Logiciel espion

type de logiciel malveillant

Un logiciel espion, un mouchard ou un espiogiciel (de l'anglais spyware [ˈspaɪwɛɚ][1]) est un logiciel malveillant qui s'installe dans un ordinateur ou autre appareil mobile, dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet qui lui sert de moyen de transmission de données.

Logo d'HijackThis, un logiciel destiné à la détection des programmes malveillants.

Le terme de logiciel espion, dont l'usage est préconisé par la commission générale de terminologie et de néologie en France, contrairement à l'anglicisme spyware ou au terme québécois espiogiciel, est une traduction du mot anglais spyware, qui est une contraction de spy (espion) et software (logiciel). Son utilisation est recommandée par le GDT[2].

Historique

modifier

Vecteurs d'infection

modifier

Les logiciels espions sont souvent inclus dans des logiciels gratuits et s'installent généralement à l'insu de l'utilisateur et à distance. Ils ne sont généralement actifs qu'après redémarrage de l'ordinateur. Certains, comme Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus (accès : {Ctrl+alt+suppr} pour Windows, {ps} pour Unix). Un logiciel anti-espion performant peut toutefois les détecter et envoie une alerte avant leur installation.

Les logiciels espions sont développés principalement par des sociétés proposant de la publicité sur Internet. Pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible. Cette connaissance peut être facilement obtenue par des techniques de profilage dont le logiciel espion fait partie.

Le logiciel espion attaque très souvent les systèmes Microsoft Windows du fait de leur popularité et surtout du bureau lancé avec la totalité des droits la plupart du temps. Certaines pages Web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur de la victime.

Les logiciels espions sont souvent présents dans des gratuiciels, ou des partagiciels, afin de rentabiliser leur développement. Certains gratuiciels cessent de fonctionner après la suppression de l'espiogiciel associé. On ne connaît pas de logiciels libres — comme Mozilla Firefox — qui contiennent des logiciels espions[réf. nécessaire].

Enfin, certains administrateurs systèmes ou administrateurs réseaux installent ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus.

De nombreux logiciel espions sont aussi légaux. Ces logiciels sont destinés à une utilisation privée pour surveiller un salarié, son mari, sa femme ou encore ses enfants. Pour rester dans la légalité, il est obligatoire de signaler la présence d'un logiciel espion sur le téléphone ou l'ordinateur. Le logiciel le plus utilisé en France est MSpy[réf. nécessaire].

Les principaux vecteurs d'infections sont :

Mode opératoire

modifier

Un logiciel espion est composé de trois mécanismes distincts :

  • Le mécanisme d'infection, qui installe le logiciel. Ce mécanisme est identique à celui utilisé par les virus, les vers ou les chevaux de Troie. Par exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa comme vecteur d'infection ;
  • Le mécanisme assurant la collecte d'information. Pour l'espiogiciel Cydoor, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa ;
  • Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise.

Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie (ce que fait WhenU. SaveNow, par exemple), capturer des mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à telle ou telle heure, ou encore espionner les sites Internet visités.

La liste suivante (non exhaustive) de logiciels espions est classée en fonction de leurs effets.

Génération de fenêtres intruses

modifier

(Formellement cités comme étant des infections)

Génération de fenêtres intruses, en endommageant ou en ralentissant les ordinateurs :

  • Bonzi Buddy
  • Cydoor
  • Gator, développé par Claria Corporation (publicité, fenêtres intruses, violation de la vie privée, risques importants de compromission, pare-feu partiellement désactivés, quelques problèmes de stabilité du système. Gator a la réputation d'être difficile à supprimer une fois installé.)
  • New.net (risques de compromission, problèmes de stabilité du système, blocage de la connexion)
  • ShopAtHomeSelect
  • Spyware secure, qui se fait passer pour un antispyware, très difficile à enlever avec un simple antispyware (installe un rootkit)

Détournement de navigateur (hijackers)

modifier

Détournement de bureau (desktop hijackers)

modifier

Ils s'installent généralement à l'insu de l'utilisateur :

  • Adayairespy
  • AdwarePunisher
  • AdwareSheriff
  • AlphaCleaner
  • AVGold
  • BargainBuddy
  • BraveSentry
  • MalwareWipe
  • PestTrap
  • PSGuard
  • Quicknavigate.com
  • Security iGuard
  • Smitfraud
  • SpyAxe
  • SpyGuard
  • SpyHeal
  • SpySheriff
  • Spyware Soft Stop
  • Spyware Vanisher
  • SpywareQuake
  • SpywareSheriff
  • Startsearches.net
  • UpdateSearches.com
  • Virtual Maid
  • Win32.puper
  • WinHound

Vol d'informations

modifier

Usurpation de fonctionnalité (rogues)

modifier

Ces logiciels se font passer pour des anti-espiogiciels mais sont pourtant de véritables logiciels espions :

  • Ad-Eliminator
  • Ad-Purge Adware & Spyware Remover
  • BPS Spyware & Adware Remover
  • SafeError
  • Spyware Detector
  • System Doctor
  • Spyware Nuker
  • Spyware Remover
  • SpyKiller
  • SpyDoctor
  • Spytic
  • Spybubble
  • Winfixer 2005
  • System Tool
  • SpyHunter
  • Logiciel Espion Portable
  • Tmp1
  • tmp1.exe
  • obusF464.tmp
  • obus6645.tmp
  • obus66C2.tmp
  • obus65C7.tmp
  • MpCmdRun.log
  • GoogleToolbarInstaller1.log
  • Internet Optimizer (Publicité, faux messages d'alerte, violation de la vie privée possible, risques de compromission)
  • MarketScore (Se présente comme un accélérateur de la vitesse de connexion Internet, de sérieuses violations de la vie privée, diminution de la vitesse de connexion Internet sur quelques systèmes)
  • CnsMin (développé en Chine; violation de la vie privée. Préinstallé sur de nombreux PC japonais sous le nom de JWord !)
  • KSpyware (espiogiciel publié sous licence GPL par Nzeka Gilbert alias khaalel. Il a été programmé en Perl. Fonctions de base : publicité, fenêtres intruses, vol d'adresses courriels, modification de la page d'accueil de IE...)
  • Alexa (Windows 2000 et XP), bien que le fait que ce soit un logiciel espion reste sujet à controverse.
  • VirusRemover2008
  • Copy9 (Logiciel espion reconnu pour son installation sur les téléphones portables).
  • tmp1 (détournement globale de l'utilisation de l'ordinateur) (mémoire affectée, erreur de navigation, prise en main de la machine, ralentissement d’exécution des applications, bugs, blocage de la souris mémorisation de données personnelles et renvoi de celles-ci au serveur pirates) file conducteur Firefoxe et Mozilla
  • Obus (Même principe que tmp1 plus installation intempestive d'applications non souhaitées.)

Prévention et lutte

modifier

Prévention

modifier

De manière générale, avant d'installer un logiciel, l'utilisateur devrait être sûr de sa provenance, qu'il s'agisse d'un téléchargement sur internet ou d'un cédérom. Pour limiter les risques, l'internaute devrait privilégier les sites de téléchargement connus ou le site de l'éditeur, et prendre des renseignements complémentaires sur ces sites ou sur des forums spécialisés.

Pour les utilisateurs non-néophytes, l'utilisation des logiciels libres peut être un moyen de lutter contre les logiciels espions. En effet, les sources de ces logiciels sont disponibles, vérifiables et modifiables, ce qui permet la détection et l'élimination de logiciels espions de ces programmes s'ils en contiennent. Dans les logiciels non libres les sources ne sont pas disponibles, il est donc plus difficile de détecter la présence de ce genre de menace et impossible de l'éliminer.

Certains programmes soi-disant destinés à lutter contre les logiciels espions contiennent eux-mêmes ce type de menace[4], ou se révèlent totalement inefficaces avec pour seul but de facturer une licence d'utilisation (cas de Spyware Assassin par exemple)[5].

Le contrôle des flux sortants est la plupart du temps réalisé par l'administrateur réseau. Par l'intermédiaire d'un pare-feu, le contrôle des flux sortants bloque toute connexion qui tente de s'effectuer à partir de l'ordinateur (ou du réseau interne) vers l'extérieur (généralement Internet), sauf les connexions autorisées préalablement (on autorise généralement les connexions vers des sites Web, mais on autorise moins souvent le poste-à-poste).

Même si le contrôle des flux sortants est encore peu mis en place à l'heure actuelle, il est primordial dans la compréhension et le blocage de certains problèmes, comme la présence de logiciels espions, car ils vont être amenés à se connecter à l'extérieur pour envoyer les informations qu'ils auront recueillies.

Logiciels anti-espions

modifier

Il existe plusieurs logiciels spécialisés dans la détection et la suppression de spywares, mais leur utilisation tend à être désuète, car la plupart des logiciels antivirus et des anti-malwares (comme Malwarebytes' Anti-Malware) proposent de traiter ce type de programme indésirable. À noter que certains programmes malveillants, appelés rogues, sont de faux anti-espions qui installent en fait des spywares.

La plupart des anti-spywares gratuits (comme A-squared ou Spybot - Search & Destroy) sont bridés dans leur version gratuite (pas de protection en temps réel par exemple). Certains anti-spywares payants (comme Terminator, Spyware Doctor, Webroot, etc.), sont aussi complets que les antivirus classiques. À l'instar des antivirus, les logiciels anti-espions utilisent des bases de données fréquemment mises à jour (certaines mises à jour sont manuelles).

En revanche, contrairement à la croyance populaire, il n'est pas recommandé d'utiliser plusieurs logiciels de détection ou de désinfection (cela augmente les risques de plantage et de ralentissement de l'ordinateur).

Notes et références

modifier

Voir aussi

modifier

Articles connexes

modifier

Liens externes

modifier