Retour au format normal


e-torpedo-le webzine sans barbelés
Indiscrétions et discrétion sur Internet : les portes dérobées
PART I

26 février 2008

par Laiguillon

PDF - 1.1 Mo
Indiscrétions et discrétion sur Internet
Les portes dérobées - Document en PDF, 1.1 Mo

(JPEG) Introduction

Puisqu’il devient très difficile de surfer tranquillement sans être atteint de toutes parts par la pub, puisqu’il devient bientôt pénalisable d’exprimer notre opinion sur des blogs ou des sites, puisqu’il est devenu naïf de penser en laissant ses coordonnées, que nous n’entrons pas dans des fichiers échangés ensuite à prix d’or, puisque notre vie privée voit son espace se restreindre millimétriquement mais inexorablement, puisque bon nombre d’atteintes à votre système sont créées par des sociétés tout à fait respectables, puisque le pénétration de la publicité dans notre quotidien ne dérange personne mais que le moindre téléchargement de quelques morceaux de musique ou quelques films bien pourris, devient un crime d’état, relayé par les discours sirupeux de placebo d’artistes, babouins de foire qui ne sont ni à gauche, ni à droite mais là où on les pose, ... alors je vais tenter modestement de vous donner quelques clés pour vous protéger de ce monde intraitable ...

Plus elle est combattue, plus je trouve la critique nécessaire. Plus elle est médiocre dans nos médias, plus je trouve les analyses de l’information sur internet, vitales. Et ne venez pas me tanner avec cette sacro-sainte mise en garde sur le manque de rigueur de ces analyses ou le fait que l’on trouve tout et son contraire sur internet.

Ce serait un argument si l’information habituelle était irréprochable... nous en sommes tellement loin...

Alors, amis virtuels des combats contre la renonciation, sachons protéger nos faibles moyens informatiques et nous cacher un peu lorsque cela est nécessaire....

A - Combat

C’est un combat perdu d’avance. Le but n’est pas de vous protégez de manière infaillible, c’est impossible, mais plutÖt de faire en sorte de rendre ce combat extrêmement difficile pour vos adversaires et ainsi de les décourager. SI VIS PACEM, PARA BELLUM

Ce qui me fait enrager (entre autres) :
-  que des anti-virus et des protections de merde soient pré-installés sur tout ordinateur vendu. Ceux-ci sont gratuits pendant un certain temps puis il vous faudra payer pour les tenir à jour (sans mises à jour, ils sont tout bonnement inutiles). De plus ils sont très mauvais et enfin difficilement désinstallables ... bref un scandale !!
-  qu’il suffise que j’aille sur un site pour me renseigner sur un short à fleur, par exemple et que vraiment bizarrement, j’ai l’inestimable chance de recevoir ensuite deux cents messages de publicité dans mon email portant sur des vêtements d’été.
-  d’entendre des décérébrés nous répéter que le téléchargement illégal est responsable de tous les maux. De gros connards plein de pognon ont cru qu’ils pourraient maintenir les CD à un prix d’or et nous gaver avec des compil, remix et autres saloperies.

Ce sont eux qui ont tué le CD, pas les téléchargeurs.

Idem pour les places de cinéma. J’ajouterai qu’existe la même hypocrisie que pour le tabac, qui consiste à fournir l’intégralité des dispositifs en majorant les prix pour mieux nous dire ensuite que leur utilisation n’est pas légale (graveurs, homecinéma, vitesse ADSL en augmentation, taxes diverses sur CD et DVD vierges, etc...).
-  que l’on cesse de vouloir agrandir mon pénis alors que je m’y suis habitué comme il est...
-  que l’on se paie notre gueule avec l’informatique. Votre pc est caduque en l’espace de deux ans maintenant. Pourquoi ? mais non ! pas parce que la technologie est géniale et qu’elle avance vite.

La vraie raison est que les logiciels et les systèmes d’exploitation sont tellement mal développés que l’on a besoin de plus en plus de puissance pour cacher la merde aux chats.

La qualité a été, comme dans bon nombre de domaines, sacrifiée sur l’autel de la productivité...
-  que les systèmes d’exploitation soient payants (pour Microsoft) ou posés d’emblée sur un ordinateur neuf, sans laisser un quelconque choix pour l’acheteur.
-  etc ...

