Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov Dec
Les Analyses les plus Populaires



Kaspersky Security Bulletin 2014. Prévisions pour les APT



Bulletin de Kaspersky sur la sécurité en 2014. Principales statistiques pour 2014



Kaspersky Security Bulletin 2014. Prévisions 2015



Kaspersky Security Bulletin 2014. Evolution des malwares



Evolution des menaces informatiques au 3e trimestre 2014
 
 

  Page d'accueil / Analyses

Sea, Wireless and Sun

25.06.2009   |   comment

Christian Funk

Introduction

Enfin les vacances ! Les valises sont bouclées. Rien n’a été oublié… même l’ordinateur portable est du voyage… pratique pour rester en contact avec ses amis ou recevoir son courrier… d’autant que l’hôtel propose un accès Internet WiFi.

Confortablement installé dans votre chambre à l’hôtel, vous allumez votre ordinateur portable, vous activez la carte WLAN et vous recherchez le réseau Internet. Plusieurs points d’accès sont à votre portée et vous choisissez celui qui affiche le nom de l’hôtel. Une fois la connexion établie, la première page à laquelle vous pouvez accéder vous propose différentes offres tarifaires et plusieurs modes de paiement. Comme d’habitude, les tarifs pratiqués sont anormalement élevés. L’hôtel vous facture 20 euros pour 24 heures d’accès, soit l’équivalent de ce que vous dépenseriez pour un mois de connexion haut débit à la maison. Mais, vous n’avez pas le choix, à moins que… vous n’ayez identifié un autre point d’accès qui semble intéressant. Il vante un débit élevé et une excellente sécurité, le tout pour le tarif très attractif de 6 euros par jour. Toujours à l’affût d’une bonne affaire, vous vous connectez, décidez de payer par carte de crédit et vous saisissez les données demandées.

En quelques instants, vous pouvez surfez sur le web. Vous relevez votre courrier et puis vous décidez de comparer les prix de cet appareil photo numérique en promotion que vous avez vu aujourd’hui. Comme toujours, vous comparez le prix en ligne avec celui de la boutique au coin de la rue. Vous constatez que ce dernier prix est bien plus élevé que celui proposé sur Internet. Vous décidez donc d’y acheter l’appareil de vos rêves pour bien commencer les vacances. Vous payez une fois de plus par carte de crédit… ce mode de paiement est si pratique.

Cette scène est typique et la majorité d’entre nous s’y reconnaissent. Trop rares sont celles et ceux qui manifestent des inquiétudes quant à la sécurité au moment d’utiliser un point d’accès inconnu. Après tout, que pourrait-il arriver de fâcheux ?

En réalité, nous nous exposons à de nombreuses menaces cybercriminelles :

Sous la surface

Le scénario évoqué ci-dessus est un exemple typique d’attaque de type mascarade. Une personne dans l’hôtel a créé une page d’ouverture de session et y a copié la propre page de l’hôtel, dans le but de présenter à l’utilisateur une page d’ouverture de session WiFi qui qui paraît conforme. (Ceci ne requiert pas vraiment des connaissances poussées. Il est même possible d’émuler ce type de point d’accès à l’aide de nombreux routeurs WiFi distribués dans le commerce et d’un progiciel modifié ou à l’aide d’un ordinateur portable avec la fonction WiFi activée utilisée en tant que partie d’un réseau ad-hoc). Cette page dissimule une connexion Internet déjà ouverte afin de faire croire à l’utilisateur que l’ouverture de session ne pose aucun problème.

Toutes les données saisies peuvent être recueillies par les cybercriminels qui ont organisé l’attaque. Ces attaques visent, notamment, à obtenir les données relatives aux cartes de crédit. Elles peuvent servir à récolter des informations complémentaires sur les comptes de messagerie, les noms des utilisateurs et leurs mots de passe dans les boutiques ou les systèmes de gestion bancaires en ligne.

