{"id":4741,"date":"2015-07-31T12:01:12","date_gmt":"2015-07-31T12:01:12","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4741"},"modified":"2020-02-26T15:52:24","modified_gmt":"2020-02-26T15:52:24","slug":"exploits-problem-explanation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/exploits-problem-explanation\/4741\/","title":{"rendered":"Que sont les exploits et pourquoi nous font-ils si peur ?"},"content":{"rendered":"<p>Les experts en s\u00e9curit\u00e9 ont souvent d\u00e9crit les exploits \u00a0ainsi que la s\u00e9curit\u00e9 des donn\u00e9es et des syst\u00e8mes\u00a0comme un probl\u00e8me tr\u00e8s s\u00e9rieux. M\u00eame si ce n\u2019est pas toujours \u00e9vident de comprendre la diff\u00e9rence entre exploits et malware en g\u00e9n\u00e9ral, nous allons essayer de l\u2019expliquer ici.<\/p>\n<h3>Qu\u2019est-ce qu\u2019un exploit\u00a0?<\/h3>\n<p>Les exploits sont une partie d\u2019un malware. Ces programmes malveillant contiennent des donn\u00e9es ou des codes ex\u00e9cutables qui sont capables de tirer parti d\u2019une ou de plusieurs vuln\u00e9rabilit\u00e9s dans un logiciel en marche sur un ordinateur local ou \u00e0 distance.<\/p>\n<p><em><strong>En d\u2019autres mots\u00a0:<\/strong><\/em>\u00a0vous avez un navigateur et il contient une vuln\u00e9rabilit\u00e9 qui permet le fonctionnement d'\u00a0\u00bbun code arbitraire\u00a0\u00bb \u00a0dans votre syst\u00e8me sans que vous ne le sachiez\u00a0(c\u2019est-\u00e0-dire, installer ou lancer certains programmes malveillants). La plupart du temps, la premi\u00e8re \u00e9tape pour les attaquants et de permettre une \u00e9l\u00e9vation des privil\u00e8ges, de cette fa\u00e7on, ils peuvent faire tout ce qu\u2019ils veulent avec le syst\u00e8me attaqu\u00e9.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">HP\u2019s Zero Day Initiative has released four new <a href=\"https:\/\/twitter.com\/hashtag\/zeroday?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#zeroday<\/a> in <a href=\"https:\/\/twitter.com\/hashtag\/IE?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#IE<\/a> <a href=\"https:\/\/t.co\/3MvmBKikdU\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/3MvmBKikdU<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/fVuPQY4cxw\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/fVuPQY4cxw<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/624229438000091136?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 23, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Les navigateurs, comme Flash, Java et Miscrosoft Office font partis des cat\u00e9gories de logiciels les plus cibl\u00e9s. Du fait que beaucoup de personnes les utilisent, ils sont examin\u00e9s activement par les experts en s\u00e9curit\u00e9 ainsi que les sortes de pirates. Les d\u00e9veloppeurs doivent sortirent des correctifs r\u00e9guli\u00e8rement afin de fixer ces vuln\u00e9rabilit\u00e9s. C\u2019est encore mieux s\u2019ils fixent les probl\u00e8mes en une fois, mais malheureusement ce n\u2019est pas le cas. Par exemple, vous devriez fermer tous vos onglets du navigateur ou tous vos documents lorsque vous faites une mise \u00e0 jour.<\/p>\n<p>Un autre probl\u00e8me que l\u2019on a remarqu\u00e9 concerne les exploits et les vuln\u00e9rabilit\u00e9s que nous ne connaissons pas encore. Les pirates\u00a0les ont d\u00e9couverts et en ont abus\u00e9s : il\u00a0s\u2019agit\u00a0des <strong>zero day<\/strong>\u00a0(en fran\u00e7ais \u00ab\u00a0jour 0\u00a0\u00bb). Les vendeurs peuvent prendre beaucoup de temps avant de r\u00e9aliser qu\u2019il y a un probl\u00e8me et de le r\u00e9soudre.<\/p>\n<h3>Les voies infect\u00e9es<\/h3>\n<p>Les cybercriminels pr\u00e9f\u00e8rent souvent utiliser des exploits plut\u00f4t que d\u2019autres m\u00e9thodes d\u2019infection comme l\u2019ing\u00e9nierie sociale, car il y a un risque qu\u2019elles ne fonctionnent pas, tandis que l\u2019usage des vuln\u00e9rabilit\u00e9s continue de produire les r\u00e9sultats souhait\u00e9s.