Alors je vous propose de poser quelques grains de sable dans la machine, de tricher au détriment des tricheurs, de cambrioler des voleurs, de vous rendre furtifs aux yeux des espions, bref de contrarier leurs âpres desseins pour retrouver un semblant de liberté ...

B - Palette des dangers et atteintes, terminologie en vrac

Je ne suis pas sûr que cette partie soit réellement nécessaire. Cependant, je crois que cette liste vous permettra éventuellement de mieux vous repérer si vous voulez aller plus loin dans vos recherches. Bon nombre de sites mélangent tout, des termes aux mécanismes, alors jetons un œil circulaire...

-  Malware (pourriciel)

Terme générique (comme badware) pour qualifier différentes formes de logiciels ou code, hostiles, intrusifs et toute autre forme d’atteinte, destructive ou non. Cela regroupe donc, selon les cas, les virus, les sypwares, etc ...

-  Virus (virus ;-))

Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes ». Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre à travers tout moyen d’échange de données numériques comme l’internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc.

Les virus informatiques ne doivent pas être confondus avec les vers qui sont des programmes capables de se propager et de se dupliquer par leurs propres moyens sans contaminer de programme hôte.

On a tendance à utiliser souvent et abusivement le mot virus pour désigner toute forme de programme malveillant (malware). Le nombre de virus réellement en circulation ne serait pas supérieur à quelque milliers, chaque éditeur d’antivirus ayant intérêt à « gonfler » le nombre de virus qu’il détecte.

Les virus font souvent l’objet de fausses alertes que la rumeur propage, encombrant les messageries.

Certaines d’entre elles, jouant sur l’ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d’exploitation totalement sains.

-  Spyware (logiciels espions)

Un logiciel espion est un logiciel malveillant qui s’installe dans un ordinateur dans le but de collecter et transférer des informations sur l’environnement dans lequel il s’est installé, très souvent sans que l’utilisateur n’en ait connaissance. Un logiciel espion est composé de trois mécanismes distincts :
-  Le mécanisme d’infection, qui installe le logiciel. Ces mécanismes sont identiques à ceux des virus, des vers ou des chevaux de troie. Par exemple, l’espiogiciel Cydoor utilise le logiciel grand public Kazaa ;
-  Le mécanisme assurant la collecte d’information. Pour le même exemple, la collecte consiste à enregistrer tout ce que l’utilisateur recherche et télécharge via le logiciel Kazaa ;
-  Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise. Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie, capturer des mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à telle ou telle heure, ou encore espionner les sites Internet visités.

-  Trojans (chevaux de troie)

Un cheval de Troie est un logiciel d’apparence légitime, mais conçu pour subrepticement détourner, diffuser ou détruire des informations. Le partage des programmes introduit la problématique des chevaux de Troie. Un cheval de Troie n’est pas un virus informatique dans le sens où il ne se duplique pas par lui-même, fonction essentielle pour qu’un logiciel puisse être considéré comme un virus.

Un cheval de Troie est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées.

Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L’action nuisible à l’utilisateur est alors le fait qu’un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l’ordinateur. Il est difficile, voire impossible de définir exactement ce qu’est un cheval de Troie, car la légitimité d’un logiciel dépend aussi du contexte dans lequel il est employé. Les portes dérobées par exemple peuvent s’avérer utiles pour un administrateur réseau ; en revanche, dans les mains d’un pirate elles sont clairement illégitimes.

-  Phishing (Hameçonnage)

La technique du phishing est une technique d’« ingénierie sociale » c’est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine ». Un mail envoyé par ces pirates usurpe l’identité d’une entreprise (banque, site de commerce électronique, etc.) et les invite à se connecter en ligne par le biais d’un lien hypertexte et de mettre à jour des informations les concernant dans un formulaire d’une page web factice, copie conforme du site original, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc. Sur la quantité des messages envoyés il arrive que le destinataire soit effectivement client de la banque, si c’est l’objet de la tromperie. Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe des internautes ou bien des données personnelles ou bancaires (numéro de client, numéro de compte en banque, etc.).

Devinez ce qu’ils font ensuite ...

-  Key-logger (traceur de frappe)

Un keylogger peut être assimilé à un matériel ou à un logiciel espion qui a la particularité d’enregistrer les touches frappées sur le clavier sous certaines conditions et de les transmettre via les réseaux (analyse des sites visités, enregistrement des codes secrets et mots de passe lors de la saisie,...).

Certains keyloggers sont capables d’enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l’activité de l’ordinateur !

Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes mal intentionnées pour récupérer les mots de passe des utilisateurs du poste de travail. Cela signifie que l’utilisateur doit être particulièrement vigilant lorsqu’il utilise un ordinateur accessible par d’autres utilisateurs (poste en libre accès dans une entreprise, une école ou un lieu public tel qu’un cybercafé). Les keyloggers peuvent être soit logiciels soit matériels. Dans le premier cas il s’agit d’un processus furtif, écrivant les informations captées dans un fichier caché. Dans le cas des keyloggers matériels il s’agit alors d’un dispositif (câble ou dongle) intercalé entre la prise clavier de l’ordinateur et le clavier.

-  RootKit

La fonction principale d’un programme de type « rootkit » est de camoufler la mise en place d’une ou plusieurs portes qui permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux (donc pas de faille, pas de rootkit !!) initial, qui serait tôt ou tard comblée.

Les « rootkit » opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).

À la différence d’un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas.

L’installation d’un « rootkit » nécessite des droits administrateur sur la machine, notamment à cause des modifications profondes du système qu’il engendre.

Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passe qui transitent par la machine « corrompue ».

Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines. Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Un « rootkit » opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d’autres programmes tel qu’un sniffeur de frappe, de paquets...

-  Worm (vers)

Un ver informatique est un logiciel malveillant qui se reproduit sur des ordinateurs à l’aide d’Internet. Un ver, contrairement à un virus informatique, n’a pas besoin d’un programme hôte pour se reproduire. Il exploite les différentes ressources afin d’assurer sa reproduction. La définition d’un ver s’arrête à la manière dont il se propage de machine en machine, mais le véritable but de tels programmes peut aller au delà du simple fait de se reproduire : espionner, offrir un point d’accès caché (porte dérobée), détruire des données, faire des dégâts, envoi de multiples requêtes vers un site internet dans le but de le saturer, etc. Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement du réseau, plantage de services ou du système, etc. Des vers écrits sous forme de script peuvent être intégrés dans un courriel ou sur une page HTML sur internet. Ils sont activés par les actions de l’utilisateur qui croit accéder à des informations lui étant destinées.

-  Spam (pourriel)

Courrier ou message électronique non sollicité par les destinataires. contient généralement de la publicité. Les produits les plus vantés sont les services pornographiques, les médicaments, le crédit financier, les casinos en ligne, les montres de contrefaçon, les diplômes falsifiés et les logiciels craqués. . envoient également des propositions prétendant pouvoir vous enrichir rapidement : travail à domicile, conseil d’achat de petites actions. . Les lettres en chaînes peuvent aussi être qualifiées de pourriel. . Il s’agit de messages d’entreprises ignorantes de la Netiquette qui y voient un moyen peu coûteux d’assurer leur promotion. . Enfin la dernière forme de pourriel, l’hameçonnage En France, 95 % des messages échangés courant décembre 2006 étaient des spams et a du atteindre 99 % courant 2007.

-  BackDoors (portes dérobées)

Une porte dérobée peut être introduite soit par le développeur du logiciel, soit par un tiers, typiquement un pirate informatique. La personne connaissant la porte dérobée peut l’utiliser pour surveiller les activités du logiciel, voire en prendre le contrôle (par contournement de l’authentification). Enfin, selon l’étendue des droits que le système d’exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s’étendre à l’ensemble des opérations de l’ordinateur.

-  Wabbits

C’est un autre type de logiciels malveillants se reproduisant très rapidement. Contrairement aux virus, ils n’infectent pas les programmes ni les documents. Contrairement aux vers, ils ne se propagent pas par les réseaux. Un hijacker modifie les réglages du navigateur en utilisant une page web contenant un contrôle ActiveX ou du JavaScript pour rediriger les prochaines utilisation vers un site de son choix. Cet terme s’applique aussi aux programmes qui se multiplient à haute fréquence en local et finissent par rendre l’ordinateur inutilisable, car saturé.

Ce type d’atteinte est appelé « Deny Of Servises » ou DOS.

