CES INFORMATIONS SONT REPRISENT DU SITE INTERNET "ORANGE".
Qu'est-ce qu'un spyware ?
Spyware, adware, malware, parasiteware et maintenant stealthware, la faune de ces nouveaux intrus est riche et nécessite clarifications et définitions
Le spyware
Le spyware, acronyme anglais de "spy" (espion) et "ware" (suffixe désignant une classe de logiciels) a donné en français "espiogiciel".
Tout logiciel introduit sur un dispositif et qui emploie la connexion Internet d'un utilisateur (ainsi que tout autre moyen ou support) à son insu ou sans sa permission explicite et éclairée, pour collecter des informations, est désigné comme spyware ou espiogiciel.
Un espiogiciel peut recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard), les envoyer à l'organisme, la société à l'origine de la diffusion du spyware pour permettre de dresser le profil des internautes (on parle de profilage).
Ces collectes d'informations peuvent permettre la création et la revente de bases de données à l'origine de fléaux publicitaires comme l'envoi massif de spams.
Ces spywares ont parfois pignon sur web et sont des composantes discrètement affichés de logiciels tels Gator, New.net, SaveNow, TopText, Webhancer, Radiate, Cydoor, Conducent, Onflow ou Grokster (qui installe pas moins de 12 parasites supplémentaires !).
Une consultation attentive des conditions d'utilisationde ces logiciels évoquera discrètement la collecte d'informations.
Les adwares
Les adwares, d'advertising (publicité en anglais), cousins des spywares, sont centrés sur l'affichage publicitaire.
Ils constituent d'ailleurs la souche originelle de ces parasites.
Ces logiciels souvent inoffensifs vont principalement soit vous bombarder de bandeaux de publicité spécifiques soit vous inonder de pop-up.
Les malwares
Les malwares, contraction de " malicious software " sont des programmes spécifiquement conçus pour endommager ou entraver le fonctionnement normal d'un ordinateur.
Les malwares sont à la navigation Web ce que sont virus ou vers pour le mail et Internet.
Mais ces malwares peuvent aussi être constitués de javascripts ou applets java hostiles.
Contrairement aux spywares et adwares, les malwares ont clairement pour objectif de nuire à l'intégrité d'un système.
C'est pour cela que les antivirus détectent et éliminent une grande partie des malwares sans toutefois pouvoir jamais atteindre 100% d'efficacité : il reste donc indispensable de n'exécuter un programme ou un fichier joint que si sa sûreté est établie avec certitude, le doute profitant toujours aux malwares.
Les malwares sont les principaux responsables des comportements anormaux d'Internet Explorer. Certains malwares utilisent des techniques très évoluées et se révèlent très difficiles à éradiquer
Les spywares ont commencé à faire la Une d'Internet dès 1999. Deux spywares commerciaux ont alors été découverts dans des logiciels très populaires : SmartUpdate (Netscape) et RealJukeBox (Real Networks).
Cet événement a rendu la pratique des spywares commerciaux plus transparente dans le cas des spywares commerciaux, même si les abus restent nombreux.
Différentes études commencent à permettre de mesurer l'expansion des spywares sur Internet et la perception qu'en ont les internautes.
Selon une étude réalisée aux Etats-Unis au premier semestre 2004 par EarthLink et Webroot, un ordinateur sur trois serait infecté par au moins un spyware ou un cheval de Troie.
1,5 millions d'ordinateurs ont été audités sur lesquels ont été identifié 500.000 spywares et autres logiciels espions.
Ces multiples mouchards et espions auraient coûté en 2003 près de 2,4 milliards dollars aux consommateurs et banques américains qui ont par ces biais été victimes de fraudes et de vols d'informations bancaires.
Une autre étude réalisé par High-Low research et Symantec benelux en novembre 2004, auprès de 200 utilisateurs volontaires, permet de préciser le panorama des dégâts.
Sur les 200 ordinateurs, 76 % étaient infectés par un parasite qu'il soit spyware, adware, malware ou virus.
Parmi ceux-là, 64 % ont été infectés par un spyware ou adware, 31 % par un cheval de Troie , 30% par un dialer et seulement 14 % par un virus. Ces chiffres sont le reflet de la conscience des internautes et de leur équipement.
La menace virale est maintenant comprise et perçue par les internautes : 84 % du panel avait équipé son ordinateur d'un antivirus. Les autres menaces sont quant à elles encore sous-estimées ; moins de 48 % du panel avait équipé sont pc d'un firewall.
Cette étude fournit aussi une vision plus précise de la nature technique des parasites.
Ainsi , adware.binet, adware.ncase et download.adware avec 23%, 16% et 15 % de taux d'infection constituent le trio de tête des spywares suivi de adware.gator et adware.cydor.
On distingue communément deux grandes familles de spywares :
les spywares externalisés
les spywares intégrés.
Un spyware externalisé
Un spyware externalisé est une application totalement autonome dialoguant avec le logiciel qui lui est associé et pour lequel sont collectées et transmises les informations concernant les utilisateurs.
Ces spywares sont bien souvent conçus par des régies publicitaires ou des sociétés spécialisées. Bien des éditeurs de logiciels passent des accords avec des sociétés telles que Radiate, Cydoor, Conducent, Onflow ou Web3000. Le spyware de Cydoor est ainsi associé au logiciel de peer-to-peer KaZaA ; il s'installe discrètement, mais séparément, en même temps que son logiciel " hôte ".
Un spyware intégré
Un spyware intégré (ou interne) est quant à lui une simple routine, une fonctionnalité incluse dans le code d'un logiciel. Cette fonctionnalité spécifique a pour fonction propre de collecter et de transmettre via internet des informations sur les utilisateurs.
On trouve de tels dispositifs sur des logiciels comme Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que sur la totalité des mouchards. Le spyware et le programme associé qui ne font alors qu'un, s'installent simultanément sur l'ordinateur
Fonctionnement
Les spywares peuvent en fait prendre de multiples formes. Parfois, ce sont de véritables applications bien identifiables, parfois une tâche associée à un processus, mais aussi, plus discrètement, une dll modifiée.
Enfin, bien souvent, les spywares seront de simples et passif cookies. Leur nuisance se mesurera alors à la nature des informations qu'ils stockeront.
La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.
Certaines fonctionnalités annexes, comme la mise à jour automatique, peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.
Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware.
Le chiffrement des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.
exemple de spyware
Dans le cas du spyware commercial comme Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registres
Lorsque vous surfez sur Internet vous pouvez être amené à installer un logiciel de connexion automatique appelé e-dialer. Ce logiciel pourra par la suite se connecter automatiquement à Internet, toujours à votre insu, via des numéros surtaxés faisant gonfler votre facture téléphonique. Les e-dialer nécessitent un accès direct à votre ligne téléphonique pour fonctionner et ne concernent que les utilisateurs de modem RTC.
Qu'est ce qu'un e-dialer ?
Un e-dialer est un logiciel qui connecte votre ordinateur à Internet en utilisant des numéros de téléphone surtaxés. Ces numéros d'appels sont souvent localisés dans des pays aux législation permissives (paradis fiscaux...). Certains e-dialers utilisent même des connexions satellites dont les tarifs peuvent atteindre plusieurs euros par minute.
Certains sites Web vous demandent d'installer ce type de logiciel afin de pouvoir profiter de certains services (téléchargements, services de rencontres, visualisation de videos...).
Si vous exécutez ce programme, votre connexion Internet Orange sera interrompue, à votre insu, puis une nouvelle connexion s'établira via le logiciel en utilisant un numéro surtaxé.
Certains de ces e-dialers se connectent à Internet de façon autonome et transparente pour l'utilisateur. Le simple fait que votre modem RTC soit relié à votre ligne téléphonique peut permettre à ce type de logiciel de fonctionner.
Les communications effectuées par ce mode de connexion seront visibles sur votre facture de téléphone. Par ailleurs, France Telecom n'est pas responsable des numéros qui sont émis depuis votre ligne fixe.
Comment lutter contre les e-dialers ?
Les e-dialers utilisent exclusivement une connexion RTC pour fonctionner. Tous les utilisateurs ayant une connexion ADSL et n'utilisant pas de modem RTC (y compris les modems intégrés) sont donc protégés des e-dialers.
Toutefois, si vous vous connectez à Internet via l'ADSL et que vous possédez un modem RTC interne, il est possible que celui-ci soit utilisé par un dialer. Nous vous recommandons donc fortement de le déconnecter de la ligne téléphonique.
Nouveau !
La nouvelle version de l'Antivirus Firewall dispose d'un logiciel contrôlant les composeurs et bloquant ainsi toutes les tentatives de conenxion de dialers parasites.
Télécharger l'Antivirus Firewall V3
Bien utiliser l'antidialer
Comme toute autre forme de pollution informatique (virus, spam, vers...), les e-dialers peuvent être aussi bloqués en utilisant un firewall, un anti-virus à jour et un anti-spyware.
En savoir plus sur l'anti-virus firewall PC
Comment mettre à jour son système d'exploitation
Le principal mode de diffusion des e-dialers est le téléchargement automatique lorsque vous naviguez sur Internet.
Il faut donc rester très attentif lorsqu'une fenêtre de téléchargement s'ouvre automatiquement ou lorsqu'un avertissement de sécurité Internet Explorer comme celui-ci apparaît :
Il est en effet très facile de cliquer sur "Oui" ou "Yes" mais cela peut entraîner le téléchargement et l'installation d'un e-dialer.
Vérifiez donc toujours l'origine de cette fenêtre et l'éditeur la publiant avant de cliquer sur "Oui".
Certains e-dialers utilisent également un bug connu dans la machine virtuelle Java de Microsoft pour s'installer à votre insu. Nous vous conseillons de garder votre système d'exploitation à jour en activant les mises à jour automatiques et en consultant régulièrement le site Windows Update.
Comment supprimer un e-dialer ?
Lorsqu'un e-dialer est installé sur votre ordinateur, il peut être très difficile de le supprimer.
Il existe en effet de nombreux types de e-dialer et donc plusieurs méthodes de désinstallation.
Voici les plus efficaces de ces méthodes :
- scannez régulièrement votre ordinateur à l'aide de votre anti-virus mis à jour ;
- supprimez toute connexion indésirable apparaissant dans le menu "Paramètres / Connexions réseau" ;
- supprimez les e-dialers apparaissant dans l'utilitaire "Ajout / Suppression de programmes" de Windows ;
- utilisez un logiciel anti-spywares pour protéger votre ordinateur de tout parasite.
Enfin, vous pouvez activer le service Sélection Modulable d'Appels de France Télécom sur votre ligne téléphonique.
Pour les experts
Le système d’exploitation de votre ordinateur est bâti de façon à optimiser ses performances. Il dispose notamment de technologie permettant de gérer simultanément (ou presque) les applications, les périphériques, les interactions avec l’utilisateur. Pour permettre cela, les actions, quelles soient cachées ou visibles, sont découpées en des éléments plus simples.
Malheureusement, ces éléments plus simples sont parfois très et même trop discrets. C’est ainsi que les spywares peuvent s’installer et fonctionner sur votre ordinateur à votre insu.
Il est donc nécessaire d’en savoir plus sur ces éléments pour mieux lutter contre les spywares.
Ces éléments plus simples peuvent être des applications fonctionnant sur votre système d’exploitation, comme un traitement de texte, un lecteur multimédia, votre programme de gestion de courrier, un antivirus… Elles utilisent des ressources système : de la mémoire, du temps processeur, de l’espace disque, des ressources réseaux…
Qu'est-ce qu'un processus ?
Une application est la partie visible et concrète d'un processus. Le processus est ainsi le "calque" au niveau du système d'une application.
Par exemple, l’application Microsoft Word correspond au processus winword.exe.
Malheureusement ou heureusement, sur un ordinateur, plusieurs processus fonctionnent en même temps et peuvent être amenés à vouloir utiliser simultanément de même ressources.
Les processus étant des éléments lourds et monolithiques, les concepteurs de système informatique ont préféré les décomposer en tâches élémentaires et légères. C’est ainsi qu’est apparu le concept de thread ( de thread of control) ou tâche. Un processus est composé d'au moins une tâche et en comportera bien souvent de nombreuses.
EXEMPLE :
Lorsque vous double-cliquez sur l'icône « Bloc-notes », vous démarrez un lancez l’application « Notepad» associée au processus notepad.exe.
Le système d'exploitation commence l'exécution des différentes tâches composant le processus notepad.exe :
- la tâche d'interaction avec le clavier ; toutes les informations saisies au clavier sont prises en compte ;
- la tâche de contrôle orthographe ; tous les textes sont contrôlés par le correcteur orthographique.
- la tâche de rangement des caractères sur la page ; au fur et à mesure de la saisie, la mise en page se construit.
EXEMPLE :
Les threads ou tâches fonctionnent en parallèle indépendamment les uns des autres. Ils permettent en outre d'optimiser, d'améliorer et de simplifier beaucoup de pratiques de programmation.
Vous utilisez votre logiciel de messagerie (Outlook ou autre), et vous rédigez un nouveau message.
D'une façon simplifiée, le logiciel de messagerie utilise alors au moins deux tâches :
- une tâche s'occupe de scruter vos entrées au clavier et de mettre à jour la fenêtre du nouveau message;
- une autre tâches vérifie de façon périodique l'arrivée de nouveaux messages.
Si une seule et même tâches était utilisée pour les deux actions, la rédaction de votre message serait temporairement interrompue à chaque vérification des nouveaux messages, ce qui serait fort peu ergonomique.
Et les spywares dans tout cela ?
Parfois des processus peuvent fonctionner sur votre ordinateur à votre insu et vous espionner.
Dans d’autres cas, la menace est plus insidieuse, le spyware n’est autre qu’un simple thread qui se greffe à une application commune ( votre navigateur par exemple) ; il est alors bien difficile de débusquer l’espion.
Votre navigateur sait très bien :
- gérer les interactions avec votre clavier ;
- analyser et utiliser l'adresse que vous avez saisie en vérifiant que sa syntaxe est valide ;
- analyser le code html d'une page web pour afficher une mise en page comportant des images ;
- se souvenir que la page de démarrage est votre page préférée.
Quoi de plus simple alors pour un spyware sous forme de thread ou tâche de "phagocyter" votre navigateur, d'utiliser vos saisies au clavier, de modifier votre page de démarrage et de renvoyer des informations vers un site discret. En se dissimulant sous forme de thread, il pourra faire tout cela avec les mêmes droits et autorisation sur le réseau que votre navigateur et parviendra à tromper vos proxys et firewalls.
Enfin, prendre la forme d'une tâche ou thread n'est pas l'unique ruse des spywares. Ils prennent parfois la forme de simples dll ou d'autres ressources système.
Heureusement, les logiciels anti-spyware parviennent à débusquer une grande partie des ces ruses.
Et les processus Windows ?
Votre système d’exploitation est un assemblage de différents processus.
Il est facile de contrôler quels processus fonctionnent à un instant donné sur votre ordinateur. Il vous suffit de taper CTRL+ALT +suppr simultanément et de cliquer sur gestionnaire des tâches. Sur l’onglet "Processus" apparaît la liste des processus visibles (certains insidieux peuvent être néanmoins cachés).
De nombreux sont des composantes de Windows. Voici les principaux :
- System concerne le noyau, le coeur du système ;
- Smss.exe (session manager subsystem), démarre la session utilisateur. Ce processus fait appel aux autres processus Winlogon et Csrss.exe ;
- Winlogon.exe, responsable de l'ouverture et la fermeture de session. On ne peut pas arrêter ce processus à partir du gestionnaire des tâches ;
- Csrss.exe (client server run-time subsystem). Csrss gère les applications lancées dans des fenêtres de commande ; il doit fonctionner en permanence ;
- Lsass.exe s'occupe de l'authentification des utilisateurs par le service Winlogon ;
- Svchost.exe : un processus générique, utilisé en tant que hôte pour d'autres processus utilisant des fichiers Dll ; on peut voir les processus qui utilisent svchost.exe dans une fenêtre de command par la commande Tasklist ;
- Services.exe le gestionnaire de contrôle des services responsable du démarrage, de l'arrêt et des différents services lancés (au démarrage ou par la suite).
Et en pratique, comment contrôler les processus (avec Windows) ?
Vous avez la possibilité de voir une partie des applications mais aussi des processus qui fonctionnent sur votre système.
Ainsi sous Windows XP, il vous suffit de taper CTRL+ALT +suppr simultanément et de cliquer sur gestionnaire des tâches.
Sélectionnez l’onglet « processus », puis ouvrez le menu « Affichage ».
Cliquez sur "sélectionner les colonnes".
Sélectionner les champs comme l’image ci-dessus.
Vous avez alors accès à de nombreuses informations complémentaires sur les processus fonctionnant sur votre ordinateur et le nombre de threads associés.
Des utilitaires freeware tel que Process Explorer vous permettent d'identifier chacun des threads associés à un processus.
工具 
