Les mouchards dédiés, les mouchards logiciels ou spyware

By 23 September 2012

Les mouchards dédiés – 1er chapitre

Les mouchards dédiés regroupent principalement :
* Les logiciels appelés spywares ou espiogiciels qui ont comme but la collecte d’informations de manière à créer un profil commercial de l’internaute.

* Les codes malicieux ayant un rôle de mouchard : les chevaux de Troie et dérivés. Encore appelés backdoor pour certains, car ils utilisent une porte dérobée.

Nous n’employons pas le terme de virus car les chevaux de Troie ne sont pas à proprement parler des virus. Le terme de code malicieux pourrait être utilisé car il est plus vaste et inclut les virus hybrides, chevaux de Troie et vers.

* Enfin les projets qui avaient ouvertement comme but la collecte d’informations en raison de sûreté nationale, projets de gouvernement comme Echelon et Carnivore : ce sont les réseaux d’espionnage d’États ou les systèmes de surveillance et d’interception électronique.

I / Les mouchards logiciels ou spyware

Un tiers des entreprises ont vu leur réseau informatique infecté par des logiciels spyware selon l’étude « Menaces Internet Émergences 2003 ». Les utilisateurs sont en effet très peu sensibilisés à ce problème.

Toutes les formes d’implants malveillants relèvent de la programmation qui peut prendre différentes formes :
– Programmes externes ou externalisés : codage distinct dans un programme autonome ayant son activité propre ou étant activé par l’hôte.
– Programmes internes ou intégrés : codage de l’espion intimement mêlé au code du programme hôte. Le spyware est alors une simple routine. Le spyware et le programme associé ne font qu’un et s’installent simultanément sur l’ordinateur de l’utilisateur.

Les principales informations envoyées sont :
– Les URL (adresses) des pages visitées permettant de déduire les centres d’intérêts marchands et le profil personnel de la personne.
– Tous les cookies
– Les informations sur le navigateur et l’historique
– L’adresse IP de l’ordinateur
– Les GUID des différents matériels et logiciels et donc le système d’exploitation, les caractéristiques techniques de tout le matériel contenant le pc et les différents logiciels installés.
– ….

1.1 / Les moyens de propagation

§ Par la navigation sur Internet : par la technologie active X, certains programmes s’installent directement lorsqu’on arrive sur une page Internet, sur les sites contenant des web bugs…
§ Par le téléchargement de adware (logiciels contenants de la publicité) ou de freeware (logiciels gratuits).

– Un adware est un programme pouvant paraître gratuit mais qui est en fait supporté par la publicité ou des services tiers. Un bandeau publicitaire est rafraîchi périodiquement via Internet. Certaines régies publicitaires ont voulu cibler ces publicités, le adware dans ce cas contient alors un spyware.
– De plus certains logiciels gratuits intègrent dans leur interface, un ou plusieurs spywares qui sont soit internes soit qui se chargent en même temps que le logiciel.

En effet de nombreux logiciels (freeware ou adware) ont plus ou moins des mouchards intégrés :
– En particulier les messageries instantanées qui sont très dangereuses au niveau de la sécurité (mouchard d’ICQ).
– Dans les lecteurs audio : Realjukebox de Realnetworks.
– Les systèmes peer to peer (poste à poste ou de point à point) : le plus connu à contenir de nombreux mouchards est Kazaa mais il en existe plusieurs autres dont Limewire et Morpheus.

§ Par le système d’exploitation et les applications commerciales correspondantes :
procédure d’enregistrement en ligne, commerce en ligne…

On retrouve ces différents points dans l’étude « Menaces Internet Émergentes 2003 » puisque les trois grandes préoccupations des professionnels de l’informatique sont la navigation personnelle (31%), le téléchargement de logiciels (24%) et les e-mails Web (24%). Le peer to peer représente 5% et les messageries instantanées 3%, en revanche 70% des professionnels pensent que le peer to peer créé une porte ouverte aux hackers.

1.2 / Quelques types de mouchards logiciels

1.2.1. Le spyware de RealJukebox

Ce logiciel est un lecteur de fichiers audio (lecture de cd audio, lecture de MP3 et encodage) de la société RealNetworks (éditeur de Realplayer).

Lors de l’enregistrement du programme, un Guid, identifiant unique contenant l’adresse Mac, était envoyé. Ce même Guid était envoyé lorsque l’on écoutait un cd audio ou un MP3 avec des informations sur les catégories des titres lus, le nombre de titres stockés sur le disque dur, les formats de fichiers… RealNetworks pouvait ensuite créer des fichiers sur les habitudes de téléchargement, les modes de consommation, les centres d’intérêt.

Après un procès, RealNetworks a été contraint d’éditer un correctif empêchant l’envoi des données et désactivant le Guid de RealJukebox.

1.2.2. Le spyware de ICQ

ICQ, logiciel de messagerie instantanée, intègre un mouchard qui fait l’inventaire des programmes et numéros de séries associés et qui le renvoie au serveur d’ICQ. Il est très facile à désactiver en allant dans la base de registre, il suffit d’être au courant…

1.2.3. Alexa ou Related info

Les Related Info sont des types de spywares : liens “intelligents” construits à la volée, généralement dans une barre de recherche comme le “volet d’exploration” du navigateur, cherchant à envoyer l’utilisateur vers des sites choisis dans son intérêt ou dans l’intérêt financier du spyware… Les ventes qui en découlent rémunèrent au forfait ou au pourcentage l’éditeur de l’utilitaire.

Le plus connu est Alexa qui se greffe sur Internet Explorer. C’est un mouchard d’Amazon contenu dans zBubbles, compagnon logiciel pour Internet Explorer.

Le terme « related info » est utilisé soit de manière générale, soit pour définir ce type de liens intelligents greffés à Netscape.

1.2.4. BHO (Browser Helper Objects)

Ils apportent des caractéristiques ou des fonctionnalités, additionnelles ou de personnalisation, à un navigateur. Ils se présentent lorsqu’ils sont visibles comme une série de boutons ou une barre de boutons ajoutés au menu du navigateur. Ils modifient également la base de registre.

Ils ne fonctionnent qu’avec Internet Explorer ou ses clones.

Ils ont accès à tous les fichiers et actions effectuées par le navigateur : Ils peuvent ainsi intervenir sur le contenu de l’affichage, ont accès à toutes les informations envoyées à un site Web dont les mots de passe, les noms et toute autre information personnelle, et à tous les sites que l’on visite. Ils peuvent également envoyer des informations à un serveur.

Il y a plusieurs types de problème avec les BHO :
– Souvent mal écrits, ils provoquent des erreurs dans Internet Explorer et lorsque plusieurs sont installés, ils peuvent entrer en conflit.
– Nombre de BHO se comportent en spyware. Ils envoient alors les habitudes de navigation à un site marketing.
– Des codes malicieux peuvent s’ajouter au BHO et envoyer tous les mots de passe, des informations personnelles…

1.3/ L’utilisation de ces informations ou les dispositifs marketing de la net économie

§ Les spywares permettent, grâce aux informations collectées, d’envoyer à chaque utilisateur de la publicité ciblée :
– Par des bandeaux publicitaires (bannières), en fonction de son profil, qui apparaissent sur certains sites.
– Par des pages pop-up qui apparaissent lorsque l’on ouvre l’explorateur ou lorsque l’on arrive sur certains sites toujours personnalisés.

C’est un des moyens du spam car beaucoup de spywares transmettent les adresses e-mails et peuvent ensuite envoyer des mails ciblés (ou non).

Ils peuvent même aller jusqu’à envoyer des publicités papier ou effectuer du marketing téléphonique.

§ Ils peuvent suggérer des sites grâce au related info et donc envoyer l’internaute vers un site qui a été choisi pour lui et non par lui.
§ Ces mouchards permettent surtout le traçage puis le profilage des internautes afin de constituer de gigantesques bases de données qui se vendent à prix d’or, en particulier pour les fichiers opt-in (c’est à dire lorsque la personne a donné son autorisation explicite : case à cocher).

1.4/ Les justifications de leurs usages et le modèle économique du net

Les régies publicitaires et sociétés de marketing donnent plusieurs justifications à leur usage :

§ Les informations sont anonymes car elles sont traitées de manière agrégée.
C’est effectivement le cas pour tout ce qui est statistique mais sûrement pas pour les bases de données qui sont créées.
§ Les informations sont insignifiantes.
On a vu que les informations récoltées sont des informations à caractère personnel d’après la loi informatique et liberté et la directive de 1995. Elles ne sont donc pas insignifiantes.
§ Dans le but de mieux personnaliser les services et offres publicitaires qui seront proposés ensuite : publicité ciblée.
Cette justification est effectivement valable puisque dans de nombreux cas c’est le but de ces logiciels mais le problème est que ce n’est pas l’unique usage qui en est fait.
§ Le modèle économique du net : les entreprises proposant des freewares (logiciels gratuits) doivent dégager un profit ailleurs et les spywares permettraient à ces entreprises de se rémunérer.

Pourtant le logiciel gratuit est déjà un moyen de faire connaître l’entreprise, et la plupart proposent ensuite, des versions payantes avec des fonctionnalités supplémentaires. Le logiciel gratuit est en lui-même une publicité pour l’entreprise, il permet de faire connaître ses produits.

De plus de nombreux logiciels gratuits ont des bannières publicitaires pour se rémunérer qui ne sont pas très gênantes quand elles sont placées dans un angle de l’écran. Elles sont donc rémunérées également par les régies publicitaires.

Les avis sur ce point sont très partagés. Certains disent qu’interdire les spywares serait la fin du logiciel gratuit. Il existe pourtant des logiciels gratuits ne contenant pas d’espiogiciel, et ils ne disparaissent pas pour autant.

Cette justification ne semble pas fondée, de plus pour les raisons que l’on a vu plus haut, l’entreprise dégage un bénéfice à proposer des logiciels gratuits.

En revanche, le spyware est effectivement un moyen efficace de sonder le futur client et d’effectuer à très grande échelle des enquêtes de consommation au niveau d’Internet, mais surtout de cibler l’éventuel acheteur qui pourrait être intéressé par tel ou tel produit.

Ce serait davantage un outil marketing entraînant un profit supplémentaire (ce qui est le but de tout outil marketing à plus ou moins long terme) et non pas l’unique rémunération.

Dire que ce profit supplémentaire est indispensable à l’existence du logiciel gratuit n’est pas justifié, car le logiciel gratuit peut être un outil marketing à lui seul. Le spyware n’est pas une obligation à l’existence de ce type de logiciel.

Les utilisateurs sont peu sensibilisés aux spywares et parmi ceux qui le sont, beaucoup considèrent que c’est le prix à payer pour le logiciel gratuit et que les informations divulguées ne sont pas importantes, étant donné que ces logiciels peuvent faciliter leurs recherches sur Internet.

1.5/ La législation française et européenne

A l’origine, toutes ces sociétés ne respectaient pas les lois sur la vie privée car l’internaute n’était pas prévenu avant la collecte d’informations (et même après). De nombreuses plaintes ont été déposées et il existe aujourd’hui une jurisprudence assez importante sur le sujet.

Pourtant le droit à l’information préalable était clairement précisé dans la loi informatique et libertés du 6 janvier 1978 :

Droit à l’information préalable :

Obligation d’information au moment de la collecte des données.
Les fichiers ne doivent pas être créés à notre insu : « la collecte des données opérée par tout moyen frauduleux, déloyal ou illicite est interdite » (art 25 chapitre IV)
Les personnes qui créent des traitements ne doivent pas laisser les internautes dans l’ignorance de l’utilisation qu’ils vont faire de ces données. Autrement la loi informatique et liberté est violée.

« Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées : du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d’un défaut de réponse, des personnes physiques ou morales destinataires des informations, de l’existence d’un droit d’accès et de rectification. »
(Article 27 de la loi, décret n°81-1142)

C’est pour cette raison que de nombreux procès ont eu lieu contre les spywares logiciels car précédemment les usagers n’en étaient pas du tout avertis (une mention est aujourd’hui indiquée bien que souvent elle ne soit pas très lisible ou compréhensible…) et l’installation d’un logiciel renvoyant des données privées est une atteinte à la vie privée au sens de cette loi.

« Il est interdit de mettre ou de conserver en mémoire informatique, sauf accord exprès de l’intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les mœurs des personnes »
(article 31)

Il semble donc que toutes les techniques de profilage sont illégales car dans de nombreux cas elles peuvent définir des opinions politiques, mœurs…

Le droit d’opposition :
« Toute personne physique a le droit de s’opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un traitement. »
(Article 26 chapitre IV)

La loi garantit un droit d’opposition qu’on peut exercer au moment de la collecte ou plus tard, en demandant par exemple la radiation des données contenues dans les fichiers commerciaux. Ce droit ne s’applique qu’aux fichiers qui n’ont pas été rendus obligatoires par une loi.

Différentes formes d’expression de ce droit d’opposition :
– le refus de répondre lors de la collecte non obligatoire de données,
– la possibilité de demander la radiation des données contenues dans les fichiers commerciaux ou de vente par correspondance,
– la possibilité d’exiger la non-cession ou la non-commercialisation des informations.

La directive 2002/58/CE est encore plus précise sur le sujet (article 24), elle considère que ces logiciels (et autres) peuvent « porter gravement atteinte à la vie privée » et précise à nouveau que l’utilisation des spywares doit être « portée à la connaissance de l’utilisateur concerné ».

Ces droits se retrouvent dans la plupart des législations sur la protection des données personnelles en Europe et dans le monde.

Le non-respect de ces lois entraînent des peines allant d’un an à trois ans d’emprisonnement et d’une amende.
(Voir pour plus de détail les articles du code pénal s’y référant dans l’annexe 1.)

1.6/ Les licences d’utilisation

Grâce aux lois sur la vie privée, après de nombreux procès, les éditeurs ont été obligés de préciser l’existence de ces spywares lors du téléchargement de logiciels gratuits en contenant. Le seul problème est que la clause contractuelle est en général indiquée en tout petit au milieu de dix pages de commentaires suivis de la clause de vie privée en général en anglais et rédigée de la même manière. Ils sont aussi présentés comme des fonctionnalités indispensables à prendre, nous facilitant la vie dans une case pré-cochée (opt-out).

– Opt-in : une personne donne son autorisation explicite à une entreprise pour utiliser ses informations personnelles dans un but marketing. En général il s’agit d’une case à cocher.
– Opt-out : une personne doit préciser à une entreprise de ne pas utiliser ses informations personnelles dans un but marketing. En général c’est une case pré-cochée qu’il faut donc décocher si on ne désire pas que nos informations personnelles soient utilisées.

Ainsi les utilisateurs, qui sont le souvent très jeunes,
– ne vont pas prendre le temps de lire les licences d’utilisation en général très longues,
– ne lisent pas l’anglais car dans de nombreux cas elles ne sont pas traduites,
– Ou encore ne comprennent pas les tournures juridiques.

Tout est fait pour que l’utilisateur ne comprenne pas précisément ce qu’il télécharge ou pour qu’il ne le voie pas. En outre de nombreux logiciels gratuits ne fonctionnent plus si les spywares sont désinstallés. La réciproque, elle, est fausse, puisque les spywares restent actifs même après la désinstallation du logiciel qui les contenait.

Mais les éditeurs, dès lors que la mention est faite (même incompréhensible ou très bien cachée…), ne peuvent plus être considérés en infraction avec la loi.

Quelques exemples de EULA (End User License Agreement) :
KaZaa reserves the right to change or modify any of the terms and conditions of this licence and any of the policies governing the Software at any time in its sole discretion without direct notice to you. Your continued use of the software following these changes will constitute your acceptance of such terms.

« Kazaa se réserve le droit de changer ou modifier tout terme et condition de cette licence et toute politique régissant le logiciel à tout moment sans en avertir directement l’utilisateur. Continuer à utiliser le logiciel après ces changements sera considéré comme l’acceptation de ces nouveaux termes. »

Your hereby grant BDE the right to access and use the unused computing power and storage space on your computer/s an/or internet access or bandwidth for the aggregation of content and use in distributed computing. The user acknowledges and authorized this use without the right of compensation.

Par la présente vous autorisez BDE à utiliser l’espace et la puissance disponibles de votre ordinateur et/ou la bande passante de votre accès à Internet pour l’agrégation de contenu et l’utilisation en système distribué.

