Les logiciels malveillants, tout le monde les fuit comme la peste. En général, lorsqu’un logiciel malveillant s’attaque à des fichiers, ou installe par exemple des portes dérobées sur un système, il est facile de l’identifier comme tel.
Toutefois, l’identification devient beaucoup plus difficile lorsqu’on tombe dans le domaine de certains logiciels qui s’invitent sur les systèmes afin d’afficher des messages persistants comme de la publicité. Pourrait-on parler de logiciels malveillants dans un pareil cas ?
Si un logiciel s’exécute sans le consentement d’un utilisateur ou utilise des techniques furtives pour contourner la sécurité d’un navigateur pourrait-on le classer dans la catégorie d’un logiciel malveillant ?
Encore mieux, si un logiciel cache la détection d’une portion de son code interne en chiffrant les parties de sa charge utile, ou plus basiquement collecte et envoie des données à un tiers sans le consentement de l’utilisateur, pourrait-on parler de malwares ?
Pour les chercheurs en sécurité du groupe Talos Group, « sans une norme claire définissant ce qui est et n’est pas acceptable, identifier des logiciels malveillants est problématique ». Définir les limites à partir desquelles une application peut être considérée comme un logiciel malveillant serait donc impératif si l’on ne veut pas tomber dans une confusion où tout est permis en raison de l’absence de standard.
Microsoft pour sa part a adopté que, depuis le 1er juin de l’année en cours, les produits de sécurité de la firme détecteront comme malwares les programmes dotés de fonctionnalités de protection de recherche du navigateur. Selon Talos, c’est ce qui a conduit Oracle à supprimer l’option d’installation de la barre d’outils Ask.com qui était intégrée dans son plug-in Java.
Aussi, pour se faire une idée personnelle du problème et présenter des conclusions éprouvées, les chercheurs de Talos ont analysé le comportement d’un générateur de pop-up nommé ‟Infinity Pop-up Toolkit”. C’est une partie d’un logiciel qui contourne les mécanismes de blocage des pop-up dans Google Chrome afin d’afficher des annonces publicitaires dans des fenêtres pop-up.
Selon Talos, plusieurs annonceurs utilisent cette boite à outils afin de propager leurs offres promotionnelles sur la toile. Pour ce faire, ils intègrent la boite à outils Infinity Pop-up dans un fichier Flash et emmènent les utilisateurs à cliquer sur ce dernier en leur faisant croire qu’ils ont besoin d’exécuter une action nécessitant des privilèges JavaScript.
En fait, le fichier SWF sert d’abri pour cacher le véritable comportement de programme Infinity Pop-up en le chiffrant dans un binaire de type Blob uniquement accessible à partir d’un domaine défini par l’auteur du programme. Lorsqu’il est exécuté, le code ActionScript décompresse et déchiffre le binaire blob présent dans le fichier SWF et qui contient en réalité la fonctionnalité d’affichage du pop-up en utilisant JavaScript dans la page.
Une fois que cela est mis en œuvre, toutes les fois que l’utilisateur visite une page cachant un tel dispositif, celui qui contrôle le programme collecte un nombre important de données personnelles sur l’internaute. Ils comprennent entre autres la version du navigateur, le système d’exploitation, le plug-in supporté, le fuseau horaire de l’utilisateur, etc. Et si vous utilisez un bloqueur de pop-up, une alerte est retournée à l’annonceur afin de l’informer que vous utilisez un tel dispositif.
Ces informations personnelles obtenues sans le consentement de l’utilisateur peuvent être transmises à des tiers malveillants. Pour beaucoup, cela faciliterait une attaque à distance de la machine qui a été espionnée.
Il faut noter également que le programme Flash contenant Infinity popup intègre beaucoup de niveaux de complexité permettant d'interagir avec le DOM, exécuter les annonces en mode plein écran, etc.
Au regard de ce qui précède, Talor Group conclut que « “Infinity Popup Toolkit” affiche un comportement qui traverse clairement la ligne afin d’entrer dans le royaume des logiciels indésirables ». Aussi « compte tenu des caractéristiques de ce fichier Flash, ses fonctionnalités et ses capacités, Talos a pris la décision de classer cette partie du logiciel comme un logiciel malveillant et de le bloquer ».
Source : Blog Cisco
Et vous ?
Que pensez-vous de la conclusion de Talos ?
Concevez-vous également que les générateurs de pop-up exécutés insidieusement sont des malwares ?
Forum sécurité
À partir de quel instant peut-on déclarer qu'une application est un malware ?
Talos tente de donner une réponse à cette question
À partir de quel instant peut-on déclarer qu'une application est un malware ?
Talos tente de donner une réponse à cette question
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !