détecter et supprimer les logiciels espions

Pirater un réseau Wifi sécurisé par une clé WEP en moins de 5 minutes
BackTrack

J'ai voulu tester le niveau de sécurité du Wifi de ma box qui était protégée par une clé WEP. et il m'a suffit de quelques minutes seulement pour cracker ma propre clé WEP !
Sans trop rentrer dans les détails et dans les codes à taper, voici les grandes étapes pour casser une clé WEP :

1. Récupérer la distribution Backtrack v2.0 final. Graver l'ISO et booter sur le cd live.
2. Détecter votre interface wifi et la sélectionner.
3. Scanner les réseaux wifi afin de repérer le réseau qui vous intéresse.
4. Repérer un des ordinateurs du réseau et se faire passer pour lui en utilisant son adresse "mac".
5. Capter un peu du traffic pour récupérer des paquets de données.
6. Stimuler le réseau pour agmenter le nombre de paquets qui transitent. Plus le traffic est grand et plus le décryptage de la clé sera rapide.
7. La clé WEP s'affiche en quelques minutes !

J'ai volontairement simplifié les explications afin de décrire la démarche générale. C'est relativement simple si l'on suit les explications.
La fiabilité d'une clé WEP est donc consternante. Alors, plus d'hésitation, , abandonnez votre clé WEP pour passer à une clé WPA qui est très nettement plus fiable !

Attention, il est strictement interdit de hacker le wifi de son voisin. Vous encourez de fortes peines de prison et des amendes. Ce tutoriel n'a qu'une valeur pédagogique et n'est possible que si vous êtes le propriétaire du réseau ou si vous avez un accord de son propriétaire.

Vous trouvez votre ordinateur plus lent que d'habitude, avec un comportement parfois étrange ? Vous êtes très certainement en présence d'un logiciel espion ou spyware dont le but est de collecter des informations sur vous.

Installés le plus souvent à votre insu, les logiciels espions peuvent également fonctionner de manière invisible. Il est donc important d'examiner son ordinateur, même si tout vous semble normal.

Les logiciels espions sont souvent fournis avec des freewares ou des sharewares téléchargés sur Internet. Bien entendu, la plupart de ces mouchards s'installent sans vous demander votre avis.

Les logiciels espions sont à l'origine de nombreux problèmes : non respect de la vie privée, failles de sécurité, plantage de votre ordinateur, etc...

Voici donc le guide pour détecter et supprimer les logiciels espions qui se trouvent à votre insu sur votre ordinateur et éviter d'en installer de nouveaux.

Le problème des logiciels espions

• Non-respect de la vie privée

S'il n'est pas surprenant que des logiciels basés sur la publicité utilisent votre connexion pour télécharger des publicités, cela le devient lorsque l'on sait que de nombreux logiciels espions en profitent pour récupérer des données vous concernant comme votre historique de navigation ou vos favoris.

Mais le plus inquiétant est que rien n'empêche ces programmes de faire ce qu'ils veulent : capturer tout ce que vous saisissez au clavier, modifier votre page d'accueil, surveiller les sites que vous visitez, etc...

Ainsi contrairement aux sites Web qui peuvent récupérer des informations limitées sur vous (navigateur, système d'exploitation, origine géographique, date de dernière visite) par l'intermédiaire de votre navigateur Web et les protocoles Internet, les logiciels espions peuvent récupérer n'importe quelles données sur vous, ces informations pouvant ensuite être par exemple vendues à des tiers peu scrupuleux.

• Comportement agressif

Lorsqu'un logiciel espion est installé sur votre ordinateur, il fonctionne même si l'application avec laquelle il était livré n'est pas ou plus utilisée. Ceci consomme des ressources système, mais également de la bande passante et peut causer des ralentissements, voir des plantages.

Afin d'éviter leur suppression, certains spyware n'hésitent pas à masquer leur processus pour ne pas qu'ils apparaissent dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !

• Failles de sécurité

Un logiciel espion a tout simplement les mêmes privilèges que l'utilisateur qui l'a installé (volontairement ou non). Sur des systèmes mono-utilisateurs comme Windows 95, 98 ou Me, le logiciel espion peut donc lire, écrire et supprimer n'importe quel fichier, télécharger et installer des programmes, communiquer avec des périphériques, voir même formater votre disque dur. Windows 2000, XP et Vista permettent de limiter le comportement des logiciels espions si l'utilisateur a des privilèges limités.

Malheureusement, si l'installation du logiciel espion a eu lieu sous un compte Administrateur, alors ce dernier à tous les droits. Cela ouvre la porte aux pirates qui peuvent ainsi exécuter n'importe quel programme sur votre machine.