-  Exploits

Exploitation d’une faille de sécurité d’un système d’exploitation ou d’une application. Cette exploitation peut permettre la prise en main distante d’une machine.

-  Hoaks ou hoax

Canulars par email ou informations sur sites destinés à faire circuler un mail ou à faire faire des bêtises sur son ordinateur en croyant éliminer un virus, ou au contraire faire croire qu’un programme corrompu est sain.

Le plus dramatique reste les fausses chaines qui réduisent à néant les vrais messages de solidarité.

-  Traces diverses

Sans parler d’atteintes, cette fois-ci, tout ce que vous faites laisse des traces, soyez en sûrs.

Chez vous comme dans votre entreprise, en regardant dans votre machine, il est possible de savoir vraiment beaucoup de choses. Puis lorsque vous sortez sur Internet, une fois encore il est possible de tout tracer.

C - Un peu de recul ...

Il ne faut pas tomber non plus dans la parano.

Il existe beaucoup de sources de problèmes sur internet mais une sorte de « bonne pratique » permet de s’en sortir en général très bien. De plus, les plus grands dangers ne sont pas forcément des attaques volontaires mais un comportement normal de certains programmes qui doivent être corrigés par l’éducation technique, c’est tout.

Je parlerais des PC sous Windows, car malheureusement, ils sont encore majoritaires. Avec un pc sous Linux (Suse Linux Desktop ou Ubuntu sont parmi les plus évolués pour des utilisateurs standards) bien qu’il y ait des points communs, les traces et les dangers sont plus faibles.

Les bonnes habitudes données ci-dessous tentent d’être exhaustives sans y parvenir, sans doute et seront développées plus précisément dans les chapitres suivants. Je continue sans doutes à faire des erreurs, aussi, ne voyez pas ce document comme une référence...

Traces laissées localement

Lorsque j’ouvre une application, je laisse une trace. Lorsque j’ouvre un document avec cette application, je laisse une trace. Lorsque je surfe sur internet, certains sites récupèrent des données de mon ordinateur essayez sur anonymat.org

Ils utilisent ou pas ces données provenant simplement de mon navigateur.

Ils peuvent aussi stocker ces données dans MON ordinateur grâce à un cookie.

Ils tenteront à la prochaine visite de récupérer ce cookie pour me présenter des informations orientées vers mes préférences de surf (et les pubs qui vont avec). Certains sites peuvent aussi lancer des applications à distance par le biais du langage Java, des javascript ou des activeX. Si j’autorise mon navigateur à éxécuter ces programmes, ceux-ci peuvent ramener plus d’informations, voir déposer un malware (si j’autorise l’installation de programmes ou d’utilitaires par les ActiveX par exemple : do you want to install and run ...).

Quand j’arrive sur un site, cookie ou pas, il est possible de récupérer l’adresse du site depuis lequel je viens (referer).

Mon navigateur garde des traces de sites sur lesquels je suis allé, des pages que j’ai visitées, des fichiers que j’ai téléchargés, des champs de formulaires que j’ai remplis, des mots de passe que j’ai entrés et de ces fameux cookies.

Si je n’efface pas mes mots de passe ou mes cookies, un utilisateur suivant sur le même poste peut très bien utiliser mon email ou mes sites sans devoir s’authentifier si le navigateur est resté ouvert, et j’ai enregistré mon mot de passe, il peut le faire même si le navigateur a été fermé.

Lorsque j’utilise ma messagerie pour ramener mes messages en local (messageries POP3 ou IMPA4, comme outlook express ou Thunderbird), ceux-ci passent en clair la plupart du temps, sur internet (mots de passe y compris) et sont stockés localement.

Lorsque j’utilise des outils de chat en ligne (messenger ou autres), des historiques de mes contacts ou de mes conversations sont stockés localement.

J’efface un fichier sur mon disque, il passe dans la poubelle. Je vide la poubelle, le fichier reste tout de même présent et exploitable .

Traces sur le net

A chaque fois que je surfe sur internet, quelle que soit mon activité, j’ai besoin d’une adresse unique. Dans une entreprise cette adresse est contrôlée (fixe ou dynamique) et chez vous, en général, elle est attribuée temporairement par votre fournisseur d’accès (changement tous les un ou deux jours, cela dépend). Si vous voulez héberger un site qui doit être atteint depuis l’extérieur, alors vous devez avoir une adresse unique et stable (c’est plus cher).