<\/p>\n<p>Il y a deux fa\u00e7ons par lesquelles les utilisateurs peuvent \u00eatre infect\u00e9s par les exploits. La premi\u00e8re consiste \u00e0 visiter un site qui contient un code d\u2019exploit malveillant. La deuxi\u00e8me se fonde sur le fait d\u2019ouvrir un fichier qui parait l\u00e9gitime mais qui contient un code malveillant cach\u00e9 \u00e0 l\u2019int\u00e9rieur. Comme vous pouvez le constater, l\u2019exploit vient souvent par le biais d\u2019un spam ou d\u2019un <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-avoid-phishing\/\" target=\"_blank\" rel=\"noopener nofollow\">email d\u2019hame\u00e7onnage<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Why <a href=\"https:\/\/twitter.com\/hashtag\/phishing?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#phishing<\/a> works and how to avoid it \u2013  <a href=\"https:\/\/t.co\/ksAYI9g2Jm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/ksAYI9g2Jm<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cybercrime?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybercrime<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/517329359859118080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 1, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><a href=\"https:\/\/securelist.com\/analysis\/publications\/57888\/kaspersky-lab-report-java-under-attack\/\" target=\"_blank\" rel=\"noopener\">Comme l\u2019on peut remarquer dans Securelist<\/a>, les exploits sont con\u00e7us pour trouver des versions sp\u00e9cifiques de logiciels qui contiennent des vuln\u00e9rabilit\u00e9s. L\u2019exploit se d\u00e9clenche si les utilisateurs font que cette version du logiciel ouvre l\u2019objet malveillant, ou si un site internet utilise ce software pour fonctionner.<\/p>\n<p>Une fois qu\u2019il passe par le biais de vuln\u00e9rabilit\u00e9s pour avoir acc\u00e8s \u00e0 votre ordinateur, l\u2019exploit t\u00e9l\u00e9charge des malwares additionnels \u00e0 partir du serveur du criminel qui effectue une activit\u00e9 malveillante. Celle-ci peut prendre forme de vol des donn\u00e9es personnelles, d\u2019utilisation de l\u2019ordinateur au sein d\u2019un botnet afin de distribuer des spams ou d\u2019effectuer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS), ou tout autre attaque que le pirate essaye de faire.<\/p>\n<p>Les exploits repr\u00e9sentent une menace m\u00eame pour les utilisateurs qui sont au courant de leur existence, qui sont attentifs et qui font r\u00e9guli\u00e8rement les mises \u00e0 jour de leur logiciel. Cette situation est due \u00e0 un d\u00e9calage entre la d\u00e9couverte de la vuln\u00e9rabilit\u00e9 et la sortie du correctif pour la r\u00e9parer. Pendant ce temps, les exploits sont capables de fonctionner librement et de menacer la s\u00e9curit\u00e9 de presque tous les utilisateurs d\u2019Internet, \u00e0 moins que des outils automatiques n\u2019emp\u00eachent les attaques d\u2019exploits.<\/p>\n<p>Et n\u2019oubliez pas ce qu\u2019on a dit ant\u00e9rieurement \u00e0 propos du \u00ab\u00a0syndrome des onglets ouverts\u00a0\u00bb\u00a0: il y a un prix \u00e0 payer pour une mise \u00e0 jour et de nombreux\u00a0utilisateurs ne sont pas pr\u00eats \u00e0 le payer imm\u00e9diatement apr\u00e8s la sortie d\u2019un patch.<\/p>\n<h3>Les exploits fonctionnent en groupe<\/h3>\n<p>Les exploits sont souvent regroup\u00e9s de telle mani\u00e8re qu\u2019afin d\u2019attaquer un syst\u00e8me, ils inspectent les moindres recoins de celui-ci afin de trouver des vuln\u00e9rabilit\u00e9s. Ce n\u2019est qu\u2019au moment o\u00f9 ils d\u00e9tectent une ou plusieurs failles que l\u2019exploit le plus adapt\u00e9 peut entrer dans le syst\u00e8me. Les kits d\u2019exploits utilisent couramment des codes imp\u00e9n\u00e9trables pour \u00e9viter la d\u00e9tection et le chiffrement des chemins d\u2019acc\u00e8s des URL pour emp\u00eacher les chercheurs de leur enlever leur acc\u00e8s root.