Eviter les logiciels espions

Pour ne plus installer de logiciels espions sur votre ordinateur, quelques précautions sont à prendre.

• Lorsque vous surfez sur Internet

Lorsque vous naviguez sur Internet et qu'une fenêtre d'Avertissement de sécurité apparaît, prenez garde avant de cliquer sans réfléchir sur le bouton Oui. En effet, des logiciels espions utilisent ce moyen pour s'installer. Répondez-donc Oui Apple, Microsoft, Sun, etc.

uniquement si vous êtes sur un site digne de confiance comme

Ne répondez JAMAIS Oui à une telle fenêtre si elle apparaît sur un site illégal ou peu recommandable (crack, warez, x, etc...)

Avant même de télécharger un logiciel, renseignez vous pour savoir s'il contient des spyware.

Les moteurs de recherche et les forums de discussion sont de bon moyens d'avoir rapidement cette information. Si les mots Adware ou Spyware apparaissent dans la description du programme, il y a de fortes chances pour qu'il contienne un mouchard.

Peu de personnes lisent le contrat de licence qui apparaît à l'installation d'un logiciel, mais il peut parfois vous mettre la puce à l'oreille sur la présence d'un mouchard. Ainsi, un petite phrase comme : "peut contenir un logiciel vous avertissant occasionnellement d'informations importantes", "may include software that will occasionally notify you of important news" est sans équivoque.

Durant le processus d'installation, il peut également vous être demandé d'installer un autre programme (Gator par exemple) obligatoire si vous souhaitez utiliser votre logiciel. Le fait de répondre Non arrête l'installation.

Malgré ces précautions, il n'est pas impossible que des logiciels espions passent au travers du filet et s'installent à votre insu. Votre ordinateur contient d'ailleurs certainement des mouchards sans que vous vous soyez rendu compte de quelque chose.

Pas de panique, vous pouvez à tout instant les détecter et les supprimer facilement. Suivez le guide.

Détectez et supprimez les logiciels espions

De nombreux outils existent pour détecter les logiciels espions sur votre ordinateurs et pour les supprimer. Nous effectuerons les manipulations suivantes avec Ad-Aware qui est un utilitaire gratuit, simple d'utilisation et qui plus est en français.
Ad-Aware scanne la mémoire de votre ordinateur, votre base de Registre et vos disques durs à la recherche de ces parasites.

Les étapes suivantes vous permettront de configurer correctement Ad-Aware puis d'analyser votre ordinateur à la recherche de logiciels espions pour les supprimer.

Voici quelques réglages et astuces pour aller plus loin et mieux utiliser Ad-Aware.

Pour pouvoir continuer à travailler confortablement en même temps qu'Ad-Aware analyse votre ordinateur, vous pouvez le faire fonctionner en arrière-plan.

Si vous souhaitez laisser sur votre ordinateur un objet détecté comme un spyware, un cookie par exemple, il est inutile de le faire apparaître à chaque fois dans le résultat des analyses. Dans cette dernière, cliquez sur l'objet en question puis cliquez sur le bouton Ignorer.

Tout d'abord il va falloir
-Un système linux et un système Windows.

Vous avez aussi la possibilité du multiboot (Windows+Linux),
Vous pouvez installer un PC virtuel avec virtualBox, Virtual PC et VMWARE

VirtualBox qui est efficace et gratuit 1er choix
Vmware c'est le roi
Virtual PC est aussi bien

Nous allons commencer avec le cracking. Nous allons choisir 2 logiciels en shareware que nous allons essayer de convertir de version d'essai en version fully registered avec un numéro de série.

Il faut aller sur ce lien et télécharger Startclean (StartCln.zip )

http://193.125.152.107/pub/windows/desktop/

C'est un logiciel simple à exploiter . (pour WINDOWS)

Une fois le fichier téléchargé, on extrait le zip et on se retrouve avec 4 fichiers. On le lance pour voir c'est quoi le but du cracking. On a unne fenêtre (nagscreen) qui vient nous demander d'enregistrer le logiciel ...
quand on essaye d'enregistrer avec unnom et de rentrer un numéro de série au hazard,
Name:BBOY
Code12345678

On se retrouve avec le message: "Incorrect code"

Maintenant il nous faut bien un bon programme pour le cracking.

Il faut aller ici : http://www.ollydbg.de/

Télécharger ollydbg110.zip

On extrait ollydbg et on le lance. Une fois lancé on ouvre le fichier exe extrait du premier zip. (Dans Olly file - open, starcln.exe). On se retrouve avec l'interface de olly. 4 fenêtres.

La fenêtre du code est celle qui nous interesse. celle qui commence

00404544 |. C705 EC654000 >MOV DWORD PTR DS:[4065EC],0

Il est fort probable que l'offset d'un cpu à un autre selon le système ne soit pas le même. C'est tout de même rare pour un programme non compacté.

Okay, maintenant il faut juste cliquer dans la fenêtre du code avec le bouton droit de la souris, et "search for" - "All referenced Txt strings"

Dans la nouvelle fenêtre qui s'ouvre, il faut aller sur cette ligne

004027C5:........ ASCII "Incorrect code!"

On se positionne sur la ligne et on appui sur F2 (Toggle breakpoint) ce qui aura pour but de nous ramener sur cette ligne à l'exécution du code qui fait appel à ce message.

Nous appuyons ensuite sur F9 pour exécuter le programme. Nous nous retrouvons avec la fenêtre de startclean (the register window) nous

essayons avec d'enregistrer avec

Name:BBOY
code: 12345678

name: Mike2005
code: 12345678

Ok, et boom, nous voila dans Ollydbg, devant le code d'appel au message

004027C1 6A00 PUSH 0 ; /Style = MB_OK|MB_APPLMODAL
004027C3 6A00 PUSH 0 ; |Title = NULL
004027C5 68AC PUSH startcln.004063AC ; |Text = "Incorrect code!"
004027CA 56 PUSH ESI ; |hOwner
004027CB FF15 CALL DWORD PTR DS:[<&USER32.MessageBoxA>

et si nous remontons quelques lignes,

00402799 E8 B2E9FFFF CALL startcln.00401150 (le call du code)
0040279E 83C4 04 ADD ESP,4
004027A1 85C0 TEST EAX,EAX
004027A3 74 1C JE SHORT startcln.004027C1

00402799 E8 B2E9FFFF CALL startcln.00401150
cette ligne nous amène tout droit dans le code qui calcule notre serial.

On se positionne dessus et on appuie sur F2. ensuite F9 pour exécuter.
"incorrect code" on inscrit (name - serial puis on appuie register)
On atterit dans Olly, sur la ligne

00402799 E8 B2E9FFFF CALL startcln.00401150

On appuie sur F7, ce qui nous amène dans le CALL
On appuie sur F8 jusqu'à la ligne

004011B5 |. 8D4424 10 LEA EAX,DWORD PTR SS:[ESP+10]
-Name stocké ici dans EAX (fenêtre de Registres)

004011D6 |. 8D4424 18 LEA EAX,DWORD PTR SS:[ESP+18]
-code stocké ici dans EAX (fenêtre de Registres)

Quand on arrive sur cette ligne,
004011D6 |. 8D4424 18 LEA EAX,DWORD PTR SS:[ESP+18]

On appuie une fois sur F8 et STOP.

Regardons bien comme par miracle, notre numéro de série s'affiche en clair dans EAX

004011C7 68 30604000 PUSH startcln.00406030 ; ASCII "706-6106-1959-385" (serial)
004011CC 68 30614000 PUSH startcln.00406130 ; ASCII "BBOY"

004011C7 |. 68 30604000 PUSH startcln.00406030 ; ASCII "1284-11886-1167-241" (serial)
004011CC |. 68 30614000 PUSH startcln.00406130 ; ASCII "Mike2005"

004011C7 |. 68 30604000 PUSH startcln.00406030 ; ASCII "3204-31086-1519-305" (serial)
004011CC |. 68 30614000 PUSH startcln.00406130 ; ASCII "DOUALA-BAMENDA-YAOUNDE"

ET MAINTENANT
nous attaquons à un programme de modélisation de construction navale.

Proteus Engineering FastShip (téléchargeable sur leur site)

Protection : Sentinel Hardware lock

Nous alllons procéder en deux phases. Notre objectif est de casser la protection, ce qui consiste à exécuter le programme sans le hardware lock.

Quand nous exécutons le programme, il ya un 2 messages
1. -could not load.....
2. -Local hardware lock not found (voici notre target)

olly va nous servir.

0050226C |. 66:8993 30040>mov word ptr [ebx+430], dx
00502273 74 46 je short 005022BB
00502275 |. 8BFE mov edi, esi
00502277 |. 83C9 FF or ecx, FFFFFFFF
0050227A |. 33C0 xor eax, eax
0050227C |. F2:AE repne scas byte ptr es:[edi]
0050227E |. F7D1 not ecx
00502280 |. 49 dec ecx
00502281 |. 66:3BCD cmp cx, bp
00502284 |. 66:898B 28040>mov word ptr [ebx+428], cx
0050228B 76 2E jbe short 005022BB (jump)
0050228D |. 81E1 FFFF0000 and ecx, 0FFFF
00502293 |. 51 push ecx
00502294 |. E8 2D401900 call 006962C6
00502299 |. 33C9 xor ecx, ecx
0050229B |. 8983 20040000 mov dword ptr [ebx+420], eax
005022A1 |. 66:8B8B 28040>mov cx, word ptr [ebx+428]
005022A8 |. 8BF8 mov edi, eax
005022AA |. 8BC1 mov eax, ecx
005022AC |. 83C4 04 add esp, 4
005022AF |. C1E9 02 shr ecx, 2
005022B2 |. F3:A5 rep movs dword ptr es:[edi], dword p>
005022B4 |. 8BC8 mov ecx, eax
005022B6 |. 83E1 03 and ecx, 3
005022B9 |. F3:A4 rep movs byte ptr es:[edi], byte ptr>
005022BB |> 8B7424 28 mov esi, dword ptr [esp+28]
005022BF |. 3BF5 cmp esi, ebp
005022C1 74 4A je short 0050230D (jump)

00590F5C /0F85 A2030000 jnz 00591304 (jump)
00590F62 |. |F6C3 01 test bl, 1
00590F65 |74 17 je short 00590F7E
00590F67 |. |68 383D7800 push 00783D38 ; ASCII "No valid hardware lock present.",LF
00590F6C |> |8D4424 18 lea eax, dword ptr [esp+18]

00591309 /75 12 jnz short 0059131D (jump)
0059130B |. |68 FC367800 push 007836FC ; ASCII "Running in DEMO MODE"
00591310 |. |68 A4287B00 push 007B28A4
00591315 |. |E8 8E700E00 call 006783A8
0059131A |. |83C4 08 add esp, 8
0059131D |> \8D4C24 14 lea ecx, dword ptr [esp+14]

#Les modifs à apporter#

1. 0050228B 76 2E jbe short 005022BB (saut obligatoire)
Remplacer 76 2E par EB 2E

2. 005022C1 74 4A je short 0050230D (saut obligatoire)
Remplacer 74 4A par EB 4A

3. 00590F5C /0F84 A2030000 jnz 00591304 (saut obligatoire)
Remplacer 0F 84 par 0F 85

4. 00591309 /75 12 jnz short 0059131D (saut obligatoire)
Remplacer 75 12 par EB 12

Maintenant le programme devrait s'exécuter sans le hardware lock.

Ce schéma met en relation les différentes méthodes avec des exemples d'attaques courantes.

Ce qui suit donne quelques explications des termes employés dans le schéma ci-dessus ainsi que d'autres techniques employées par les pirates informatiques.

Les attaques par Denial Of service (souvent abrégé DoS, en français Déni de service) consistent à paralyser temporairement (rendre inactif pendant un temps donné) des serveurs afin qu'ils ne puissent être utilisés et consultés. Elles sont un fléau touchant tous serveurs (Lan, Wan...) mais aussi tous particuliers reliés à l'Internet via les protocoles de la suite TCP/IP. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais de nuire à des sociétés dont l'activité repose sur un système d'information en l'empêchant de fonctionner.

D'un point de vue technique, ces attaques ne sont pas très compliquées, mais ne sont pas moins efficaces contre tout type de machine possédant un système Windows 9* / NT, unix / linux, solaris et bien d'autres... En effet, les attaques par déni de service n'exploitent non pas les failles d'un système d'exploitation particulier, mais celle de l'architecture TCP/IP. Les attaques par déni de service consistent en un envoi de paquets IP de taille excessivement importante, ce qui a pour cause la saturation de la machine victime, qui ne peut plus assurer les services réseaux qu'elle propose (d'où le terme déni de service).

La technique du Denial Of Service
Il n'y a pas de technique à proprement dite dans ce type d'attaques. Pour être précis, le DoS se fait par le biais de l'envoi d'un datagramme IP de 65536 octets fabriqué grâce à la fragmentation. Une fois le datagramme refragmenté sur l'hôte distant on obtiendra un débordement de mémoire (communément appelé Buffer overflow) provoquant un plantage de la machine...

Une technique de déni de service : le "smurf"
La technique du "smurf" est basée sur l'utilisation de serveurs broadcast pour paralyser un réseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes sur le même réseau que lui. Le scénario d'une attaque est le suivant :

L'émetteur envoi une trame Ip du type Icmp à l'adresse de broacast du réseau cible A. Voici le schéma de l'entête IP avec le champ « Type protocol » basé sur 1 octet ainsi que le positionnement du broadcast dans le champs « Ip Destination » basé sur 4 octets :

Lorsque la trame arrive sur le Lan du réseau cible A, tous les périphériques la réceptionnent et la considèrent. Cela est dû au fait quelle est destinée à l'adresse IP de broadcast signifiant « Pour tous le monde ». Ils l'interprètent tous individuellement comme ci elle leur était directement adressé.

