IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

À partir de quel instant peut-on déclarer qu’une application est un malware ?


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    1 034
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 034
    Points : 25 326
    Points
    25 326
    Par défaut À partir de quel instant peut-on déclarer qu’une application est un malware ?
    À partir de quel instant peut-on déclarer qu’une application est un malware ?
    Talos tente de donner une réponse à cette question

    Les logiciels malveillants, tout le monde les fuit comme la peste. En général, lorsqu’un logiciel malveillant s’attaque à des fichiers, ou installe par exemple des portes dérobées sur un système, il est facile de l’identifier comme tel.

    Toutefois, l’identification devient beaucoup plus difficile lorsqu’on tombe dans le domaine de certains logiciels qui s’invitent sur les systèmes afin d’afficher des messages persistants comme de la publicité. Pourrait-on parler de logiciels malveillants dans un pareil cas ?

    Si un logiciel s’exécute sans le consentement d’un utilisateur ou utilise des techniques furtives pour contourner la sécurité d’un navigateur pourrait-on le classer dans la catégorie d’un logiciel malveillant ?

    Encore mieux, si un logiciel cache la détection d’une portion de son code interne en chiffrant les parties de sa charge utile, ou plus basiquement collecte et envoie des données à un tiers sans le consentement de l’utilisateur, pourrait-on parler de malwares ?

    Pour les chercheurs en sécurité du groupe Talos Group, « sans une norme claire définissant ce qui est et n’est pas acceptable, identifier des logiciels malveillants est problématique ». Définir les limites à partir desquelles une application peut être considérée comme un logiciel malveillant serait donc impératif si l’on ne veut pas tomber dans une confusion où tout est permis en raison de l’absence de standard.

    Microsoft pour sa part a adopté que, depuis le 1er juin de l’année en cours, les produits de sécurité de la firme détecteront comme malwares les programmes dotés de fonctionnalités de protection de recherche du navigateur. Selon Talos, c’est ce qui a conduit Oracle à supprimer l’option d’installation de la barre d’outils Ask.com qui était intégrée dans son plug-in Java.

    Aussi, pour se faire une idée personnelle du problème et présenter des conclusions éprouvées, les chercheurs de Talos ont analysé le comportement d’un générateur de pop-up nommé ‟Infinity Pop-up Toolkit”. C’est une partie d’un logiciel qui contourne les mécanismes de blocage des pop-up dans Google Chrome afin d’afficher des annonces publicitaires dans des fenêtres pop-up.

    Selon Talos, plusieurs annonceurs utilisent cette boite à outils afin de propager leurs offres promotionnelles sur la toile. Pour ce faire, ils intègrent la boite à outils Infinity Pop-up dans un fichier Flash et emmènent les utilisateurs à cliquer sur ce dernier en leur faisant croire qu’ils ont besoin d’exécuter une action nécessitant des privilèges JavaScript.

    En fait, le fichier SWF sert d’abri pour cacher le véritable comportement de programme Infinity Pop-up en le chiffrant dans un binaire de type Blob uniquement accessible à partir d’un domaine défini par l’auteur du programme. Lorsqu’il est exécuté, le code ActionScript décompresse et déchiffre le binaire blob présent dans le fichier SWF et qui contient en réalité la fonctionnalité d’affichage du pop-up en utilisant JavaScript dans la page.

    Une fois que cela est mis en œuvre, toutes les fois que l’utilisateur visite une page cachant un tel dispositif, celui qui contrôle le programme collecte un nombre important de données personnelles sur l’internaute. Ils comprennent entre autres la version du navigateur, le système d’exploitation, le plug-in supporté, le fuseau horaire de l’utilisateur, etc. Et si vous utilisez un bloqueur de pop-up, une alerte est retournée à l’annonceur afin de l’informer que vous utilisez un tel dispositif.

    Ces informations personnelles obtenues sans le consentement de l’utilisateur peuvent être transmises à des tiers malveillants. Pour beaucoup, cela faciliterait une attaque à distance de la machine qui a été espionnée.

    Il faut noter également que le programme Flash contenant Infinity popup intègre beaucoup de niveaux de complexité permettant d'interagir avec le DOM, exécuter les annonces en mode plein écran, etc.

    Au regard de ce qui précède, Talor Group conclut que « “Infinity Popup Toolkit” affiche un comportement qui traverse clairement la ligne afin d’entrer dans le royaume des logiciels indésirables ». Aussi « compte tenu des caractéristiques de ce fichier Flash, ses fonctionnalités et ses capacités, Talos a pris la décision de classer cette partie du logiciel comme un logiciel malveillant et de le bloquer ».

    Source : Blog Cisco

    Et vous ?

    Que pensez-vous de la conclusion de Talos ?

    Concevez-vous également que les générateurs de pop-up exécutés insidieusement sont des malwares ?

    Forum sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : mai 2013
    Messages : 2 511
    Points : 10 180
    Points
    10 180
    Par défaut
    Je vais peut-être être trop radical, mais pour moi, on pourrait limite classer comme Malware tout logiciel qui effectue une action sans le consentement de / sans avertir l'utilisateur ET/OU qui entreprend une action n'ayant aucun lien avec la tâche qu'il est sensé accomplir.

  3. #3
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 198
    Points : 7 390
    Points
    7 390
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Zirak Voir le message
    on pourrait limite classer comme Malware tout logiciel qui effectue une action sans le consentement de / sans avertir l'utilisateur
    Trop radical : il y a plein de tâches de fond exécutées sur un PC. Si on demande la confirmation (l'avertissement) pour tout, on n'a pas fini (de fermer les popups).

    Citation Envoyé par Zirak Voir le message
    on pourrait limite classer comme Malware tout logiciel [...] qui entreprend une action n'ayant aucun lien avec la tâche qu'il est sensé accomplir.
    Trop vague : dans l'absolu, tout est lié d'une manière ou d'une autre. D'ailleurs, les marketeux sont les mieux placés pour mettre en lien des choses qui ne le sont normalement pas. Tout est une question de formulation, et le langage naturel n'étant pas un langage formel il laisse justement la porte ouverte à ce genre de choses au travers des ambiguïtés, métaphores, etc.

    NB : censé

    Je salue l'idée de définir de manière stricte ce qu'est un malware, mais l'article ne semble pas fournir grand chose pour ce que j'ai pu en lire.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  4. #4
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : mai 2013
    Messages : 2 511
    Points : 10 180
    Points
    10 180
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Trop radical : il y a plein de tâches de fond exécutées sur un PC. Si on demande la confirmation (l'avertissement) pour tout, on n'a pas fini (de fermer les popups).


    Trop vague : dans l'absolu, tout est lié d'une manière ou d'une autre. D'ailleurs, les marketeux sont les mieux placés pour mettre en lien des choses qui ne le sont normalement pas. Tout est une question de formulation, et le langage naturel n'étant pas un langage formel il laisse justement la porte ouverte à ce genre de choses au travers des ambiguïtés, métaphores, etc.

    NB : censé

    Je salue l'idée de définir de manière stricte ce qu'est un malware, mais l'article ne semble pas fournir grand chose pour ce que j'ai pu en lire.
    Vu que dans l'article il était question des applications, je me suis contenté de ça, je n'allais pas jusqu'à parler des OS. Mais j'ai bien dit tout de même "qui n'est pas en lien avec la tâche qu'il est censé accomplir" donc effectivement si l'OS a besoin d'effectuer des actions en tâches de fond pour fonctionner, cela ne me choque pas, maintenant a-t-il besoin de transmettre tout ce qu'il y a d'installer sur ma machine à son éditeur, ou les recherches que je fais dans mon navigateur SANS me le demander ? Non.

    Et non, tout n'est pas plus ou moins lié, quand on voit le nombre d'autorisation demandé sur la plupart des applis mobiles ou des applications bureautiques qui envois des renseignements sans consentement, je ne vois pas en quoi c'est lié avec la tâche initiale ?


    Exemple bête : le rôle d'un GPS c'est de savoir où je me trouve, et de me dire comment aller à une adresse indiquée. En quoi a-t-il besoin de stocker tous mes déplacements, ou de les envoyés à un tiers ? Qu'il sauvegarde une adresse renseignée oui, qu'il sauvegarde mon point de départ, le jour et l'heure, non.

    Idem, pourquoi une application X ou Y sur Smartphone (admettons un jeu) à besoin d'avoir accès à mes photos ou autres ?

    Etc etc, c'est plutôt dans ce sens là que je l'entendais.

  5. #5
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 198
    Points : 7 390
    Points
    7 390
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Zirak Voir le message
    Exemple bête : le rôle d'un GPS c'est de savoir où je me trouve, et de me dire comment aller à une adresse indiquée.
    Partons là-dessus.

    Citation Envoyé par Zirak Voir le message
    En quoi a-t-il besoin de stocker tous mes déplacements
    - Parce que pour éviter de tout retaper à chaque fois, il faut sauvegarder les itinéraires déjà fait pour les reproposer
    - Parce qu'il n'a en mémoire que les règles générales, et que pour améliorer les suggestions de routes il peut utiliser un système à apprentissage basé sur tes habitudes
    - ...

    Citation Envoyé par Zirak Voir le message
    ou de les envoyés à un tiers ?
    - Parce qu'il n'a pas la puissance de calcul en local et nécessite donc de demander à un serveur de le faire pour lui
    - Parce que l'algorithme utilisé est secret et donc seul ce tiers est capable de fournir le résultat
    - Parce que l'environnement change et donc il faut faire savoir quand une carte n'est plus à jour en montrant où tu es passé alors qu'il n'y avait pas de route pour le GPS
    - Parce que le système peut apprendre plus vite an recevant les données d'autres utilisateurs (et donc ces utilisateurs -toi inclus- doivent les fournir)
    - ...

    Citation Envoyé par Zirak Voir le message
    Qu'il sauvegarde une adresse renseignée oui, qu'il sauvegarde mon point de départ, le jour et l'heure, non.
    - Avoir le point de départ te permet de dire "je veux faire le chemin inverse" facilement, sans avoir besoin de re-spécifier l'adresse d'où tu viens.
    - Avoir les jours et heures permet de faire des suggestions plus pertinentes (itinéraires que tu fais pendant la semaine vs pendant les vacances, itinéraires persos aux heures de pointes, etc.)
    - ...

    Tu peux toujours trouver des raisons. Et comme c'est le constructeur qui décide pourquoi il fait un produit, c'est lui qui décide de ce qui a du sens ou pas. Il peut introduire des fonctionnalités pour personnaliser, mais cela implique un coût à l'implémentation (design, compatibilité, etc.) et à l'utilisation (complexité, etc.). Enfin, l'utilité dépendant du contexte, un utilisateur trouveras toujours qu'une fonctionnalité à plus de sens qu'une autre, là ou un autre utilisateur pensera le contraire. Le constructeur quant à lui devra jouer sur une moyenne pour maximiser ses parts de marché (il ne va pas faire un produit différent pour chaque utilisateur).

    Donc non, même si ça peut te sembler clair que ton GPS n'a pas besoin de sauvegarder le jour et l'heure, pour d'autres utilisateurs les fonctionnalités s'appuyant dessus seront primordiales. Et c'est le constructeur qui décide des priorités pour ses produits selon le marché qu'il vise.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  6. #6
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : mai 2013
    Messages : 2 511
    Points : 10 180
    Points
    10 180
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Snip
    Bon ben si tout cela est tout à fait normal, je me demande donc bien pourquoi plein de monde s'inquiète sur ces histoires de droits à la vie privée, ou s'amuse à désactiver les nouvelles fonctionnalités "d'espionnage" de Windows 10 ou autres.

    Qu'un constructeur veuille des informations pour améliorer son produit, et me proposer des fonctionnalités supplémentaires, soit, tant qu'il me demande mon avis et si je veux effectivement participer à ce programme d'amélioration, sinon non désolé, mais moi je ne trouve pas cela "normal".

  7. #7
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 198
    Points : 7 390
    Points
    7 390
    Billets dans le blog
    3
    Par défaut
    Le fait est qu'une fonctionnalité n'est pas un objectif. Tu as la fonctionnalité, et tu as l'objectif que tu cherches à satisfaire. La première permettant de satisfaire le second. Tu peux avoir les objectifs que tu veux, et implémenter des fonctionnalités qui y correspondent, puis chercher des objectifs différent qui peuvent aussi être satisfais par ces fonctionnalités (et plus éthique que tes propres objectifs) pour ainsi vendre ta solution à d'autres.

    Ce n'est pas la fonctionnalité qui est mauvaise, mais l'utilisation qu'on en fait (ses conséquences). Tu ne peux donc tout simplement pas, de manière générale, juger du bien fondé d'une fonctionnalité. Surtout quand les conséquences à juger sont hors du système qui exécute la fonctionnalité en question (e.g. vie privée). C'est ensuite un travail de marketeux de te trouver un objectif pour la justifier (on appelle ça la création de besoin).

