Trojan et Zeus : la grèce antique attaque la belgique

Filed in Actualité , Piratage , Web 2 comments

Beaucoup de Buzz au sujet de Zeus, de Botnet et de sites belges “hackés” dans la twittosphère.

Flair, Immoweb, Libelle ; le web serait complètement pourri et même la ménagère n’est plus à l’abri !

A tel point que votre serviteur se sent obligé de prendre le clavier pour mettre quelques pendules à l’heure.

De quoi s’agit il ?

Zeus est un trojan commercial. C’est un logiciel qui permet, quand vous êtes infecté, de prendre le contrôle de votre ordinateur. Il agit également comme keylogger. J’ajoute “commercial” car comme chacun sait, le web gratuit est derrière nous et même les hackers barbus veulent rouler en Cayenne ; pour 4000 USD environ les créateurs de Zeus vous fabriqueront donc un trojan sur mesure pratiquement indétectable par les antiviruses courants.
Ca peut faire froid dans le dos, mais personne ne va payer $4000 pour s’attaquer à vous ; on parle ici d’espionnage industriel ou économique, le simple utilisateur doit simplement conserver un antivirus à jour. L’excellent antivirus gratuit de Microsoft, Security Essentials, suffit pour se prémunir des souches devenues “publiques” du célèbre trojan. Cette video de Symantec vous initie au monde merveilleux des Trojans et vous montre Zeus/Zbot.

Bancaire ?! Ou sont mes sous !!!

Le buzz actuel est grandement dû au fait que Zeus a été utilisé dans de nombreuses affaires de vol d’infos bancaires (par le keylogger spécialisé de la version 3). Cependant, aussi puissant qu’il puisse être, Zeus est d’un intérêt limité en Belgique : les netbanking belges utilisent généralement un “dongle”, un appareil sur lequel il faut taper un code, code lui même basé sur le montant de la transaction. Un dongle, en terme sécurité, combine le “what you know” (mot de passe) avec le “what you have” (le dongle), et bientôt avec le “what you are” (biométrie).
Quoiqu’en en dise sur la presse alarmiste ; il n’y a rien dans un keylogger du type Zeus qui puisse passer une transaction sur le netbanking d’une grande banque belge. Au pire il keyloggera votre code PIN, que n’importe qui derrière vous à la file du Delhaize aurait pu noter également. Mais gardez à l’esprit que sur des sites comme Ebay ou Paypal où un simple mot de passe authentifie parfois une transaction, c’est tout différent.

Botnet ?

Je lis régulièrement un amalgame entre trojan et botnets. Un botnet est un ensemble de machines piratées dont on peut “prendre le contrôle” à différents degrés, de façon globale. Cela va de simplement pouvoir demander à ces machines d’accéder à un site toutes en même temps (courant), jusqu’à pouvoir prendre le contrôle complet de chaque machine individuellement. Les botnets sont utilisés pour créer des dénis de service, les célèbres DDoS. Les Botnets étaient autrefois essentiellement composés de serveurs unix mal protégés, de nos jours, des Trojans comme Zeus/Zbot comportent des fonctions permettant de “gérer” votre petit harem de victimes (vous voyez combien de personnes vous avez infecté et combien d’entre elles sont en ligne), ce qui apparente donc vaguement Zeus aux Botnets, cependant l’usage est complètement différent.

Comment ca s’attrape Docteur ?

Les trojans ne s’attrapent plus en s’échangeant des disquettes, le dernier DVD pirate, ni même des clés USB. Ceux-ci peuvent s’attraper sur un site courant, pour peu qu’un hackeur ai réussi à injecter dans une page web un “code malicieux” – typiquement du javascript ou une iframe renvoyant vers un site dont il a le contrôle, plus récemment via un PDF spécial. Ainsi donc, via des formulaires de commentaire ou des injections SQL, des contenus web dangereux sont référencés depuis des sites ordinaires. On peut donc potentiellement “choper” un trojan en surfant sur le site de l’école primaire de ses enfants. Les “injecteurs” utilisés pour vous infecter capitalisent sur des failles dans internet explorer, Adobe reader, Flash, ou les codecs musicaux de votre ordinateur. Mac, PC, iPad et même iPhone sont concernés.

La belgique infectée

Plusieurs blogs sécurité distribuent des listes de sites compromis. Flair, Immoweb, Humo, Libelle, et j’en passe : le web belge serait une passoire. J’avoue me distancer de cette analyse qui consiste a utiliser Google comme détecteur de site hackés. Certes, le résultat fait peur. Mais de la sorte, on cherche les sites qui comportent une iframe suspecte, servant du contenu depuis la russie ou la chine. Le fait d’avoir une page web ou ce texte apparait (et de surcroit indexée dans google) ne veut absolument rien dire ; le site a recu un contenu user generated tentant de le compromettre (un formulaire rempli, un commentaire posté), et le site a “connement” affiché l’iframe recue par ce biais comme étant du texte. Ainsi donc, le markup n’est plus du markup mais du texte, tout comme si je tape <iframe> dans ce message, ce ne sera nullement interprété par votre browser comme étant une iframe.
J’en conviens : c’est d’un amateurisme total que de ne pas virer le markup d’un contenu “submitté” par l’utilisateur dans un formulaire, et encore pire de retrouver des “iframes” chinoises parsées dans des commentaires de sites majeurs de ce pays. Google aide à faire circuler le ridicule de la situation. Mais en aucune façon ces sites ne sont forcement compromis, ni ne distribuent le trojan.

En bref

Quels sites sont “hackés” – et agissent donc en distributeur de contenu russe qui essayera de vous “injecter”, via un bug quelconque, un trojan de type Zeus ou autre ? Personne ne peut vous le dire, et surement pas Google.

Suis-je protégé ? En tant que simple utilisateur ; un antivirus et un PC à jour suffisent à se protéger des émanations publiques. Si vous travaillez sur des dossiers secrets au Mossad, vous ne les stockez surement pas sur un PC qui dispose d’une carte réseau : vous êtes parfaitement protégé également.
Les principales victimes seront donc les gens surfant avec un Windows piraté, en particulier XP SP2 ou un Windows 7 qui n’a plus fait tourner windows update depuis 6 mois. Ce qui est nouveau, c’est qu’il faut maintenant penser à mettre à jour les plugins courants (Adobe Reader en tête, Flash player ensuite). Hélas, si vous combinez toutes ces possibilités ; cela représente un très vaste parc de machines.

Posté par ced   @   12 août 2010 2 commentaires
Tags : , , ,

Related Posts

2 Comments

Commentaires
Author août 12, 2010
4:35
#1 Pascal :

Très bon article. Merci Ced 😉

Trackbacks to this post.
Leave a Comment

Name

Email

Website

Previous Post
«
Next Post
»
CrossBlock designed by DeltaManual.Com  |  In conjunction with Web Hosting   |   Web Hosting   |   Reverse phone