 
Figure 1 : page d’ouverture de session proposée par l’hôtel avec accès prépayé

Les cybercriminels n’ont plus qu’à attendre. Même si une seule victime mord à l’hameçon, leurs investissements sont déjà rentabilisés. Du point de vue de la victime, il aurait coûté moins cher de payer le tarif plus élevé pour utiliser la connexion WiFi proposée par l’hôtel. Toutefois, même les réseaux légitimes ne sont pas dépourvus de risque.

Dans la mesure où les données ne sont pas transmises via un support avec des restrictions physiques, elles peuvent être aisément interceptées. Il existe des programmes spécialement conçus pour capter les paquets de données durant la transmission et si ces paquets ne sont pas cryptés, ils peuvent être déchiffrés immédiatement sans aucune difficulté. La portée de ces attaques dépend de la force du signal du point d’accès et de la norme WiFi utilisée. Un routeur WiFi utilisant la norme 802.11b, vendu dans le commerce, a une portée de presque 100 mètres, avec une émission sphérique du signal depuis le dispositif. Les murs et d’autres objets réduiront la portée du signal mais le service ne se limitera pas au bâtiment où se trouve le routeur. Cela signifie en général que les informations peuvent être interceptées depuis l’extérieur du bâtiment, même depuis la rue.

Toutefois, la distance évoquée ci-dessus fait référence à l’antenne interne de la carte de réseau uniquement. Il existe des antennes spéciales capables de recevoir même les signaux les plus faibles, ce qui augmentent considérablement leur portée, tandis que les antennes micro-ondes peuvent augmenter d’un facteur x la distance de transmission. Internet regorge de pages qui expliquent comment vous pouvez fabriquer vous-même de telles antennes avec les matériaux les plus élémentaires et sans trop d’efforts.

Parmi la catégorie des programmes renifleurs, il existe de nombreuses applications qui proposent également des fonctions d’interprétation des données chiffrées via SSL. Autrement dit, même l’intégrité des prétendues connexions sécurisées aux pages d’ouverture de session ne peut être garantie. Si le chiffrement utilisé est un peu plus complexe, les cybercriminels devront y consacrer un peu plus d’efforts pendant que leurs victimes réalisent des transactions bancaires en ligne ou relèvent leur courrier, pensant être à l’abri.

Conséquences

Les conséquences potentielles d’une telle attaque dépendent des actions exécutées par l’utilisateur durant ce type de session.

Dans l’exemple ci-dessus, les données d’accès au compte de messagerie électronique utilisé sont tout d’abord consignées. Ceci permet de placer le compte dans une liste d’adresses qui seront utilisées ensuite pour envoyer du courrier indésirable. Une fois que l’agresseur a consigné les informations relatives au compte, il peut accéder à d’autres données personnelles stockées dans les messages, à savoir lorsqu’un utilisateur s’inscrit dans une boutique en ligne, dans un réseau social ou dans un forum, il reçoit en général un message contenant les données d’accès. Si le compte de messagerie est professionnel, les dégâts peuvent se révéler encore plus importants. En cas de vol de données financières, il est non seulement très difficile de calculer les pertes, mais il faudra peut-être des années avant d’obtenir une image précise des dommages subis. Si une attaque de ce type débouche sur le vol et la divulgation de données confidentielles telles que des rapports de la société, des documents techniques ou des données relatives aux clients, les conséquences pour la réputation de la société sont en général catastrophiques : perte de la confiance des clients et des partenaires, chute des ventes et effondrement des relations d’affaires. Par conséquent, il faut être particulièrement prudent chaque fois qu’une adresse professionnelle est utilisée.