<\/p>\n<p>Parmi les plus connus se trouvent\u00a0:<\/p>\n<p><strong>Angler :\u00a0<\/strong>un des kits les plus sophistiqu\u00e9s sur le march\u00e9 clandestin. Celui-ci a chang\u00e9 la donne apr\u00e8s qu\u2019il ait commenc\u00e9 \u00e0 d\u00e9tecter des antivirus et des machines virtuelles (souvent utilis\u00e9 par les chercheurs en mati\u00e8re de s\u00e9curit\u00e9 comme honeypots), et apr\u00e8s qu\u2019il ait d\u00e9velopp\u00e9 des fichiers dropper chiffr\u00e9s. C\u2019est l\u2019un des kits les plus rapides \u00e0 int\u00e9grer les nouvelles vuln\u00e9rabilit\u00e9s zero day, ses malwares fonctionnent de m\u00e9moire et il n\u2019a pas besoin de r\u00e9\u00e9crire le disque dur de ses victimes. Sa description technique <a href=\"https:\/\/threatpost.com\/analyzing-angler-the-worlds-most-sophisticated-exploit-kit\/110904\" target=\"_blank\" rel=\"noopener nofollow\">se trouve ici<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Angler Exploit Kit Exploiting New Adobe Vulnerability, Dropping Cryptowall 3.0 \u2013 <a href=\"http:\/\/t.co\/DFGhwiDeEa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/DFGhwiDeEa<\/a> <a href=\"http:\/\/t.co\/IirQnTqxEO\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/IirQnTqxEO<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/604691335015243776?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Le pack Nucl<\/strong><strong>\u00e9<\/strong><strong>aire :\u00a0<\/strong>il touche ses victimes avec des exploits Java et Adobe PDF, ainsi qu\u2019en l\u00e2chant un Caphaw \u2013 un cheval de Troie bancaire s\u00e9rieux. Vous pouvez <a href=\"https:\/\/threatpost.com\/askmen-site-compromised-by-nuclear-pack-exploit-kit\/106822\" target=\"_blank\" rel=\"noopener nofollow\">en lire plus ici<\/a>.<\/p>\n<p><strong>Neutrino :<\/strong>\u00a0un kit russe qui contient peu d\u2019exploit Java, <a href=\"http:\/\/news.softpedia.com\/news\/Neutrino-Exploit-Kit-Reportedly-Put-Up-for-Sale-by-Its-Author-430253.shtml\" target=\"_blank\" rel=\"noopener nofollow\">il a fait la une l\u2019ann\u00e9e derni\u00e8re<\/a> car son propri\u00e9taire a d\u00fb le mettre en vente pour le prix modeste de 34 000 $ (environ 31 000 \u20ac). Ce fut\u00a0probablement apr\u00e8s l\u2019arrestation d\u2019un certain Paunch, cr\u00e9ateur du prochain kit d\u2019exploit que nous allons \u00e9voquer.<\/p>\n<p><strong>Blackhole Kit :<\/strong><strong>\u00a0<\/strong>la menace Internet la plus courante en 2012. Cet exploit cible les vuln\u00e9rabilit\u00e9s dans les vieilles versions des navigateurs comme Firefox, Chrome, Internet Explorer et Safari ainsi que des plugins tr\u00e8s populaires comme Adobe Flash, Adobe Acrobat et Java. Apr\u00e8s avoir attir\u00e9 une victime ou apr\u00e8s l\u2019avoir redirig\u00e9e a une page de renvoi, le kit d\u2019exploit analyse ce que se trouve sur son l\u2019ordinateur et t\u00e9l\u00e9charge tous les exploits ad\u00e9quates pour les vuln\u00e9rabilit\u00e9s trouv\u00e9s.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">'Paunch' Arrest Puts Blackhole Hackers on Data Diet, Kaspersky's <a href=\"https:\/\/twitter.com\/k_sec?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@K_Sec<\/a> weighs in. <a href=\"http:\/\/t.co\/uao2eINlkZ\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/uao2eINlkZ<\/a> via <a href=\"https:\/\/twitter.com\/technewsworld?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@TechNewsWorld<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/390214721829601282?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 15, 2013<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Blackhole, contrairement aux autres kits d\u2019exploits, a <a href=\"https:\/\/en.wikipedia.org\/wiki\/Blackhole_exploit_kit\" target=\"_blank\" rel=\"noopener nofollow\">une page sur Wikip\u00e9dia<\/a>, m\u00eame si apr\u00e8s l\u2019arrestation de Paunch, le kit a\u00a0<a href=\"https:\/\/threatpost.com\/blackhole-and-cool-exploit-kits-nearly-extinct\/103034\" target=\"_blank\" rel=\"noopener nofollow\">presque disparu<\/a>.<\/p>\n<p><strong>Conclusion<\/strong><\/p>\n<p>Les logiciels de s\u00e9curit\u00e9 ne peuvent pas toujours d\u00e9tecter les exploits. Afin de les d\u00e9celer avec succ\u00e8s, les logiciels de s\u00e9curit\u00e9 devraient utiliser une analyse comportementale, c\u2019est la seule bonne fa\u00e7on de vaincre les exploits. Il y existe de nombreux programmes malwares et ils sont vari\u00e9s, mais la plupart ont des mod\u00e8les comportementaux similaires.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Que sont les exploits et pourquoi nous font-ils si peur ?<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FG21t&amp;text=Que+sont+les+exploits+et+pourquoi+nous+font-ils+si+peur+%3F\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>La <a href=\"https:\/\/www.kaspersky.fr\/multi-device-security-2\" target=\"_blank\" rel=\"noopener\">s\u00e9curit\u00e9 Internet Kaspersky<\/a>, ainsi que d\u2019autres produits vedettes de Kaspersky Lab utilisent une technologie appel\u00e9e <strong><em>Automatic Exploit Prevention<\/em>\u00a0<\/strong>ainsi que les informations re\u00e7ues \u00e0 propos des comportements les plus typiques des exploits connus. Le comportement caract\u00e9ristique de tels programmes malveillants aide \u00e0 emp\u00eacher les infections m\u00eame dans le cas d\u2019un\u00a0exploit zero day comme\u00a0nous l\u2019avons mentionn\u00e9 auparavant.<\/p>\n<p><strong>\u00a0<\/strong>Plus d\u2019information sur la technologie <em>Automatic Exploit Prevention<\/em> est <a href=\"https:\/\/business.kaspersky.com\/case-6-automatic-exploit-prevention-against-targeted-attacks\/1338\" target=\"_blank\" rel=\"noopener nofollow\">disponible ici.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les experts en s\u00e9curit\u00e9 ont souvent d\u00e9crit les exploits comme un probl\u00e8me tr\u00e8s s\u00e9rieux. M\u00eame si ce n\u2019est pas toujours \u00e9vident de comprendre pourquoi les exploits sont si sp\u00e9ciaux et nous font si peur, nous allons essayer de l\u2019expliquer ici.<\/p>\n","protected":false},"author":40,"featured_media":4743,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[1180,1181,693,1179,155,204,55,61],"class_list":{"0":"post-4741","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-aep","10":"tag-automatic-exploit-prevention","11":"tag-exploits","12":"tag-kit-dexploits","13":"tag-malware-2","14":"tag-menaces","15":"tag-protection","16":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exploits-problem-explanation\/4741\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exploits-problem-explanation\/6049\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exploits-problem-explanation\/5859\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exploits-problem-explanation\/6520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exploits-problem-explanation\/6393\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exploits-problem-explanation\/8459\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exploits-problem-explanation\/9448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exploits-problem-explanation\/6010\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exploits-problem-explanation\/5905\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exploits-problem-explanation\/8327\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exploits-problem-explanation\/8459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exploits-problem-explanation\/9448\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exploits-problem-explanation\/9448\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/aep\/","name":"AEP"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4741","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4741"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4741\/revisions"}],"predecessor-version":[{"id":14292,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4741\/revisions\/14292"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4743"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4741"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4741"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4741"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}