Les périphériques du réseau cible A vont répondre à l'Ip source de la trame reçu correspondant à la cible B visé. La réponse sera bien sur envoyée n fois correspondant au nombre d'hôte sur le LAN répondant au broadcast.

Voici une capture de trame réalisée à l'aide de Sniffer Pro 4.70.04 montrant un ping sur l'adresse broadcast du réseau 210.169.164.0/24. Vous pourrez remarquer les 73 réponses.

De cette façon, l'essentiel du travail de l'attaquant consiste à trouver une liste de tous les serveurs broadcast et d'arriver à falsifier l'adresse de réponse afin de les diriger vers la machine cible.

Se protéger d'un DoS
Pour ce protéger de ce type d'attaque, il faut récupérer sur Internet des correctifs logiciel conçus par des groupes spécialisés.

Lors d'une connexion TCP, le client et le serveur échangent des données et des accusés de réception pour établir la connexion. On appelle ce mécanisme la poignée de main en trois temps.

Toutefois ce mécanisme possède une faiblesse lorsque le serveur renvoie un accusé de réception (SYN-ACK) mais ne reçoit aucun accusé (ACK) en provenance du client. Dans ce cas, le serveur crée une structure de données contenant toutes les connexions ouvertes (et occupant de la place en mémoire).

S'il est vrai qu'il existe un mécanisme d'expiration permettant de fermer des connexions ouvertes pendant un temps trop long, et ainsi libérer de la mémoire, il est possible pour un agresseur de saturer la mémoire rapidement en envoyant suffisamment rapidement des paquets SYN. D'autre part, le système agresseur fournit généralement une adresse de retour d'un ordinateur n'étant pas capable de répondre. Il est ainsi très difficile de savoir d'où provient l'attaque...

Le mail bombing consiste à envoyer plusieurs milliers de messages identiques à une boîte aux lettres pour la faire saturer. En effet les mails ne sont pas directs, ainsi lorsque l'on relève le courrier, celui-ci mettra beaucoup trop de temps et la boîte aux lettres sera alors inutilisable...

Le flood consiste à envoyer très rapidement de gros paquets d'information à une personne (à condition d'avoir un PING, c'est-à-dire le temps que met l'information pour faire un aller retour entre 2 machines, très court). Ainsi, la personne visée ne pourra plus répondre aux requêtes. Pour éviter le flood, une solution consiste à ne pas divulguer son adresse IP.

Qu'est-ce que le spoofing IP?
Le spoofing IP est une technique permettant à un hacker d'envoyer à une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du hacker. Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade (il s'agit du terme technique) de l'adresse IP au niveau des paquets émis, c'est-à-dire que les paquets envoyés sont modifiés afin qu'ils semblent parvenir d'une machine.

Certains tendent à assimiler l'utilisation d'un proxy (permettant de masquer d'une certaine façon l'adresse IP) avec du spoofing IP. Toutefois, le proxy ne fait que relayer les paquets. Ainsi, même si l'adresse est apparemment masquée, un pirate peut facilement être retrouvé grâce au fichier journal (logs) du proxy.

Comme l'indique le schéma ci-dessus, la technique du spoofing (difficile à mettre en œuvre) peut permettre à un pirate de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de filtrage de paquets. En effet, un FireWall fonctionne grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes. Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera transmis à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le FireWall.

Annihiler la machine spoofée
Dans le cadre d'une attaque par spoofing, l'attaquant n'a aucune information car les réponses de la machine cible vont vers une autre machine du réseau (on parle alors d'attaque à l'aveugle ou "blind attack" en anglais).

Lorsque la machine cible va recevoir le paquet spoofé, cette dernière va envoyer un accusé de réception à l'adresse IP de la machine spoofée (l'adresse IP modifiée dans le champ source du datagramme IP), et la machine spoofée va répondre avec un paquet TCP dont le drapeau RST (reset) est non nul, ce qui mettra fin à la connexion.

De plus, la machine spoofée prive le hacker de toute tentative de connexion, car elle envoie systématiquement un drapeau RST à la machine cible. Ainsi, le travail du hacker consiste alors à invalider la machine spoofée en la rendant injoignable pendant toute la durée de l'attaque.

Prédire les numéros de séquence
Lorsque la machine spoofée est invalidée, la machine cible attend un paquet contenant l'accusé de réception et le bon numéro de séquence. Tout le travail du pirate consiste alors à "deviner" le numéro de séquence à renvoyer au serveur afin que la relation de confiance soit établie. Pour cela, les pirates utilisent généralement le source routing, c'est-à-dire qu'ils utilisent le champ option de l'en-tête IP afin d'indiquer une route de retour spécifique pour le paquet. Ainsi, grâce au sniffing, le pirate sera à même de lire le contenu des trames de retour...

Ainsi, en connaissant le dernier numéro de séquence émis, le pirate établit des statistiques concernant son incrémentation et envoie des accusés de réception jusqu'à obtenir le bon numéro de séquence.

Un ver est un agent autonome capable de se propager à l'intérieur de la mémoire d'un ordinateur passant d'un système à l'autre grâce au réseau informatique.

Son mode de propagation est cependant redoutable : le vers effectue une commande interne qui recherche d'autres serveurs reliés à Internet pour ensuite les infecter. Historiquement, le premier programme de type "vers", apparu en 1971, était destiné à faciliter l'utilisation d'un réseau en récoltant de l'information d'un poste à un autre. Ce programme ne se répliquait pas.

Depuis, le terme "vers" a évolué, et on l'accorde maintenant à certains programmes dont le but n'est pas de récolter de l'information mais bien de la détruire, à l'image des virus, tout en gardant un type de propagation basé sur l'utilisation d'un réseau informatique. Ces nouveaux vers se connectent au système d'exploitation en utilisant des trous de sécurité. Les vers sont désormais utilisés par des hackers malicieux pour attaquer un maximum de sites en peu de temps, sans suivi réel de l'attaque. C'est un bon moyen de diversion pour une intrusion plus subtile...

On appelle "Cheval de Troie" un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté. Un peu comme le virus, le cheval de Troie est un programme nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au lieu d'en afficher la liste).

Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière).

Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande ou n'importe quel appel au système.

Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donnée. Les scanners servent pour les crackers à savoir comment ils vont procéder pour attaquer une machine. Leur utilisation n'est heureusement pas seulement malsaine, car les scanners peuvent aussi permettre de déterminer quels sont les ports ouverts sur une machine pour prévenir une attaque.

Un sniffer est un petit dispositif, logiciel ou matériel, qui permet de "voir" les informations qui transitent par la machine où il se trouve. Il ne sert pas seulement à capturer le texte saisi sur la machine mais toutes les informations provenant des machines du réseau passant par la machine en question. Le sniffer peut ainsi servir à déceler les failles de sécurité, mais il peut aussi être utilisé de façon malveillante (pour intercepter les mots de passe du réseau par exemple).

SPYWARES: le pourquoi et le comment des programmes espions

En premier lieu, il est bon de préciser que les spywares ou espiogiciels ne sont nullement des virus car ils ne visent pas à détruire les données de votre machine. Ce sont simplement des logiciels qui communiquent à votre insu vos données personnelles voire même dans le pire des cas, qui utilisent une partie de vos ressources systèmes.

Le spyware est donc un petit programme intégré dans un logiciel, souvent gratuit, dont le but est d'épier vos habitudes de travail et centres d'intérêts et de les communiquer à un tiers (créateurs et éditeurs de logiciels, sociétés marketing, régies publicitaires) qui en fait usage afin de vous proposer des services marketing ou des publicités ciblées non sollicitées. L'adware quant à lui se borne à afficher des bannières publicitaires souvent gênantes sur votre écran lors de la navigation Internet. Certains programmes gratuits comme Kazaa, pour ne citer que le plus connu, contiennent à la fois des spywares et des adwares.

Enfin, le troisième type de logiciel espion est le dialer, un logiciel qui contacte, sans vous demander votre avis, un autre site via une connexion téléphonique avec un numéro surtaxé ! Généralement, vous tomberez sur des dialers en parcourant des sites à caractère pornographique ou aux contenus illégaux (sites de logiciels pirates, warez, crackz).Ce qui n'est nullement le cas du site hackermocking-carte.com, bien entendu.

Pour résumer, les spywares, adwares et dialers prennent places sur vos machines lors de l'installation de programmes (freewares, sharewares, CD et DVD de certains magazines) et lorsque vous naviguez sans être bien " protégé ".

Point de vue légal et fonctionnement économique des dispositifs intrusifs:

D'un point de vue légal, lorsque l'utilisateur lambda installe un logiciel, la licence d'utilisation l'informe à l'avance sur la présence d'un ou de plusieurs spywares, donc il n'y a aucun problème juridique ! Cependant, il faut nuancer la chose car les clauses concernant le traitement automatisé de l'information personnelle sont bien souvent écrites en petits caractères illisibles, en anglais, traduction approximative de l'anglais vers le français, voire même absentes ! En fait, comme le précise la Commission Nationale de l’Informatique et des Libertés (CNIL), le spyware devient en soi illégal lorsqu'il n'y a pas eu de consentement exprès, c'est-à-dire un accord qui exprime formellement la volonté de la part de l'utilisateur.

(Confidences pour confidences)

Le fonctionnement économique qui se dissimule derrière les espiogiciels est très facile à comprendre. Ce sont des sociétés (Altnet, Brillant Digital Entertainment, Cydoor…) qui rémunèrent certains éditeurs de logiciels payants ou gratuits pour y introduire leurs logiciels espions ou bannières publicitaires. Le but de ces sociétés est de glaner un maximum d'informations sur vos habitudes de navigation Internet, vous cibler géographiquement, voir l'utilisation que vous faites de votre ordinateur, les programmes que vous utilisez le plus fréquemment. Toutes ces informations collectées servent à alimenter les bases de données de sociétés (éditeurs, PME, services marketing…) et d'établir des profils ciblés, destinés à leur usage personnel ou à la revente à des tiers qui en feront usage. Tout ceci, bien entendu, pour vous vendre des services adaptés sous forme d'emails non sollicités (spams), vous inciter à la consommation de produits commerciaux ou encore à la fréquentation d'autres sites avec des fenêtres pop-up qui s'affichent au-dessus et pop-unders en dessous.

Pourquoi les spywares / adwares sont-ils acceptés par les éditeurs et sites Internet ? Tout simplement parce que les éditeurs de logiciels comme Sharman Networks, éditeur du célèbre KaZaA, Speedbit Ltd. pour son accélérateur de téléchargement Download Accelerator Plus ou encore Microsoft et son MSN Plus, vivent largement du reversement de la publicité. Ces concepteurs et éditeurs perçoivent une rétribution qui varie en fait selon le nombre d'installations des programmes. En gros, plus un programme sera utilisé et téléchargé et plus les spywares qui l'accompagnent le seront aussi. Donc, en conséquence, plus généreuse en sera la rémunération pour l'éditeur !

Voici quelques antispywares gratuits parmis les meilleurs testés et analysés pour vous ainsi que la possibilité de les télécharger en ligne:

Plus de 50 000 menaces détectées et éradiquées. Le but d' Arovax Antispaywares est d'isoler et supprimer, les spywares, chevaux de Troie, cookies publicitaires, vers et autres clones néfastes de types " W32.xxx ". L'application se lance dès le démarrage et demeure active en résident pour une protection en continu. L'analyse est effective sur toutes les unités physiques locales (disques durs et lecteurs optiques). La détection est ultra-sensible et on peut parfois même lui reprocher de trouver des fausses menaces (notamment les utilitaires qui se mettent automatiquement à jour).

Le logiciel scanne les quatre zones sensibles de l'OS que sont la mémoire vive, la base de registre, les fichiers isolés et le cache du navigateur Web avec ses cookies. Les menaces découvertes sont mise en quarantaine même après que vous les ayez effacées, ce qui s'avère être une sécurité supplémentaire en cas de retour en arrière. Pour les réglages, rien de sophistiqué. L'exécution en ouverture de session Windows, le rapatriement de mises à jour et de news (mise à jour du moteur notamment) et la possibilité de mettre l'interface en français mais malheureusement pas l'aide en ligne.

Parmi les petits plus, on apprécie le planificateur d'analyse, les rapports de scan (journal log). La force d'Arovax repose sur les contributions et commentaires de la communauté en ligne Avorax Community Forum. Les membres participent à l'amélioration du moteur et proposent les solutions adéquates et les mesures à adopter en cas d'attaque.

Arovax Antispyware
Editeur : Arovax
Version : 2.1.153
Site de téléchargement : www.arovaxantispyware.com

Dès le départ, il faut préciser que le module de contrôle en tâche de fond, les mises à jour automatiques, le planificateur de tâches et l'utilitaire HiJackFree ne sont pas inclus dans cette version gratuite de A-squared Free. Pour en bénéficier, il faudra s'orienter vers a-squared Anti-Malware, plus exhaustif.

De quoi dispose-t-on dans cette version gratuite, alors ? D'une application qui scanne toutes les unités disponibles et qui éradique principalement les logiciels malveillants (virus et vers) et des mises à jour manuelles. Les analyses se font par le biais du menu contextuel de la souris ou via l'interface totalement francisée et conviviale.

La chasse aux spywares, adwares, bots, dialers, trojans et vers s'effectue en mode Rapide (tous les programmes actifs, logiciels espions et cookies), en scan Rusé (le plus important uniquement), en Détail (scan lent et de tous les fichiers de tous les lecteurs) et Perso (à configurer soi-même donc). Le troisième mode est lent, certes mais aussi redoutable ! En règle générale l'analyse se déroule en trois temps. La mémoire vive d'abord, la base de registre ensuite et dernièrement les fichiers qui sont passés au crible. A la manière d'un antivirus, les menaces sont déplacées en zone de quarantaine. A vous ensuite de choisir ou non de les supprimer définitivement. L'application est peaufinée dans les moindres détails, même l'aide en ligne est traduite en français !

Editeur : Emsi Software GmbH

Version : 3.1.0.20

Site de téléchargement : www.emsisoft.net/fr/software/free/

Les plus

Antispyware redoutable et efficace
Analyse basique, rusée ou détaillée

Les moins

Pas d'anti-hijack, ni de module résident en mémoire
Scan lent et gourmand en ressources système

AVG Anti-Spyware Free Edition fait pratiquement tout, bouclier résident, scanner ponctuel, analyses programmées, mises à jour automatiques, passage en revue de tous les fichiers (archives compressées y compris), détection de publiciels (adwares), cookies néfastes, riskwares (néologisme de Grisoft pour désigner les logiciels à risques) et dialers (numéroteurs téléphoniques via un modem RTC). Tout comme sa version antivirus gratuit , l'analyse heuristique qui prévient contre les menaces encore inconnues est également présente. Cinq niveaux de " scans " sont possibles. L'analyse complète (mémoire, registre et disques durs), le rapide (Windows et le dossier des cookies), celle du registre, l'analyse de la mémoire et l'analyse personnalisée (création de profil et ajout des dossiers et postes réseaux éventuellement).

Avec plus d'un millions de signatures, c'est un euphémisme de dire que la détection est puissante ! Les malveillants sont classiquement placés en quarantaine, ignorés une fois ou supprimés selon votre volonté. Et, pour éviter des fausses menaces, vous pouvez même créer des règles d'exclusions (par extension de fichiers, dossiers…). En plus de tout cela, l'utilisateur dispose d'un générateur de rapports et d'une analyse des processus résidents ultra-poussée (programmes actifs, surveillance des ports de communication, scan des programmes qui se lance au démarrage de session, analyse des plug-ins du navigateur (Adobe, Java, ActiveX…), visualiseur des fournisseurs de services en couche (LSP)). Un indispensable en somme !

AVG Anti-Spyware Free Edition
Editeur : Grisoft

Version : 7.5.1.43

Site de téléchargement : http://free.grisoft.com/doc/20/lng/us/tpl/v5

Lavasoft Ad-aware 2007 Free est l'un des plus anciens logiciels qui vous débarrasse des spywares, des chevaux de Troie, vers, malwares sur votre PC, mais surtout des cookies négatifs. Ad-aware s'est forgé au fil du temps une réputation de garant de la vie privée. Dans cette version gratuite, tout y est sauf la protection en temps réel, Ad-Watch, pour laquelle il faudra investir dans une version Ad-Aware Plus ou Ad-aware Pro. Comparé aux anciennes versions, il n'est plus nécessaire de télécharger un patch de traduction; la traduction en français est incluse. Chaque analyse mobilise autour de 80 Mo de mémoire vive contre 40 en moyenne pour ses concurrents. Heureusement, les réglages permettent un scan en arrière-plan !

Au programme, on retrouve l'analyse astucieuse (processus, registre, dossiers systèmes), une analyse dite complète (tout le système, tous les lecteurs locaux) et enfin une analyse personnalisée que l'on peut croire fonctionnelle mais qui est bel et bien absente dans la version Free. Les paramétrages vont très loin. Parmi les fonctions significatives on citera l'évacuation des LSP malicieux, l'analyse des archives compressées, le contrôle des fichiers clés dès l'ouverture de session, l'intégration dans Windows Explorer et le journal de rapport.

Ce n'est pas le meilleur Antispayware gratuit. Trop de modules sont inactifs dans la version personnelle gratuite. C'est le cas du planificateur d'analyse, du bouclier Web, de l'éditeur de fichiers hôtes (blocage des sites consacrés à la publicité).

Lavasoft Ad-aware 2007 Free

Editeur : Lavasoft

Version : 7.026

Site de téléchargement : http://www.lavasoft.fr/
Les plus

Bonne détection des spywares dans le cache du navigateur Web

Analyse des archives compressées (RAR, ZIP…)
Les moins

Trop peu de fonctions dans cette version

Lourdeur des analyses et occupation mémoire