    À partir de là tu peux voir le verre à moitié plein (si on veut satisfaire un bon objectif, il faut autoriser la fonctionnalité) ou à moitié vide (si on veut empêcher un mauvais objectif, il faut interdire la fonctionnalité). Un exemple typique bien de chez nous est le P2P : le P2P n'est pas mauvais ni bon en soi, mais soit tu l'utilises pour partager des fichiers légaux, et donc l'interdire serait pris comme un abus de pouvoir bridant la liberté des utilisateurs, soit tu l'utilises pour partager des fichiers illégaux, et donc l'interdire serait prix comme une sécurité pour protéger les droits des éditeurs/producteurs/...

    Le problème ne vient pas de la fonctionnalité, qui est du domaine de la technique, mais de l'objectif, qui est du domaine de l'humain. D'où la difficulté d'avoir des solutions purement techniques au problème, comme empêcher des apps de tourner si elles ne satisfont pas certains critères.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  8. #8
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    768
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 768
    Points : 2 646
    Points
    2 646
    Par défaut
    Dans les années 1990, il y avait un programme nommé KOH qui utilisait des techniques propres aux virus de l'époque pour pouvoir installer une couche de cryptage à un très bas niveau afin d'être une fonctionnalité transparente pour l'OS. Ce programme était et est encore catégorisé virus du seul fait de son mode de fonctionnement qui dérivait les appels de l'OS et s'installait au niveau du boot alors même que l'utilisateur avait un total contrôle (installation/configuration/désinstallation) du programme.

    De nos jours, un logiciel qui induit sciemment en erreur l'utilisateur (et/ou les agents de protections d'un système) quant à sa finalité, à seule fin de provoquer l'acte d'installation sur une machine, est un malware (malicious software).

  9. #9
    MikeRowSoft
    Invité(e)
    Par défaut
    memtest n'est pas un, mais peu le devenir si l'exécutable s'adapte au niveau hardware x86, R.I.S.C. (secteur d'amorce d'assembleur proche des heuristiques, chose complètement différent que de proposé des ensembles de "comportement" prédéfini).
    La caractéristique d'être codé 4 bits juste à l'amorce mais de pouvoir s'étendre à 4 + x bits adressables n'est pas toujours apprécié.
    Un autre cas se rapproche de l'émulation de jeux d'instructions A.R.M. par R.I.S.C. ou vis-versa à la volé.

    Mettre un CD d'installation MS Windows dans un PC sans se soucier de si celui est x86 ou x86_64 ou R.I.S.C. ou A.R.M. est encore très loin de FreeDOS compatible IBM PS/1 et les derniers PC grand public vendu par HP ou autre dès que x86 8 ou 16 bits au minimum.

    Mais les problèmes sont là et pas toujours évitable, se qui fait qu'ils restent souvant sous contrôles.

    Post-scriptum : faut vraiment que je sois plus abstrait. La subtilité entre un .lib et un .dll par exemple n'est pas toujours évident mais pourtant le .lib peut pratiquement être un .jar se servant d'un .jar comme plugin, je l'avoue, si les .dll une fois compilés ne sont pas soumit aux contraintes d'architectures matériels (x86, A.R.M., etc), Microsoft a prix une très petite avance par rapport à Oracle. Les .dll modifiés par correctifs pour système d'exploitation (visual c++ redistrib par exemple) ne le sont peut-être pas dans le dossier de certaines applications qui ainsi garde des failles de sécurités, vaudrait mieux oublier le ".\" avec certaine DLL (sa va pas ennuyer Embarcadero par exemple).
    Dernière modification par MikeRowSoft ; 20/09/2015 à 21h18.

Discussions similaires

  1. À quel stade peut-on réellement commencer à se déclarer expert dans une compétence ?
    Par la.lune dans le forum Débats sur le développement - Le Best Of
    Réponses: 207
    Dernier message: 25/10/2020, 19h58
  2. Réponses: 43
    Dernier message: 29/04/2014, 15h48
  3. Réponses: 2
    Dernier message: 16/04/2009, 08h13
  4. Quel SGBD peut gérer plus de 2000 champs par table?
    Par colorid dans le forum Bases de données
    Réponses: 9
    Dernier message: 23/11/2005, 20h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo