IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La détection des sites malveillants de plus en plus compliquée


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 503
    Points
    68 503
    Par défaut La détection des sites malveillants de plus en plus compliquée
    La détection des sites malveillants de plus en plus compliquée
    D'après un nouveau rapport de Google basé sur l'analyse des données de Safe Browsing



    Google vient de publier un nouveau rapport, fruit de quatre ans de lutte antimalware via son service « Safe Browsing » implémenté par défaut sur Chrome et Firefox, et sur d'autres navigateurs via des plug-ins.

    Cette étude démontre à quel point la détection des sites web et la prévention des attaques sont devenues compliquées, où les antivirus conventionnels s'avèrent inefficaces face aux nouvelles menaces.

    Le processus de détection se complique en raison de la variété des techniques d'évasion employées par les pirates. Des techniques conçues pour prévenir la détection et la catégorisation des sites en tant que malveillants, explique les auteurs du rapport.

    Les dix ingénieurs de Google, coopérateurs sur cette étude, se sont basés sur quatre années de données issues de l'analyse de 8 millions de sites et 160 millions de pages Web à partir de l'API (interface de programmation) Safe Browsing qui s'oppose à l'ouverture des sites suspects par des avertissements assez intrusifs.

    Google emploie à son tour une variété de méthodes de détection, comme passer à l'épreuve les sites dans une machine virtuelle et noter son comportement, ou encore utiliser des émulateurs de navigateurs qui enregistrent les séquences d'attaque.
    Ces émulateurs utilisent un parseur HTML et un moteur JavaScript open source modifié.

    Mais une nouvelle sorte simplifiée d'ingénierie sociale implique très peu l'utilisateur et ne nécessite de sa part qu'un simple clic de souris qui déclenche la séquence de l'exploit ou exécute une attaque sur un navigateur non patché ayant une faille de sécurité connue.
    Le code malveillant ne se trouve souvent même pas sur la page avant ce clic, ce qui rend impossible la détection classique du malware.

    Une technique d'évasion que Google tente de contrecarrer en amenant ses machines virtuelles à cliquer intelligemment. Une solution pas aussi évidente qu'elle peut en avoir l'air.

    Une autre technique très prisée par les pirates, connue sous le nom « d'IP cloaking », corse aussi pour beaucoup la tâche de Google. Les sites malicieux qui l'emploient refusent de délivrer du contenu malicieux à certaines plages d'adresses IP, notamment celles connues pour être utilisées par des chercheurs en sécurité.

    En 2009, 200 000 sites répertoriés par Google employaient l'IP cloaking. Quelle solution ? Se procurer continuellement des adresses IP « non connues par l'adversaire ».

    Quant aux antivirus, leurs éditeurs seraient complètement dépassés par les évènements à en croire Google.
    Ces derniers, qui n'utilisent que les signatures des menaces comme moyen de détection, passent à côté des codes exécutables tassés, ou HTML/JS minifiés ou compressés pour passer inaperçus, et s'exécuter quand même.

    Bien que de plus en plus sophistiquée, cette méthode ne pourrait être utilisée efficacement pour détecter les menaces en temps réel, ajouté à cela, le fait que les « adversaires peuvent utiliser les antivirus comme des oracles (sic) avant de déployer leur code malicieux dans la nature »

    3 millions de ce genre d'alertes sont affichés par jour aux 400 millions d'utilisateurs qui utilisent un navigateur ou un plug-in compatible Safe Browsing.

    Mais ce n'est certainement pas assez.


    Le rapport détaillé est disponible en téléchargement (PDF, 300 Ko)

    Source : Google

  2. #2
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    830
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 830
    Points : 2 604
    Points
    2 604
    Par défaut
    La ou je rejoins l'article, c'est au sujet des antivirus...

    Cela fait bien longtemps que je n'ai plus vu de virus du genre qui infecte un ficher pour se reproduire à l'action. Le dernier que j'ai vu était un pseudo virus qui activait l'attribut "caché" des fichiers et dossier, se dupliquait en donnant à sa copie le nom du fichier/dossier et faisait 2-3 manips dans windows, comme empêcher l'accès à certains trucs.
    Le genre de bidules que je fait sauter à la main...

    Et le truc marrant, c'est que tous les messages msn/mails infectés que j'ai pu recevoir sont envoyés par des gens qui utilisent un antivirus (le par défaut de la machine souvent) ce qui montre bien un certain dépassement.


    Par contre, je suis pas entièrement d'accord sur le passage des antivirus.
    Ils utilisent effectivement la détection de signature en arme principale, mais ce n'est pas la seule, cela ferait longtemps qu'ils auraient mis la clé sous la porte, notamment à cause des virus polymorphes et autres saletés auto-modifiées.
    C'est d'ailleurs probablement ce qui explique la consommation de ressources de plus en plus extravagante de ces outils.

  3. #3
    Membre actif
    Homme Profil pro
    Première S
    Inscrit en
    juillet 2010
    Messages
    266
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Première S

    Informations forums :
    Inscription : juillet 2010
    Messages : 266
    Points : 278
    Points
    278
    Par défaut
    en effet, les moyens sont tellement multiples ... et difficilement détectable pour certains. Un site "d'apparence très bien" peu très bien récupérer les mots de passes que les gens entre pour s'inscrire, et comme la plupart des gens utilisent le même mot de passe ... ça devient d'une simplicité enfantine pour piraté une boite mail par exemple.
    L’utilisateur lambda arrive, entre son mail et son mot de passe ...
    Et dans 80% des cas, le mot de passe est le même que celui de la boite mail.

    Et comment détecter n site de ce genre ?!
    c'est pas facile du tout pour ne pas dire impossible ...

    Le genre de bidules que je fait sauter à la main...
    c'est ce que je me disais, jusqu'au jour ou je me suis fait infecter par un virus de ce genre, qui m'a tout bloqué, même l'anti-virus et le gestionnaire des tâches ! Je ne sait pas comment il s'y est pris, sans doute un applet java qi m'a balancé un virus, toujours est-il que j'ai cliqué sur un lien Google, un lien où il étant question de thermodynamique (d'allure honnête quoi).
    j'avais à peine cliqué que je me suis retrouvé sur une capture vidéo de l'explorateur window ... je me suis laissé prendre au piège en me demandant où j'étais, et pendant ce temps, le virus à bousillé Avira Antivir, puis toutes les applications ... j'ai réussi à m'en sortir en redémarrant plusieurs fois, jusqu'à ce que je puisse ouvrir le gestionnaire des tâches avant que le virus ne se lance ...

    tout ça pour dire qu'on est jamais à l'abri ...

Discussions similaires

  1. Windows Azure : plus simple, plus flexible, plus ouvert
    Par Gordon Fowler dans le forum Microsoft Azure
    Réponses: 2
    Dernier message: 08/06/2012, 21h44
  2. Réponses: 0
    Dernier message: 23/08/2011, 00h43
  3. Mauvaise gestion des sites malveillants
    Par fiduce dans le forum Firefox
    Réponses: 1
    Dernier message: 02/05/2010, 18h05
  4. Réponses: 0
    Dernier message: 17/09/2009, 21h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo