Pour plus de lisibilité je vous ai retranscrit l'article Wanadoo sur cette page.
Les espions sont parmi vous
Dompter votre ordinateur, c'est votre rêve le plus enthousiaste. Malheureusement, depuis plusieurs années, des espions se répandent sur Internet pour s'infiltrer dans les recoins de votre ordinateur, en observer tous les gestes et en altérer le comportement et ainsi mettre à mal votre souhait le plus cher.
Les spywares : nouveaux fléaux d'Internet, ces parasites, allant du simple cookie stocké sur votre machine aux applications, très discrètes, tournant en tâche de fond, épient votre vie privée et l'utilisation de votre ordinateur.
Apparentés aux vers, virus et autres chevaux de Troie, ces espions ont de multiples formes. Parfois simples cookies fournissant des informations sur votre usage d'Internet à un annonceur ils peuvent aussi être une application subversive et dissimulée modifiant le comportement de votre ordinateur et utilisant à vos dépens votre connexion.
Parfois, plusieurs dizaines de spywares peuvent cohabiter sur un même ordinateur et ainsi en affecter fortement les performances.
La récolte des spywares se fait à toute saison et bien souvent en surfant sur les sites pirates (Warez et PeerToPeer), mais aussi en installant des logiciels gratuits, apparemment anodins, mais finançant leur développement par l'intermédiaire de spywares pas toujours explicitement indiqués. Des logiciels très répandus se font ainsi les supports de spywares : Mirabilis ICQ, RealNetworksRealPlayer, Burn4Free et bien d'autres…
Wanadoo vous propose de découvrir cette chasse aux espions et d'apprendre à être plus malin qu'eux. Pour commencer, apprenons à détecter la présence de l'espion.
Les symptômes des spywares
Les nuisances d'un spyware se mesurent en grande partie à sa discrétion et à la diversité des symptômes manifestant sa présence. La liste est longue des symptômes qui doivent déclencher vos soupçons. En voici quelques-uns qui doivent déclencher votre suspicion.
Le comportement de votre navigateur, Internet Explorer, devient incohérent
- la page de démarrage de votre navigateur change aléatoirement et toutes vos tentatives pour corriger cela échouent ;
- des fenêtres ou pop-up de publicité s'ouvrent sans cesse sur votre navigateur ;
- votre navigateur se lance seul et affiche des publicités ;
- des favoris, bien souvent pornographiques, apparaissent dans votre dossier Favoris indépendamment de votre volonté ;
- des barres d'outils s'ajoutent contre votre volonté à votre navigateur ;
- votre navigateur se ferme brusquement ou devient incontrôlable.
Ces dysfonctionnements atteignent directement votre système d'exploitation :
- vous ne pouvez plus démarrer un programme ;
- les liens ou boutons de certains programmes deviennent inactifs ;
- l'activation et la désactivation de l'état de veille deviennent quasiment impossibles ou excessivement lentes ;
- des composants logiciels de Windows deviennent inactifs.
Tous ces symptômes, isolés ou cumulés, doivent attirer votre attention ; ils sont autant de traces de la présence de spywares sur votre ordinateur.
Qu'est-ce qu'un spyware
Spyware, adware, malware, parasiteware et maintenant stealthware, la faune de ces nouveaux intrus est riche et nécessite des clarifications et définitions.
Le spyware
Le spyware, acronyme anglais de "spy" (espion) et "ware" (suffixe désignant une classe de logiciels) a donné en français espiogiciel. Tout logiciel introduit sur un dispositif et qui emploie la connexion Internet d'un utilisateur (ainsi que tout autre moyen ou support) à son insu ou sans sa permission explicite et éclairée, pour collecter des informations, est désigné comme spyware ou espiogiciel. Un espiogiciel peut recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard), les envoyer à l'organisme, la société à l'origine de la diffusion du spyware pour permettre de dresser le profil des internautes (on parle de profilage).
Ces collectes d'informations peuvent permettre la création et la revente de bases de données à l'origine de fléaux publicitaires comme l'envoi massif de spams.
Ces spywares ont parfois pignon sur web et sont des composantes discrètement affichées de logiciels tels Gator, New.net, SaveNow, TopText, Webhancer, Radiate, Cydoor, Conducent, Onflow ou Grokster (qui installe pas moins de 12 parasites supplémentaires !).
Une consultation attentive des conditions d'utilisationde ces logiciels évoquera discrètement la collecte d'informations.
Les adwares
Les adwares, d'advertising (publicité en anglais), cousins des spywares, sont centrés sur l'affichage publicitaire. Ils constituent d'ailleurs la souche originelle de ces parasites.
Ces logiciels souvent inoffensifs vont principalement soit vous bombarderde bandeaux de publicité spécifiques soit vous inonder de pop-up.
Les malwares
Les malwares, contraction de " malicious software " sont des programmes spécifiquement conçus pour endommager ou entraver le fonctionnement normal d'un ordinateur. Les malwares sont à la navigation Web ce que sont virus ou vers pour le mail et Internet. Mais ces malwares peuvent aussi être constitués de javascripts ou applets java hostiles. Contrairement aux spywares et adwares, les malwares ont clairement pour objectif de nuire à l'intégrité d'un système.
C'est pour cela que les antivirus détectent et éliminent une grande partie des malwares sans toutefois pouvoir jamais atteindre 100% d'efficacité : il reste donc indispensable de n'exécuter un programme ou un fichier joint que si sa sûreté est établie avec certitude, le doute profitant toujours aux malwares.
Les malwares sont les principaux responsables des comportements anormaux d'Internet Explorer. Certains malwares utilisent des techniques très évoluées et se révèlent très difficiles à éradiquer
L'actualités des spywares
Les spywares ont commencé à faire la Une d'Internet dès 1999. Deux spywares commerciaux ont alors été découverts dans des logiciels très populaires : SmartUpdate (Netscape) et RealJukeBox (Real Networks). Cet événement a rendu la pratique des spywares commerciaux plus transparente dans le cas des spywares commerciaux, même si les abus restent nombreux.
Différentes études commencent à permettre de mesurer l'expansion des spywares sur Internet et la perception qu'en ont les internautes.
Selon une étude réalisée aux Etats-Unis au premier semestre 2004 par EarthLink et Webroot, un ordinateur sur trois serait infecté par au moins un spyware ou un cheval de Troie.
1,5 millions d'ordinateurs ont été audités sur lesquels ont été identifié 500.000 spywares et autres logiciels espions. Ces multiples mouchards et espions auraient coûté en 2003 près de 2,4 milliards dollars aux consommateurs et banques américains qui ont par ces biais été victimes de fraudes et de vols d'informations bancaires.
Une autre étude réalisé par High-Low research et Symantec benelux en novembre 2004, auprès de 200 utilisateurs volontaires, permet de préciser le panorama des dégâts.
Sur les 200 ordinateurs, 76 % étaient infectés par un parasite qu'il soit spyware, adware, malware ou virus. Parmi ceux-là, 64 % ont été infectés par un spyware ou adware, 31 % par un cheval de Troie , 30% par un dialer et seulement 14 % par un virus. Ces chiffres sont le reflet de la conscience des internautes et de leur équipement.
La menace virale est maintenant comprise et perçue par les internautes : 84 % du panel avait équipé son ordinateur d'un antivirus. Les autres menaces sont quant à elles encore sous-estimées ; moins de 48 % du panel avait équipé sont pc d'un firewall.
Cette étude fournit aussi une vision plus précise de la nature technique des parasites.
Ainsi , adware.binet, adware.ncase et download.adware avec 23%, 16% et 15 % de taux d'infection constituent le trio de tête des spywares suivi de adware.gator et adware.cydor.
Un peu de technique sur les spywares
On distingue communément deux grandes familles de spywares : les spywares externalisés et les spywares intégrés.
Un spyware externalisé est une application totalement autonome dialoguant avec le logiciel qui lui est associé et pour lequel sont collectées et transmises les informations concernant les utilisateurs. Ces spywares sont bien souvent conçus par des régies publicitaires ou des sociétés spécialisées. Bien des éditeurs de logiciels passent des accords avec des sociétés telles que Radiate, Cydoor, Conducent, Onflow ou Web3000. Le spyware de Cydoor est ainsi associé au logiciel de peer-to-peer KaZaA ; il s'installe discrètement, mais séparément, en même temps que son logiciel " hôte ".
Un spyware intégré (ou interne) est quant à lui une simple routine, une fonctionnalité incluse dans le code d'un logiciel. Cette fonctionnalité spécifique a pour fonction propre de collecter et de transmettre via internet des informations sur les utilisateurs.
On trouve de tels dispositifs sur des logiciels comme Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que sur la totalité des mouchards. Le spyware et le programme associé qui ne font alors qu'un, s'installent simultanément sur l'ordinateur.
Les spywares peuvent en fait prendre de multiples formes.Parfois, ce sont de véritables aplications bien identifiables, parfois une tâche associée à un processus, mais aussi, plus discrètement, une dll modifiée.
Enfin, bien souvent, les spywares seront de simples et passif cookies. Leur nuisance se mesurera alors à la nature des informations qu'ils stockeront.
La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.
Certaines fonctionnalités annexes, comme la mise à jour automatique, peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.
Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware.
Le chiffrement des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.
Un exemple de spyware
Dans le cas du spyware commercial comme Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registres.
Comment se débarrasser d'un e-dialer ?
Lorsque vous surfez sur Internet vous pouvez être amené à installer un logiciel de connexion automatique appelé e-dialer.
Ceux-ci peuvent par la suite se connecter automatiquement à Internet via des numéros surtaxés faisant gonfler votre facture téléphonique.
Les e-dialer nécessitent un accès direct à votre ligne téléphonique pour fonctionner et ne concernent que les utilisateurs de modem RTC.
Qu'est ce qu'un e-dialer ?
Un e-dialer est un logiciel qui connecte votre ordinateur à Internet en utilisant un numéro de téléphone surtaxé.
Certaines sociétés vous demandent d'installer ce type de logiciel afin de pouvoir profiter de certains services (téléchargements, services de rencontres...).
Si vous exécutez ce programme, votre connexion Wanadoo va être interrompue puis une nouvelle connexion va s'établir via le logiciel en utilisant un numéro surtaxé.
Certains de ces e-dialers vont établir la connexion à Internet de façon autonome et transparente pour l'utilisateur. Le simple fait que votre modem RTC soit relié à votre ligne téléphonique peut permettre à ce type de logiciel de fonctionner.
Les communications effectuées par ce mode de connexion seront visibles sur votre facture de téléphone.
Comment lutter contre les e-dialers ?
Les e-dialers utilisent exclusivement une connexion RTC pour fonctionner. Tous les utilisateurs ayant une connexion ADSL et n'utilisant pas de modem RTC sont donc protégés des e-dialers.
Comme toute autre forme de pollution informatique (virus, spam, vers...), les e-dialers peuvent être bloqués en utilisant un firewall, un anti-virus à jour et en maintenant votre système d'exploitation à jour.
Le principal mode de diffusion des e-dialers est le téléchargement automatique lorsque vous naviguez sur Internet.
Il faut donc rester très attentif lorsqu'une fenêtre de téléchargement s'ouvre automatiquement ou lorsqu'un avertissement de sécurité Internet Explorer comme celui-ci apparaît :
Il est en effet très facile de cliquer sur "Oui" ou "Yes" mais cela peut entraîner le téléchargement et l'installation d'un e-dialer.
Vérifiez donc toujours l'origine de cette fenêtre et l'éditeur la publiant avant de cliquer sur "Oui".
Comment supprimer un e-dialer ?
Lorsqu'un e-dialer est installé sur votre ordinateur, il peut être très difficile de le supprimer.
Il existe en effet de nombreux types de e-dialer et donc plusieurs méthodes de désinstallation.
Voici les plus efficaces de ces méthodes :
- Scannez régulièrement votre ordinateur à l'aide de votre anti-virus mis à jour.
- Supprimez toute connexion indésirable apparaissant dans le menu "Paramètres / Connexions réseau".
- Supprimer les e-dialers apparaissant dans l'utilitaire "Ajout / Suppression de programmes" de Windows.
Les spywares pour les experts
Pour les experts.
Le système d'exploitation de votre ordinateur est bâti de façon à optimiser ses performances. Il dispose notamment de technologie permettant de gérer simultanément (ou presque) les applications, les périphériques, les interactions avec l'utilisateur. Pour permettre cela, les actions, quelles soient cachées ou visibles, sont découpées en des éléments plus simples.
Malheureusement, ces éléments plus simples sont parfois très et même trop discrets. C'est ainsi que les spywares peuvent s'installer et fonctionner sur votre ordinateur à votre insu.
Il est donc nécessaire d'en savoir plus sur ces éléments pour mieux lutter contre les spywares.
Ces éléments plus simples peuvent être des applications fonctionnant sur votre système d'exploitation, comme un traitement de texte, un lecteur multimédia, votre programme de gestion de courrier, un antivirus… Elles utilisent des ressources système : de la mémoire, du temps processeur, de l'espace disque, des ressources réseaux…
Qu'est-ce qu'un processus ?
Une application est la partie visible et concrète d'un processus. Le processus est ainsi le "calque" au niveau du système d'une application.
Par exemple, l'application Microsoft Word correspond au processus winword.exe.
Malheureusement ou heureusement, sur un ordinateur, plusieurs processus fonctionnent en même temps et peuvent être amenés à vouloir utiliser simultanément de même ressources.
Les processus étant des éléments lourds et monolithiques, les concepteurs de système informatique ont préféré les décomposer en tâches élémentaires et légères. C'est ainsi qu'est apparu le concept de thread ( de thread of control) ou tâche. Un processus est composé d'au moins une tâche et en comportera bien souvent de nombreuses.
A nouveau un exemple :
Lorsque vous double-cliquez sur l'icône « Bloc-notes », vous démarrez un lancez l'application « Notepad» associée au processus notepad.exe.
Le système d'exploitation commence l'exécution des différentes tâches composant le processus notepad.exe :
- la tâche d'interaction avec le clavier ; toutes les informations saisies au clavier sont prises en compte ;
- la tâche de contrôle orthographe ; tous les textes sont contrôlés par le correcteur orthographique.
- la tâche de rangement des caractères sur la page ; au fur et à mesure de la saisie, la mise en page se construit.
Les threads ou tâches fonctionnent en parallèle indépendamment les uns des autres. Ils permettent en outre d'optimiser, d'améliorer et de simplifier beaucoup de pratiques de programmation.
Un nouvel exemple pour illustrer l'intérêt des tâches.
Vous utilisez votre logiciel de messagerie (Outlook ou autre), et vous rédigez un nouveau message.
D'une façon simplifiée, le logiciel de messagerie utilise alors au moins deux tâches :
- une tâche s'occupe de scruter vos entrées au clavier et de mettre à jour la fenêtre du nouveau message;
- une autre tâches vérifie de façon périodique l'arrivée de nouveaux messages.
Si une seule et même tâches était utilisée pour les deux actions, la rédaction de votre message serait temporairement interrompue à chaque vérification des nouveaux messages, ce qui serait fort peu ergonomique.
Et les spywares dans tout cela.
Parfois des processus peuvent fonctionner sur votre ordinateur à votre insu et vous espionner.
Dans d'autres cas, la menace est plus insidieuse, le spyware n'est autre qu'un simple thread qui se greffe à une application commune ( votre navigateur par exemple) ; il est alors bien difficile de débusquer l'espion.
Votre navigateur sait très bien :
- gérer les interactions avec votre clavier ;
- analyser et utiliser l'adresse que vous avez saisie en vérifiant que sa syntaxe est valide ;
- analyser le code html d'une page web pour afficher une mise en page comportant des images ;
- se souvenir que la page de démarrage est votre page préférée.
Quoi de plus simple alors pour un spyware sous forme de thread ou tâche de "phagocyter" votre navigateur, d'utiliser vos saisies au clavier, de modifier votre page de démarrage et de renvoyer des informations vers un site discret. En se dissimulant sous forme de thread, il pourra faire tout cela avec les mêmes droits et autorisation sur le réseau que votre navigateur et parviendra à tromper vos proxys et firewalls.
Enfin, prendre la forme d'une tâche ou thread n'est pas l'unique ruse des spywares. Ils prennent parfois la forme de simples dll ou d'autres ressources système.
Heureusement, les logiciels anti-spyware parviennent à débusquer une grande partie des ces ruses.
Et les processus Windows ?
Votre système d'exploitation est un assemblage de différents processus.
Il est facile de contrôler quels processus fonctionnent à un instant donné sur votre ordinateur. Il vous suffit de taper CTRL+ALT +suppr simultanément et de cliquer sur gestionnaire des tâches. Sur l'onglet "Processus" apparaît la liste des processus visibles (certains insidieux peuvent être néanmoins cachés).
De nombreux sont des composantes de Windows. Voici les principaux :
- System concerne le noyau, le coeur du système ;
- Smss.exe (session manager subsystem), démarre la session utilisateur. Ce processus fait appel aux autres processus Winlogon et Csrss.exe ;
- Winlogon.exe, responsable de l'ouverture et la fermeture de session. On ne peut pas arrêter ce processus à partir du gestionnaire des tâches ;
- Csrss.exe (client server run-time subsystem). Csrss gère les applications lancées dans des fenêtres de commande ; il doit fonctionner en permanence ;
- Lsass.exe s'occupe de l'authentification des utilisateurs par le service Winlogon ;
- Svchost.exe : un processus générique, utilisé en tant que hôte pour d'autres processus utilisant des fichiers Dll ; on peut voir les processus qui utilisent svchost.exe dans une fenêtre de command par la commande Tasklist ;
- Services.exe le gestionnaire de contrôle des services responsable du démarrage, de l'arrêt et des différents services lancés (au démarrage ou par la suite).
Attention ! Depuis le gestionnaire de tâches vous pouvez interrompre les processus, mais vous risquez, si vous interrompez un processus Windows de tout simplement interrompre Windows et éteindre votre ordinateur.
Et en pratique, comment contrôler les processus (avec Windows)
Vous avez la possibilité de voir une partie des applications mais aussi des processus qui fonctionnent sur votre système.
Ainsi sous Windows XP, il vous suffit de taper CTRL+ALT+Suppr simultanément et de cliquer sur gestionnaire des tâches.
Sélectionnez l'onglet « processus », puis ouvrez le menu « Affichage ».
Cliquez sur "sélectionner les colonnes".
Sélectionner les champs.
Vous avez alors accès à de nombreuses informations complémentaires sur les processus fonctionnant sur votre ordinateur et le nombre de threads associés.
Des utilitaires freeware tel que Process Explorer vous permettent d'identifier chacun des threads associés à un processus.
Le bon comportement face aux spywares
Se protéger des spywares est possible. Il faut d'une part éviter les comportements à risques et d'autre part savoir assurer la protection globale de son installation.
1) Lorsque vous installez un logiciel, et spécialement s'il est gratuit ou en test, veillez à lire attentivement la licence d'utilisation. La présence d'un spyware commercial et de ses fonctionnalités annexes y est bien souvent signalée, certes en termes édulcorés ou trompeurs nécessitant une lecture très attentive. Malheureusement, lors de l'installation d'un logiciel tout est fait pour que vous ne lisiez pas cette licence. Dans tous les cas, si vous ne comprenez pas correctement la langue dans laquelle est rédigée la licence d'utilisation d'un logiciel, ne vous aventurez pas à l'installer.
2) Réfléchissez bien avant de saisir des informations personnelles sur Internet.( adresse mail, nom, coordonnées, profession…) Attention ! Bien souvent, la licence d'utilisation du logiciel sera conforme au droit américain qui est beaucoup moins protecteur en matière de vie privée qu'en Europe. Notamment ne donnez pas votre adresse permanente chez votre fournisseur d'accès mais plutôt un compte d'email gratuit qui pourra être fermé en cas de spamming ;
3) N'acceptez pas sans réfléchir les programmes supplémentaires éventuellement proposés lors de l'installation d'un logiciel. New.net, SaveNow et Webhancer sont ainsi proposés par défaut lors de l'installation de nombreux logiciels.
4) Equipez votre ordinateur d'un firewall personnel . Vous pourrez ainsi surveiller l'utilisation de votre connexion et détecter toute application suspecte.
5) Ne négligez pas la mise à jour de votre anti-virus ;
6) Sécurisez votre système d'exploitation en rendant automatique les mises à jour de windowsupdate. Vous bénéficierez ainsi des dernières mises à jour de sécurité de Windows et supprimerez certaines failles utilisées aussi bien par les virus que par les spywares.
7) Pour les internautes experts, il est recommandé de remplacer la machine virtuelle java Microsoft par la JVM de SUN, les machines virtuelles étant une des plus importantes portes d'entrée pour les spywares. La JVM de SUN s'avère beaucoup plus sûre et a en outre l'avantage dêtre toujours maintenue.
8) Enfin, règle d'or, équipez votre ordinateur d'un logiciel anti-spyware actualisé. Ces logiciels sont en mesure d'identifier les processus, tâches, dll, cookies pouvant être assimilés à des spywares. Ils vous permettront ainsi de trier le bon grain de l'ivraie.
Nous vous proposons de découvrir dans les pages suivantes deux anti-spywares gratuits parmi les plus performants. Mais attention ! Une des ruses des spywares pour mieux se dissimuler est de se faire passer pour un anti-spyware.
source wanadoo