Exploit (informatique)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Exploit.

Un exploit[1] (ou exploiteur) est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance, remote exploit, ou sur la machine sur laquelle cet exploit est exécuté, local exploit ; ceci, afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service.

Le terme provient de l'anglais exploit, 'exploiter' (ici une faille de sécurité). L'usage est de le prononcer à l'anglaise « explo-ï-te » ([ˈɛksplɔɪt] ou, dans sa version francisée, [ɛksplwat]) et non « exploi » ([ɛksplwa]) comme en français [1].

Mode opératoire[modifier | modifier le code]

Certains sites web piégés contiennent une ou plusieurs iframes (d'un pixel de large), pointant vers un ou plusieurs autres sites web contenant des exploits. Ces derniers exploitent alors des failles de sécurité éventuelles du navigateur ou des logiciels installés sur l'ordinateur, afin de télécharger et d'exécuter le fichier à l'origine de l'infection sur la machine de l'utilisateur. Les sites web les plus concernés sont les sites de cracks, de warez ou pornographiques[2]. La plupart des clients de messagerie pouvant aussi lire les contenus en HTML, les courriels contenant des exploits sont également un vecteur privilégié par les spammeurs ; de plus, cela leur permet de cibler une grande audience avec peu de dépenses

Parfois, plusieurs exploits sont utilisés pour tester les failles éventuelles, car les développeurs corrigent régulièrement les failles de leurs logiciels. Les attaques doivent donc devenir plus sophistiquées elles aussi, par exemple en exploitant simultanément les failles de plusieurs logiciels installés sur l'ordinateur. Le ver Stuxnet utilise cette méthode[3]. Certains spams emploient plusieurs exploits pour augmenter les chances que leurs attaques soient fructueuses[4].

La plupart des logiciels contiennent ou ont contenu des failles. Ces failles peuvent être découvertes par les développeurs eux-mêmes ou par des hackers. Il existe un marché noir, sur lequel sont notamment vendus des « kits d'exploits »[5]. Certains sites proposent des exploits sans charges[6], pour des raisons de transparence et pour lutter contre la mentalité de la sécurité par l'obscurité chez les développeurs de logiciels propriétaires.

Les logiciels populaires, par exemple Flash Player, Java, Adobe Reader, Windows Media et MS Office, sont une cible privilégiée de ce genre d'attaque[7].

Types[modifier | modifier le code]

Les exploits peuvent être classifiés par le type de faille qu'ils utilisent. Voici quelques-unes des failles les plus couramment exploitées :

Prévention et protection[modifier | modifier le code]

Le système d'exploitation et les logiciels doivent être mis à jour régulièrement par l'utilisateur, car la simple présence d'un logiciel non à jour peut suffire pour infecter l'ordinateur[7].

Notes et références[modifier | modifier le code]

  1. a et b Ce mot anglais est un faux-ami du mot français exploit. Il doit plutôt être rapproché du verbe exploiter, puisque ce type de logiciel exploite une faille de sécurité.
  2. (en) Malekal_morte, « Les Exploits sur les sites WEB piégés », sur Malekal.com,‎ 3 juin 2007
  3. (en) Aleks, Kaspersky Lab Expert, « Myrtus and Guava, Episode MS10-061 », sur Securelist.com,‎ 14 septembre 2010
  4. (en) Julien Sobrier, « Analysis of multiple exploits », sur Zcaler.com,‎ 21 octobre 2010
  5. (en) Vicente Diaz, Marco Preuss, « Les Kits d'Exploit – sous une autre perspective », sur Viruslist.com,‎ 21 février 2011
  6. http://bugspy.net/exposer/
  7. a et b « Les Exploits sur les sites web piégés », sur Malekal.com,‎ 3 juin 2007

Voir aussi[modifier | modifier le code]

Sur les autres projets Wikimedia :

Articles connexes[modifier | modifier le code]