avait racheté une application antispyware, baptisée Giant antispyware, et l’avait rebaptisée "windows antispyware" :

La page de présentation de windows antispyware

Ce produit, présenté en version "bêta", est déjà très efficace... C’est gratuit, mais (mauvaise nouvelle pour les pirates), seul les possesseurs d’une version non piratée de windows peuvent l’installer.

Windows antispyware

La boîte à outils de l’éradicateur

AVERTISSEMENT : tous les outils et méthodes présentés ci-après et jusqu’à la fin de cet article sont réservés à des utilisateurs avertis... Une mauvaise utilisation de ces outils peut conduire à la perte totale des données de votre machine. Si vous n’êtes pas un informaticien averti, n’essayez pas de les utiliser , faites appel à un expert.

Comme de nouveaux spywares apparaissent sans arrêt, il est hélas fréquent de tomber sur des versions que les outils antispywares n’arrivent pas éliminer. Dans ce cas, il faut utiliser d’autres outils pour détecter et éliminer à la main les fichiers et les processus.

Hijack This

Hijack This est l’outil in-dis-pen-sa-ble du chasseur de spyware. Il s’agit d’une petite application qui permet d’extraire de la base de registres les entrées attaquées par les spywares, et de produire un log des processus qui tournent sur la machine. En général, les sites spécialisés dans le support antispyware demandent le log produit par Hijack This pour statuer sur l’état de votre machine et préconiser une méthode d’élimination.

Hijack This permet aussi de restaurer les entrées de la base de registres à partir d’une sauvegarde effectuée précédemment, ou de supprimer manuellement les entrées ajoutées (une manip dangereuse, déconseillée au débutant)

Télécharger Hijack This

CWShredder

Spybot et Ad-Aware ne savent pas correctement éliminer Cool Web Search et ses variantes. CWShredder a été conçu pour éliminer tout spécialement cette famille de logiciels espions. [4]

Télécharger CWShredder

ADS Spy

ATTENTION : l’utilisation de ce logiciel est à réserver aux experts du système windows

Ce petit logiciel sert à lister, examiner et détruire les ADS (Alternate Data Streams)utilisés sur votre machine. Les Alternate Data Streams sont utilisés depuis quelque temps par les auteurs de spyware pour cacher leurs fichiers. Il s’agit d’un système mis en place par Microsoft pour autoriser la compatibilité MacOS et NT4, et qui permet de stocker des métadonnées à propos d’un fichier ailleurs que dans le fichier, tout en permettant d’utiliser un seul nom pour invoquer les deux sources de données. Parfait pour lancer un exécutable malveillant en lançant un fichier système anodin [5]...

Télécharger ADS Spy

Dllcompare et killbox

Dllcompare est une petite application qui compare la liste des dll présentes sur votre machine données d’un côté par votre version de windows, et d’autre part par la vieille commande 16 bits locate.com. S’il existe des dll 16bits sur votre machine, il peut s’agir de fichiers appartenant à un spyware. En effet cette technique permet de rendre invisible des fichiers aux systèmes windows 32 bits !!

Ces dll 32 bits cachées peuvent ensuite être éliminées à l’aide de l’outil killbox.

Télécharger dllcompare

Télécharger killbox A utiliser avec précaution.

Les sites utiles

Dans ce domaine, les sites utiles francophones sont à inventer... Si vous êtes atteint par la dernière version d’un spyware, vos chances de trouver des informations en français sur le sujet sont quasi nulles. [6]

Il existe un nombre relativement réduit de forums qui offrent un support efficace pour l’élimination de spywares.

- Castlecops
- Forum de support de Lavasoft
- Subratam.org
- Spywareinfo.com

Stratégie type d’éradication d’un spyware

L’imagination des inventeurs de spyware est sans limites, et les méthodes pour les éliminer sont souvent spécifiques. Mais en règle générale, en suivant la stratégie décrite ci-dessous, on finit toujours par les éliminer proprement et sans avoir à reformater son disque dur, ce qui est quand même plus sympathique...

Analyse antivirale

La première des choses à faire quand on pense que sa machine a été contaminée par un spyware, c’est de lancer un scan antivirus.

Comme on l’a souligné plus haut, la frontière entre spyware et virus est floue, on peut souvent les confondre.

Passer un antivirus au préalable permet :
- d’enlever certains types de trojan directement (ils sont éliminés par les antivirus)
- de décontaminer la machine (il arrive fréquemment de tomber sur des machines qui contiennent plusieurs virus et des dizaines de spywares...) La présence de virus gêne l’élimination des spywares, il faut commencer par cela.

Il faut penser aussi à lancer une détection via internet, surtout si votre antivirus n’est pas forcément à jour.

Ensuite, et ensuite seulement, désactivez votre antivirus (les résidents de l’antivirus peuvent gêner la suite des opérations).

Pensez à réactiver votre antivirus après ça ...

Détection automatique par Ad Aware et Spybot

Ensuite : 1. lancez AdAware, supprimez les fichiers détectés. Relancez un scan AdAware : s’il ne détecte plus rien, c’est bon signe. Dans le cas contraire :

2. lancez Spybot. Demandez l’élimination des fichiers et entrées détectés. Relancez un scan Spybot : s’il ne détecte plus rien, c’est bon signe, réessayez Ad Aware.

Si Ad Aware et/ou Spybot ne parviennent pas éliminer le spyware :

3. Redémarrez la machine en mode sans echec. Relancez un scan Ad Aware. Puis un scan SpyBot. S’ils ne détectent plus rien, vous en avez fini avec la bestiole. Dans le cas contraire, ça se complique...

Si vous avez oublié comment démarrer votre machine en mode sans échec, voici une page de Symantec très complète sur les différentes méthodes pour y parvenir...

Démarrer en mode sans échec

Demandez à Ad Aware et/ou à Spybot de supprimer les processus ou fichiers incriminés, cette fois-ci en mode sans échec, et redémarrez, toujours en mode sans échec. A ce stade, si Spybot et Ad Aware ne détectent plus rien, vous en avez fini avec la bestiole. Dans le cas contraire, vous avez attrapé un spyware plus malin qu’eux...

Il va falloir utiliser autre chose.

CWShredder

Toujours en mode sans échec, lancez un scan CWShredder. Si CWShredder ne détecte rien, c’est qu’il s’agit d’un spyware différent, qu’il va falloir éliminer à la main.

Si ce logiciel détecte et déclare éliminer quelque chose, vérifiez derrière avec Ad Aware ou Spybot. Si le spyware apparait encore, il va falloir le supprimer à la main.

Dans le cas contraire, grâce à CWShredder, vous en avez fini avec la bestiole.

Examen de la base de registre

Le spyware est toujours là ? Bon, il faut lancer Hijack This et essayer d’analyser les entrées de la base de registres pour repérer les anomalies.

Muni du log, le mieux est d’aller le poster sur l’un des forums spécialisés...

Recherche d’informations

En postant le log Hijack This sur un forum, ou en cherchant des infos sur un spyware donné, vous obtiendrez sans doute des infos sur la méthode à employer pour éliminer un spyware donné. Suivez à la lettre les instructions données, car il faut parfois effectuer des opérations risquées (le simple fait de manipuler la base de registres présente des risques). Et si vous n’êtes pas un utilisateur très avancé, laissez à un expert le soin de le faire pour vous...

Si vous ne parlez pas anglais, postez le sur le Hub, on devrait arriver à vous aider.

Recherche de processus anormaux

En démarrant en mode sans échec, on limite le nombre de processus qui tournent. Mais il arrive fréquemment que les tentatives d’élimination échouent, parce qu’un processus résident du spyware rétablit les paramètres le relançant à chaque fois que vous les enlevez.

Il convient dans ce cas d’arrêter, à l’aide du gestionnaire de tâches, tous les processus inutiles du système...

Si vous parvenez à trouver le processus qui recharge les données du spyware, en l’arrêtant, vous parviendrez peut-être à l’éliminer.

Pensez à essayer l’arrêt net de la machine (en coupant l’alimentation électrique) car certains spywares se rechargent pendant la phase d’extinction logicielle.

Et si rien de tout cela n’a marché

Et bien, il faut tout reformater et tout réinstaller... Mais je n’ai jamais encore rencontré de spywares que l’on ne pouvait pas, après parfois de longs efforts, supprimer proprement.

Donc en principe, il y’a toujours un espoir.

Et si vous êtes coincés, posez vos questions sur le Hub...

Philippe YONNET



[1] petite liste des sociétés fabriquant de tels logiciels : Radiate, Cydoor, Conducent, Onflow ou Web3000

[2] Liste indicative et non exhaustive de ces bébêtes : Gator, New.net, SaveNow, TopText, Alexa ou Webhancer

[3] La suppression de la connexion ajoutée, et le retour à l’ancienne connexion par défaut suffit à régler le problème : à condition d’avoir supprimé correctement préalablement l’installeur...

[4] Hélas, CWShredder est déjà devenu impuissant contre la nouvelle génération de spyware de cette famille. Mais il est redoutablement efficace pour les versions précédentes.

[5] Un perfectionnement de cette méthode consiste à changer le fichier système ciblé à chaque redémarrage. De quoi tourner en bourrique les utilisateurs les plus aguerris

[6] On va essayer de changer cela en relayant les infos sur webmaster-hub