Exploit (informatique)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Exploit.

Un exploit[1] est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillants d'exploiter une faille de sécurité informatique dans un système d'exploitation ou un logiciel, que ce soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est exécuté (local exploit) ; ceci, afin de s'emparer d'un ordinateur ou d'un réseau, d'accroître le privilège d'un logiciel ou d'un utilisateur, ou encore d'effectuer une attaque par déni de service.

Le terme provient de l'anglais exploit, 'exploiter' (ici une faille de sécurité). L'usage est de le prononcer à l'anglaise « explo-ï-te » ([ˈɛksplɔɪt] ou, dans sa version francisée, [ɛksplwat]) et non « exploi » ([ɛksplwa]) comme en français [1]. Le terme est aussi utilisé dans le monde du jeu vidéo (jeu en réseau et sur internet), les utilisateurs de glitches ayant aussi recours à des exploits pour favoriser leur expérience de jeux (triche notamment).

Les vers exploitent des vulnérabilités distantes pour se diffuser automatiquement d'un PC à un autre au sein d'un réseau. Par exemple, le ver Conficker, pour se diffuser, exploite la vulnérabilité (MS08-067) au sein du système d'exploitation Windows.

Web Exploit[modifier | modifier le code]

À droite le Web ExploitKit distribué par une publicité malicieuse (malvertising) qui charge en bas à gauche le dropper sur le PC de la victime

Depuis 2011, des Web Exploit sont utilisés massivement pour infecter les internautes. L'infection se fait par la simple visite d'un site WEB piraté ou contenant une publicité malicieuse (malvertising) qui va charger un Web ExploitKit.

Ces derniers exploitent alors des failles de sécurité éventuelles du navigateur ou des logiciels installés sur l'ordinateur, afin de télécharger et d'exécuter le fichier à l'origine de l'infection sur la machine de l'utilisateur.

En tirant parti des plugins non à jour sur le navigateur WEB, un malware va pouvoir être téléchargé et installé sur l'ordinateur.

Afin d'obtenir un maximum de traffic et toucher le plus d'internaute possibles, les pirates privilégient deux méthodes pour charger ces Web ExploiKit :

  • Le piratage massif de sites WEB, notamment les CMS comme WordPress ou Joomla sont utilisés.
  • L'insertion de publicités malicieuses, les réseaux publicitaires sur les sites illégaux (téléchargements illégaux ou streaming illégaux) sont plus souvent visés, mais il arrive périodiquement de gros réseaux publicitaires comme Yahoo![1] par exemple le soit.

Les logiciels populaires, par exemple Flash Player, Java, SilverLight, Adobe Reader, Windows Media et MS Office, sont une cible privilégiée de ce genre d'attaque[2].

Parfois, plusieurs exploits sont utilisés pour tester les failles éventuelles, car les développeurs corrigent régulièrement les failles de leurs logiciels. Les attaques doivent donc devenir plus sophistiquées elles aussi, par exemple en exploitant simultanément les failles de plusieurs logiciels installés sur l'ordinateur. Le ver Stuxnet utilise cette méthode[3]. Certains spams emploient plusieurs exploits pour augmenter les chances que leurs attaques soient fructueuses[4].

La plupart des logiciels contiennent ou ont contenu des failles. Ces failles peuvent être découvertes par les développeurs eux-mêmes ou par des hackers. Il existe un marché noir, sur lequel sont notamment vendus des « kits d'exploits »[5]. Certains sites proposent des exploits sans charges[6], pour des raisons de transparence et pour lutter contre la mentalité de la sécurité par l'obscurité chez les développeurs de logiciels propriétaires.

Blackhole Web Exploit - Statistiques

Parmi les Web ExploitKit les plus populaires, on trouve :

  • BlackHole ExploitKit dont l'auteur Paunch a été arreté en 2013, ce dernier a été le plus populaire de 2011 à 2013.
  • Angler ExploitKit a été créé pour remplacer BlackHole ExploitKit et est devenue le Web ExploitKit, le plus populaire utilisé. En 2014, on estime son utilisation à 22% et supporterait plus de 30 vulnérabilités différentes [2] -
  • Magnitude Web ExploitKit
  • Nuclear Web ExploitKit
  • Neutrino Web ExploitKit
  • Fiesta Web ExploitKit

Ces Web ExploitKit permettent de filtrer en amont les ordinateurs ciblées, par exemple, il est possible de ne pas infecter certains pays, détecter les antivirus ou l'utilisation de réseau TOR/VPN (utilisé par les chercheurs).

Ils offrent aussi un panneau de gestion, avec les statistiques d'infections, par pays, version des navigateurs/plugins etc.

Types[modifier | modifier le code]

Les exploits peuvent être classifiés par le type de faille qu'ils utilisent. Voici quelques-unes des failles les plus couramment exploitées :

Prévention et protection[modifier | modifier le code]

Le système d'exploitation et les logiciels doivent être mis à jour régulièrement par l'utilisateur, car la simple présence d'un logiciel non à jour peut suffire pour infecter l'ordinateur[2].

Notes et références[modifier | modifier le code]

  1. a et b Néologisme sémantique formé à partir du néologisme anglais exploit, qui découle du fait que ce type de logiciel « exploite » une faille de sécurité.
  2. a et b « Les Exploits sur les sites web piégés », sur Malekal.com,‎
  3. (en) Aleks, Kaspersky Lab Expert, « Myrtus and Guava, Episode MS10-061 », sur Securelist.com,‎
  4. (en) Julien Sobrier, « Analysis of multiple exploits », sur Zcaler.com,‎
  5. (en) Vicente Diaz, Marco Preuss, « Les Kits d'Exploit – sous une autre perspective », sur Viruslist.com,‎
  6. http://bugspy.net/exposer/

Voir aussi[modifier | modifier le code]

Sur les autres projets Wikimedia :

Articles connexes[modifier | modifier le code]