Si les données d’une carte de crédit tombent entre les mains des mauvaises personnes, les conséquences peuvent être particulièrement désastreuses. Ces informations pourront permettre de payer des biens et des services dans le monde entier, au compte de la victime. Ceci fonctionne jusqu’à ce que la victime se rende compte du problème, soit en général seulement à la fin du mois lorsqu’elle reçoit le relevé de compte de sa carte de crédit. En général la société de carte de crédit remboursera la victime pour autant que celle-ci puisse prouver qu’elle n’a pas réalisé les achats elle-même et qu’elle n’a pas fait preuve de négligence dans la manipulation des données de la carte de crédit. Alors que le premier point peut être prouvé assez facilement, le deuxième est parfois bien plus compliqué à expliquer et chaque société de carte de crédit possède ses propres procédures. Même si vous parvenez à être remboursé, ce résultat aura été obtenu au terme de nombreux efforts. Un paiement réalisé via une connexion WLAN non sécurisée, consciemment ou non, peut certainement être considéré comme une négligence ou une imprudence. Dans ce cas, les coûts sont à la charge de la victime qui paie ainsi la leçon au prix fort.

 
Figure 2: pages d’ouverture de session

La majorité des sites Internet avec zone d’accès restreinte sont sécurisés via le protocole SSL. Bien qu’il existe une multitude d’outils à la portée d’un cybercriminel pour casser le code et lire les informations, il y a néanmoins certaines données d’accès qui restent cachées. Il existe toutefois d’autres moyens pour accéder à ces informations. Avant même que vos données d’ouverture de session ne soient transmises, elles peuvent être consignées localement sur l’ordinateur à l’aide d’un logiciel espion ou d’un enregistreur de frappes. Lorsqu’un utilisateur se connecte à un point d’accès, il est très facile d’exécuter ce qu’on appelle une attaque par téléchargement à la dérobée. Il s’agit de placer un script Java, un Iframe ou un code d’exploitation pour un navigateur Internet par exemple, dans le code HTML source d’une page infectée. Cet élément entraînera ensuite le téléchargement d’un code malicieux directement sur l’ordinateur de la victime. En infectant une machine avec un programme malveillant, le cybercriminel maintient la porte ouverte et le chaos que peut provoquer ce type de programme dépend uniquement de l’imagination de l’auteur du programme malveillant.

Tout ceci peut se dérouler en l’espace d’un instant, sans même que l’utilisateur se rende compte de quoi que ce soit. Cette nouvelle situation diffère totalement des attaques passées quant les programmes malveillants et les attaques de réseau poursuivaient un seul but : semer la pagaille. A l’époque, il était même possible de voir parfois que des choses étranges se déroulaient mais cette époque est belle et bien révolue. De nos jours, les cybercriminels recherchent la discrétion pour dérober un maximum de données sensibles sur une durée la plus longue possible.

L’utilisateur dispose de plusieurs outils pour se protéger contre de telles attaques. Nous allons donc commencer par examiner les différentes options qui existent en matière de chiffrement et de configuration du système d’exploitation, une stratégie qui peut conduire à l’élimination des maillons faibles dans les réseaux publics.

Chiffrement du trafic de données

La méthode la plus efficace pour crypter le trafic de données consiste à utiliser un VPN (réseau privé virtuel). En clair, il s’agit de créer ce qu’on appelle un tunnel VPN entre l’ordinateur portable (poste client) et un point de destination ou serveur. Tout le trafic envoyé entre ces deux points est crypté, ce qui signifie que tout périphérique intermédiaire qui traite ou transfère le trafic est incapable d’interpréter le contenu. De plus, tout le trafic de données est traité via ce trajet et contourne ainsi les blocages de port mis en place par le fournisseur du point d’accès. Le port 80, utilisé pour les requêtes http, n’est généralement pas bloqué tandis que de nombreux autres services tels que la messagerie instantanée ou le courrier électronique via le protocole POP3 ou IMAP sont restreints.

Le serveur VPN fait office de cible de la connexion et doit, par conséquent, être un ordinateur fiable, faisant partie d’un environnement sécurisé. Ce serveur fonctionne comme le « bras long » de l’ordinateur client : il envoie les requêtes vers les serveurs cibles sur Internet et redirige le contenu souhaité sous forme cryptée. Les utilisateurs se connectent au VPN selon la méthode classique du nom d’utilisateur et du mot de passe.

Ce type de serveur VPN peut être configuré de nombreuses manières et la configuration est à la portée de toute personne possédant un minimum de connaissances. Au moment de choisir un emplacement pour l’ordinateur qui va servir de plateforme, 3 options de base se présentent :

Un serveur peut être un ordinateur loué dans un centre de données. Ceci concerne aussi bien les serveurs physiques que les serveurs virtuels. Il s’agit d’une option particulièrement attrayante pour les personnes qui utilisent déjà ce type d’ordinateur, par exemple un hôte pour leur propre serveur Internet ou de messagerie. Une adresse IP statique est également requise (ou l’utilisation de DynDNS en cas d’utilisation d’une adresse IP dynamique) afin de pouvoir établir la connexion à tout moment. Les serveurs virtuels sont disponibles à partir de 10 euros par mois et l’entretien du serveur VPN requiert peu de ressources. Toutefois, il convient de ne pas oublier l’augmentation du trafic car si un VPN est utilisé, tout le trafic passe par celui-ci.

Ce service peut également être réalisé par un ordinateur à domicile. Si vous disposez d’une connexion à haut débit, type ADSL, et d’un abonnement à forfait, vous pouvez ajouter l’ordinateur externe à votre réseau domestique. Cette option vous permet d’accéder à vos données personnelles à tout moment, pour autant que vous disposiez d’outils tels qu’un ordinateur avec partage de réseau branché en permanence ou un périphérique NAS (Network Attached Storage).

Les VPN sont souvent proposés par les employeurs, surtout ceux qui autorisent le télétravail ou ceux dont les employés passent beaucoup de temps chez les clients. Dans ces deux cas, les entreprises fournissent un VPN pour permettre aux employés de réaliser des tâches en rapport avec le travail telles que relever le courrier professionnel ou accéder aux disques de réseau ou aux intranets de la société depuis l’extérieur. L’utilisation de ce service à des fins non professionnelles dépend de l’entreprise. Il est conseillé à l’utilisateur de vérifier les conditions d’utilisation du service ou de demander aux administrateurs du service.

Enfin, il existe une multitude de fournisseurs d’accès qui proposent des services VPN pour les voyageurs. Ces sociétés proposent des serveurs qui peuvent être utilisés pour créer des connexions VPN sécurisées à partir de 10 euros par mois. En général, le tarif dépend du service et c’est à l’utilisateur de choisir celui qui lui convient le mieux. Ici aussi, il faut tenir compte des conditions d’utilisation de l’entreprise.

S’il est vrai que l’utilisation du VPN ralentit le transfert de données, l’arrivée de Draft N (qui permet, en théorie, des vitesses de transfert WiFi de 300 Mb/s) résout pratiquement ce problème. Ceci concerne particulièrement les cas où de grands volumes de données ne vont pas être échangés.

UMTS est une alternative plus indépendante. Grâce à cette technologie, l’utilisateur peut se connecter à Internet n’importe où sans dépendre de la technologie WiFi, pour autant qu’il se trouve dans une zone de réception. La couverture, toutefois, est disponible dans de grandes régions (entre 60 et 90% de l’Europe bénéficie actuellement de la couverture. Le pourcentage varie en fonction du pays et des zones métropolitaines). C’est tout le contraire des points d’accès qui, bien qu’ils soient nombreux, possèdent en général un faible rayon d’action. Cette technologie est désormais disponible à un prix acceptable. Pour 5 euros par mois plus un tarif en fonction du volume propre à chaque fournisseur ou pour un forfait mensuel d’environ 30 euros, cette méthode semble avantageuse, surtout si on la compare aux tarifs exorbitants de l’accès WiFi dans les hôtels. Elle offre également l’avantage de la transparence des coûts dès le début, ce qui signifie que vous ne serez pas désagréablement surpris par des frais additionnels lorsque vous arriverez sur votre lieu de villégiature.

Tandis que le réseau UMTS repose sur la deuxième génération de GSM pour des questions de compatibilité, le GSM de troisième génération est également pris en charge. Ceci est préférable pour des raisons de sécurité dans la mesure où les algorithmes d’authentification de l’utilisateur et du réseau ont été modifiés. Les vitesses de transfert qui, en théorie, peuvent atteindre 14,6 Mb/s via HSDPA et HSUP sont également mieux adaptées à la plupart des utilisateurs.

UTMS va donc, probablement, se positionner comme une alternative au WiFi, surtout chez les grands voyageurs dans la mesure où les tarifs de base sont calculés mensuellement au lieu de périodes plus courtes.

Mesures de sécurité élémentaires

Outre le chiffrement des données, réalisé principalement pour des questions de sécurité, il existe d’autres facteurs qui doivent être pris en compte au moment de configurer et d’équiper un ordinateur.

Pour faciliter l’échange de données entre des ordinateurs, il est possible de partager des répertoires et des fichiers sur un réseau. Cela signifie qu’il est possible d’accéder à ces données depuis le réseau, qu’il soit filaire ou non. En fonction de la configuration des éléments partagés, les utilisateurs du réseau peuvent au choix y accéder directement (avec privilèges de lecture et/ou d’écriture) ou demander une autorisation d’accès via un nom d’utilisateur ou un mot de passe. Par conséquent, il est primordial de désactiver la fonction de partage une fois transférés les morceaux de musiques, films, vidéos ou photos que vous voulez emmener en vacances ou les documents internes de la société sur lesquels vous souhaitez travailler. La dernière chose que vous souhaitez, c’est inviter tous les voisins du réseau à parcourir vos fichiers ! Alors que de nombreuses configurations de point d’accès exploitent des technologies prévues pour séparer les ordinateurs les uns des autres sur le réseau, il n’est pas possible de vérifier directement l’existence de cette fonction.

Bien que la désactivation de tous les partages augmente considérablement le niveau de protection des données, l’utilisateur est toujours exposé au risque d’une attaque directe par un cybercriminel qui pourrait rendre toutes les données de l’ordinateur visibles. Cette situation, dangereuse en toute circonstance, l’est encore plus lorsque des données sensibles sont impliquées. Afin de renforcer le niveau de protection spécifiquement pour ce genre de données, elles devraient être consignées sous forme cryptée uniquement sur un autre support de stockage. Il existe même des programmes gratuits développés à cette fin et distribué sous une licence GPL (General Public License). Ces programmes peuvent créer des fichiers conteneurs cryptés qui ne peuvent être ouverts qu’après la saisie d’un mot de passe. Le chiffrement utilisé pour créer ces conteneurs est très fort, même un superordinateur aurait besoin de plusieurs années pour casser le code. Un pré-requis pour une sécurité suffisamment importante est bien entendu un mot de passe élaboré, qui compte plus de 8 caractères et qui contient des majuscules, des minuscules, des chiffres et des caractères non-alphanumériques. Ici aussi nous retrouvons les mêmes principes : ce type de conteneur sécurisé doit être ouvert uniquement lorsque l’utilisation le requiert et refermé directement après. Après tout, même la chambre forte la plus sûre est inutile si la porte est ouverte. Outre l’augmentation de la sécurité des réseaux WiFi, l’adoption de ces précautions offre également un autre avantage considérable : en cas de vol de votre ordinateur portable, les données sensibles ne seront pas accessibles.

Il est également important de mettre en œuvre une solution efficace de sécurité pour l’utilisation d’Internet. Outre la fonction de base (protection contre les logiciels indésirables), l’application envisagée doit également proposé des modules de protection du réseau, plus particulièrement un pare-feu et un système HIPS (système de prévention des intrusions dans l’hôte). Après tout, à quoi bon utiliser la connexion de réseau la plus sûre si l’intégrité du système source a elle-même déjà été compromise ? Le programme réalise une analyse détaillée pour évaluer les applications inconnues déclenchées sur le PC, ensuite classées selon la menace qu’elles représentent. C’est sur la base de ce classement que les privilèges d’accès sont octroyés aux programmes. Par exemple, une application considérée comme suspecte n’aura qu’un accès limité, voire nul, aux ressources importantes telles que le système d’exploitation, le réseau, les données confidentielles, les privilèges système ou certains périphériques. Ceci limite la possibilité d’infection par un code malveillant.

Nous sommes nombreux à nous énerver : toutes les semaines, un des programmes installés ou le système d’exploitation annonce qu’une mise à jour est disponible. L’installation de ces mises à jour entraîne toujours une certaine attente alors que vous vouliez seulement lire les dernières actualités. Les modifications introduites dans le système suite à l’installation des mises à jour sont rarement évidentes pour l’utilisateur, ce qui conduit un grand nombre d’entre nous à ne pas effectuer ces mises à jour. Toutefois, elles sont diffusées pour éliminer des vulnérabilités afin de mieux protéger la machine contre des attaques. Par conséquent, il est primordial de faire preuve de patience et de toujours installer ces mises à jour. Elles sont diffusées pour votre propre protection.

Enfin, la technologie n’est pas le seul élément qui peut améliorer la sécurité. L’utilisateur lui-même doit être attentif à ses actions. Dans le cas qui nous occupe, il est important d’estimer jusqu’à quel point vous pouvez avoir confiance dans le réseau WiFi auquel vous vous connectez. Ce n’est pas toujours facile. En règle générale, les réseaux qui ne vous sont pas familiers doivent toujours être abordés avec une dose de scepticisme pour la bonne et simple raison que vous n’avez en réalité aucun contrôle sur la manière dont les données sont transférées et sur les personnes qui pourraient y accéder. Ceci devrait vous permettre d’établir la distinction entre ce que vous pouvez faire et ce que vous ne devriez pas faire. Parfois, il est plus judicieux d’attendre de pouvoir accéder à un réseau plus fiable.

Conclusion

Le nombre de points d’accès est en pleine expansion. Alors qu’on en dénombrait 100 000 en 2005, ce chiffre devrait presque doubler en 2009, notamment dans le secteur du tourisme. S’il est vrai que les grandes chaînes de restauration rapide occupent une position dominante en termes d’installation WiFi à grande échelle, les cafés et les restaurants surfent également sur cette vague (www.itfacts.biz/revenue-from-wireless-hotspots-to-reach-969-bln-in-2005-346-bln-in-2009/4941). Et cette tendance a été bien reçue : aux Etats-Unis, 25% des adultes (ou 34% des utilisateurs d’Internet) utilisent leur ordinateur portable et un point d’accès pour utiliser Internet lorsqu’ils sont loin de chez eux ou de leur lieu de travail (www.itfacts.biz/34-of-us-internet-users-used-wifi-away-from-homework/11477). Ce développement a également été favorisé par le marché des ordinateurs portables dans la mesure où le prix de ces appareils a fortement chuté au cours de ces dernières années. En fait, le nombre d’ordinateurs portables achetés 2008 a dépassé pour la première fois le nombre des ordinateurs de bureau.

Malheureusement, les méthodes disponibles actuellement pour le chiffrement du trafic de données dépassent souvent les connaissances des utilisateurs. En effet, il n’existe pas encore de solutions « plug-and-play ». Si une telle solution existait, elle devrait être acceptée et proposée par les fournisseurs de points d’accès et elle devrait être aussi compatible avec les systèmes d’exploitation.

Une prise de conscience des problèmes de sécurité est fondamentale pour protéger vos données et votre système. Si vous ne pouvez pas faire entièrement confiance à un réseau, ce qui est normalement le cas avec les points d’accès inconnus, vous devez toujours être conscient du type de données que vous envoyez « au monde extérieur ». Vous ne devriez jamais saisir des données sensibles telles que vos données d’accès à PayPal ou à un système de transactions bancaires en ligne dans ce genre de circonstance. Il vaut mieux être trop prudent que de se retrouver avec un compte bancaire vidé, notamment en vacances !

Chacun peut accroître considérablement son niveau de protection avec un minimum de connaissances et d’efforts. Les utilisateurs doivent se renseigner régulièrement sur les menaces identifiées ce qui, au vu des risques et des conséquences, en vaut la peine !

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com