D’un point de vue technique, il s’agit d’une adresse IP qui correspond à un nom de machine (host). Dans la plupart des cas, avec une liaison ADSL, cette adresse est allouée durant un ou deux jours par exemple et un nom de host lui est aussi donné (AMontpellier-104-1-4-220.w80-11.abo.wanadoo.fr par exemple). Quoiqu’il en soit, cette adresse permet de retracer exactement votre parcours et éventuellement remonter jusqu’à vous (vous voyez déjà qu’en lisant simplement le nom de host, on peut savoir vers quel fournissuer d’accès vous êtes abonné et proche de quelle ville). Le fournisseur d’accès lui, garde toutes les traces de vos adresses (pendant deux ans je crois) et a les moyens techniques de savoir où vous allez et ce que vous faites (ils n’ont pas le droit de le faire, ni le temps)

mais peuvent sous commission rogatoire, fournir ces renseignements à la police.

Enfin en arrivant sur un site, ce site peut récupérer pas mal d’informations (voir plus haut).

Ne vous laissez pas abuser en utilisant votre ordinateur

Il y a un certain nombre de bonnes habitudes à prendre pour limiter les risques d’attaques ou de pollution :
-  avoir un bon anti-virus et le tenir à jour
-  avoir un bon anti-spyware
-  avoir un firewall en mode apprentissage
-  surveiller les programmes qui tournent sur votre machine
-  ne jamais installer un programme depuis des sites "douteux" ou en tous cas passer le fichier d’installation à l’anti-virus immédiatement
-  ne pas autoriser le javascript et les activeX sur votre navigateur
-  favoriser une messagerie par web plutot que par des clients de type POP3 (comme outlook express ou thunderbird).
-  tenir votre système à jour
-  configurer comme il faut votre routeur ADSL (firewall et routeur)

Il y a aussi un certain nombre de réflexes permettant d’augmenter votre anonymat et votre vie privée
-  avoir un compte messagerie gratuit (yahoo mail, freesurf,...) avec un faux nom ou sans nom et sans aucune information.

Utiliser ce compte pour tout ce qui sort du professionnel ou du relationnel avec des amis identifiés et proches.

-  ne jamais répondre aux messages de personnes que vous n’arrivez pas identifier.
-  ne jamais relayer des messages de chaine (hoax).
-  ne laissez pas un programme sortir sur internet pour aller sur le site du fournisseur pour soi disant vérifier des mises à jour (windows est aussi spécialisé là-dedans).
-  ne pas laisser des outils de mises à jour automatiques démarrer automatiquement. Vous ferez vos mises à jour tout seul.
-  si vous voulez essayer un programme, ne prenez pas des programmes d’essai soixante jours ou autres.

Obtenez le d’une autre manière, testez le et décidez vous ensuite.
-  installez des programmes d’anonymat pour ceux qui veulent aller plus loin
-  préférer une adresse dynamique à une adresse fixe, même pour ceux qui hébergent un site
-  protégez votre réseau wifi si vous habitez dans une zone habitée

Protection de la machine et de son fonctionnement

Comme pour le reste, la santé et le bon fonctionnement de votre ordinateur est amélioré par de bonnes pratiques, comme :
-  limiter les programmes qui démarrent automatiquement à leur minimum (normalement 4 ou 5)
-  lancer des nettoyeurs de registres ou de fichiers temporaires
-  désinstaller les programmes inutiles ou caduques
-  défragmenter votre disque régulièrement
-  vider votre poubelle
-  faire des scans complets pour les anti-virus et les anti-spyware une fois par mois
-  nettoyer les caches des navigateurs et des messageries instantanées
-  achetez un disque dur USB et stockez y tous vos fichiers de données précieux. Profitez en pour y mettre vos gros fichiers (vidéo, sons, programmes d’installation, etc...), cela permettra à votre ordinateur original de souffler
-  si vous utilisez votre pc, de temps en temps, pour écouter de la musique ou voir des films, ou si vous laissez vos enfants l’utilisez comme cela, utilisez des programmes spécialisés pour ce rôle sans ne rien installer réellement...

A SUIVRE

Laiguillon