La visionneuse de BDE (Brillant Digital Entertainment) agit comme un cheval de Troie. Cette visionneuse a été distribué en 2001 à travers de réseau de peer to peer : Kazaa et Morpheus.

BDE justifiait l’utilisation d’espace, de puissance et de bande passante ne lui appartenant pas, pour la création d’un réseau privé. Altnet, société appartenant à BDE (qui s’est rapprochée de Double Click que nous verrons plus loin) a déclaré :

« Des millions d’ordinateurs sont connectés à chaque instant sur Internet chacun avec des réserves en puissance de calcul, capacités de stockage et bande passante inutilisée. A travers Altnet, nous allons créer un réseau privé de type peer-to-peer pour permettre à nos clients d’accéder et d’utiliser ces excès de puissances de calcul, de capacités de stockage et bande passante inutilisée, pour diverses applications. »

Ces programmes permettent donc une utilisation à distance des ressources de l’ordinateur sur lequel ils sont installés.

1.7/ La détection et les contre-mesures

1.7.1. Prévention

Il est utile d’avoir un firewall et un anti-virus même s’ils ne sont pas fiables à 100% (ports ouverts, mise à jour pas encore en place…), ils réduisent déjà les risques.

Lire avec attention les conditions d’utilisation des logiciels qu’on télécharge et ne pas installer les programmes supplémentaires sans savoir précisément à quoi ils servent et ce qu’ils sont. Lire les chartes de respect de la vie privée ou clauses de vie privée de l’entreprise en question et faire très attention si celles-ci sont vagues.

Pour réduire les informations transmises il peut être intéressant de dédier un ordinateur à la messagerie, un autre à la navigation… lorsqu’il est possible de le faire. On réduit ainsi les informations transmises à ce qu’il y a sur l’ordinateur.

Et bien sûr donner le moins possible d’informations personnelles sauf quand cela est vraiment indispensable.

Un logiciel de cryptographie permet une sécurité supérieure.

1.7.2. La détection et l’éradication

– Grâce à une liste des spywares on peut repérer le programme et le supprimer.
– Grâce à un firewall : en repérant les paquets sortants non autorisés ou qui ne correspondent à aucun programme que l’on connaît. Mais si le spyware est interne à un programme utilisé on ne pourra pas le repérer de cette manière.
– Pour les spywares logiciels, n’étant pas des virus, les antivirus ne les détectent pas et ce n’est pas leur rôle.
– Les logiciels spécialisés en détection et destruction des spywares dont ceux spécialisés pour les BHO : ad aware de Lavasoft, Pest Pastrol (détecte les trojans et les spywares), X-cleaner, spyboot search & destroy, BHO Cop (détecte les BHO).

1.7.3. Le P3P : Platform for Privacy Preferences Projet

Consortium du World Wide Web pour une plate-forme d’expression de choix en matière de respect de la vie privée et standard d’établissement de profils ouverts.

Depuis 1997, les grandes firmes informatiques américaines ont développé, sous l’égide du W3C (World Wide Web Consortium), un standard dit P3P (Platform for Privacy Preference) pour encadrer la réutilisation par les sites des profils électroniques des internautes.

Les technologies Passport (Microsoft), Magic Carpet (AOL) ou Liberty Alliance (Sun Microsystems) sont les premières applications industrielles du P3P. Elles organisent l’échange automatique des données personnelles sur le Web, en fonction du consentement de l’internaute.

Ces technologies doivent permettrent d’éviter l’enregistrement à répétition et de choisir le niveau de protection des données privées.

Les régies publicitaires, en plus des espiogiciels, utilisent aussi d’autres technologies qui ont à l’origine une autre raison d’être, soit directement (les spywares récupèrent les informations données par ces différentes technologies), soit comme moyen autre que le logiciel espion.

Souvent il y a conjonction de plusieurs techniques simultanées (cookies plus autres informations qui permettent des recoupements…) qui n’ont pas comme but originel la récupération d’informations personnelles. Ce sont ces technologies que nous verrons dans un deuxième chapitre.

Lire le mémoire complet ==> (Mouchard informatique
De l’atteinte à la vie privée à l’espionnage d’État – Principes, Techniques et Législation
)

Mémoire – DESS Audit et Expertise en Informatique
Université Paris II Panthéon-Assas