Comment les sites Malveillants vous infectent et comment vous en défendre

  1. Accueil
  2. Hacking Éthique
  3. Failles Web
  4. Comment les sites Malveillants vous infectent et comment vous en défendre

Après avoir allumé l’ordinateur, vous passez probablement la majorité de votre temps sur Internet, que ce soit sur les réseaux sociaux, sur les blogs, sur les forums, sur les sites d’actualité ou encore pour regarder des vidéos. Le point de contact entre un pirate et Vous, c’est très souvent Internet, plus particulièrement via des sites web malveillants.

Les sites web les plus infectés

En toute logique, si l’on ne visite pas de sites tordus, on ne risque pas grand-chose, n’est-ce pas ?

Comme souvent, les pirates adorent les préjugés comme ceux-ci, et en profitent pour arriver à leurs buts. En effet, beaucoup de sites pourtant connus sont régulièrement infectés par des malwares.

Dans le « Rapport des menaces 2016 » de Symantec, on apprend que 76% de sites d’entreprises scannés contenaient des vulnérabilités.

« 76% de sites d'entreprises scannés contenaient des vulnérabilités »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Les fameuses vulnérabilités

Ces vulnérabilités sont des bugs ou des omissions (volontaires ou non) lors de la création d’une application ou d’un site donné, qui peuvent être utilisées (on dit « exploitées ») par les pirates informatiques. Par exemple, un site web peut contenir une vulnérabilité autorisant l’accès à un compte en fournissant un mot de passe spécifique, mais non valide à la base, qui fait planter le système et autorise la connexion. Il y a un nombre incalculable de vulnérabilités en tout genre, dont certaines peuvent servir à répandre des publicités malveillantes, on en reparlera.

Parmi toutes les vulnérabilités, environ 10% seraient des vulnérabilités critiques. Par « critique », on entend une vulnérabilité similaire à l’exemple donné précédemment avec le mot de passe et qui permet donc de compromettre facilement des données.

graphique sites web infectés

Exemple de vulnérabilités web populaires. Source: ptsecurity.com

Parmi les sites vulnérables, ce sont les sites des catégories Technologie, Business et Blogging qui arrivent sur le podium des sites les plus exploités.

sites malveillants

Source : https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

Comment repérer un site malveillant ou infecté ?

Voici une liste non exhaustive de sites web infectieux, ainsi que leurs méthodes de propagation de malwares.

Les sites de streaming, de piratage, de jeux d’argent ou pornographiques

Il y a toujours une certaine catégorie de sites web qui nous vient à l’esprit lorsqu’on parle de piratage. Parfois, les sites web en eux-mêmes sont illégaux, et tant qu’à faire, autant être illégal jusqu’au bout en piratant même les internautes.

Le vecteur de piratage classique est la publicité vous demandant de visiter un tel site ou de télécharger un tel programme. Ces mêmes sites ne sont habituellement pas autorisés par les régies publicitaires « classiques » comme Google. Ils utilisent donc d’autres régies publicitaires, qui placent les publicités de leur choix, et ce n’est pas forcément bon signe.

Alors oui, vous pouvez bien entendu utiliser des bloqueurs de publicités, mais de plus en plus de sites web vous interdisent l’accès si vous n’acceptez pas les publicités. Et certains vous en affichent tout de même.

Il faut également savoir que ces sites ont besoin de deux choses : du trafic et des clics sur les publicités pour gagner de l’argent. Voici donc pourquoi il n’est pas forcément dans leur intérêt de propager des publicités discrètes que personne ne cliquera.

Voici quelques liens pour en apprendre plus :

Comment fonctionne la publicité sur Internet et quels risques pour les internautes

Comment reconnaître un site malveillant ?

Les téléchargements Drive By

Il s’agit d’une méthode de propagation de logiciels malveillants populaire consistant à se servir d’une autre application pour la propagation.

Voici l’article qui en parle en détail :

Se faire hacker en visitant un site ? Java Drive By Download

Le phishing (ou hameçonnage)

Étant donné que cette menace fonctionne particulièrement bien en plus d’être très utilisée, elle est devenue l’une des plus connues. Les services financiers et autres sites web mettent à présent en garde les utilisateurs contre les tentatives de phishing. Les internautes eux-mêmes prennent conscience de ce risque et prennent le temps de faire des vérifications supplémentaires.

Pour connaître ces vérifications et savoir ce qu’est le phishing, je vous renvoie vers l’article dédié :

Phishing Facebook et Cie, explications et contre-mesures

Les pirates ont plusieurs stratagèmes pour vous faire croire que leur site malveillant est un site officiel :

Le typosquatting

Il s’agit d’enregistrer des noms de domaines semblables à des sites officiels, mais avec de légères variations. Ainsi, un internaute qui voudrait taper trop rapidement « facebook.com » dans sa barre d’adresse pourrait taper « facebok.com ». Rassurez-vous, dans cet exemple Facebook a prévu le coup et s’est approprié le nom de domaine à temps.

Le domain shadowing

Il s’agit de pirater un site en amont, puis de créer un sous-domaine ou une page web redirigeant vers un autre site web. Le problème est plus grave ici, car le nom de domaine est correct…mais le site a été piraté.

Les Exploit kits (kits d’exploitation)

Des vulnérabilités, il y en a partout, même dans votre navigateur ! Et les exploiter est leur but. Les exploit kits se cachent dans des pages web malveillantes en attendant les internautes qui les visitent avec des versions de logiciel ou de navigateur non mises à jour (et vulnérables).

Lorsqu’un pirate détecte une toute nouvelle vulnérabilité, on la considère comme un « zéro day » (jour zéro). C’est-à-dire que seul le pirate connaît la vulnérabilité, celle-ci n’est pas encore patchée, et se trouve donc « exploitable dans la nature ». À partir de là, le pirate construit son kit d’exploitation et le propage dans des pages web, soit en utilisant ses propres sites, soit en faisant de la publicité sur des sites de confiance (parfois la publicité elle-même est exploitée, permettant la propagation de code et de pop-up habituellement non possible).

Infections JavaScript

De la même manière qu’un exploit kit, un code Javascript malveillant peut se répandre sur des sites web, exécutant une action bien spécifique dans le navigateur de la victime. Ce code peut notamment s’installer via des extensions de navigateur qui offrent l’accès à toutes les pages visitées et donc à leur contenu.

Voici l’article qui en parle :

La Fin des Barres d’outils et extensions malveillantes (?)

On peut aussi placer dans cette catégorie le « Self XSS », consistant à exécuter soi-même un code Javascript dans son navigateur en pensant débloquer quelque chose ou pirater une autre personne. Seulement le code exécuté va permettre de pirater celui qui le lance, en envoyant par exemple ses informations personnelles à distance.

Le malvertising

Nous avons parlé des exploit kits et de l’exploitation de la publicité elle-même. Eh bien c’est ce que l’on appelle le « Malvertising ». Il s’agit de trouver des vulnérabilités dans une régie publicitaire, ou plus précisément dans le code utilisé pour afficher des publicités afin de propager des publicités malveillantes. L’exemple classique est l’utilisation d’une publicité anodine, qui se transforme ensuite en publicité malveillante. Vous avez peut-être déjà connu le cas de la fenêtre pop-up difficile à fermer sur votre smartphone, vous indiquant que vous avez « gagné un iPhone », alors que vous étiez en train de visiter un site d’actualité populaire.

Voici un exemple :

site malveillant mobile

Redirections malveillantes

Il est possible qu’un site que vous visitez (connu ou non) soit piraté. Le piratage ne signifie pas forcément une fermeture du site, mais parfois il se fait très discret : seuls les liens sont changés, pour vous rediriger vers d’autres sites malveillants (hameçonnage).

Comment se protéger contre les sites malveillants ou infectés ?

C’est difficile. Les pirates adorent les préjugés et autres méthodes classiques de vérification.

On pourrait par exemple dire qu’un site HTTP est plus risqué qu’un site HTTPS. Même si c’est totalement vrai au niveau du chiffrement des données sur le réseau, cela n’empêche pas un pirate d’utiliser un site de phishing en HTTPS.

On pourrait également utiliser des scanners de sites web, comme VirusTotal. Malheureusement on est confronté aux mêmes problèmes que les antivirus classiques : les faux négatifs et les faux positifs. Un faux négatif se produit lorsqu’un antivirus estime qu’un site ou un programme est sain, alors qu’il est malveillant. À l’inverse, un faux positif se produit lorsqu’un antivirus estime qu’un site web est malveillant alors qu’il est sain. Cette solution est tout de même valable si Virustotal affiche un gros nombre d’antivirus détectant le site comme malveillant.

On pourrait utiliser un bloqueur de publicité, mais notre accès au site risque d’être bloqué ou payant.

Les solutions citées sont donc valides, mais il est important de noter qu’il faut prendre un peu de recul pour analyser la situation.

Les solutions suivantes sont à utiliser sans modération :

  • Garder tous ses logiciels à jour (navigateurs et extensions y compris) : cela évite au maximum les vulnérabilités (même si le risque zéro n’existe pas)
  • Utiliser des « dé-raccourcisseurs d’URL » : raccourcir une URL c’est pratique, mais voir où l’on va sans avoir besoin de cliquer est plus rassurant. Voir : http://www.getlinkinfo.com/.
  • Garder ses connaissances à jour : le fait de connaître les nouvelles menaces et les moyens de s’en protéger est votre meilleure défense. En espérant que cet article y a contribué.

Envie d’en apprendre plus sur les failles web ?

Ces failles et bien d’autres sont vues en détail dans mon cours vidéo sur les tests d’intrusion web.

Nous allons parler des fondamentaux : fonctionnement d’HTTP, d’HTTPs, de DNS et de l’architecture web de manière générale.

Nous allons également mettre en place un laboratoire de test avec des machines virtuelles pour héberger et scanner nos sites vulnérables afin d’apprendre sans rien casser.

Nous allons bien sûr parler de toutes les failles web (XSS, CSRF, SQL, LFI, RFI, …etc) en suivant le Top 10 OWASP mais aussi de tout ce qui gravite autour de la sécurité web : dénis de service, mauvaises configurations, données personnelles, reconnaissance, etc…
Impatient de commencer avec vous, je vous propose un code de réduction pour pouvoir rejoindre le cours dès maintenant :
https://cyberini.com/cours/hacking-ethique-tests-intrusion-web/

Articles similaires

15 Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour, Michel,

    Un article fort intéressant comme toujours, merci.
    Continue ainsi !

    À bientôt !

    Répondre
  • Bonjour, super article très complet comme d’habitude !
    Un attaquant pourrait aussi réaliser une attaque MITM puis un DNS spoofing pour rediriger la victime à son insu sur un site malveillant ! Pour éviter cela, une seule solution: utiliser un VPN lorsque l’on se connecte à un Wi-fi public 😉

    Répondre
  • bonjour c’est assez hors sujet mais peut on envoyer des messages a quelqu’un en se faisant passer pour une autre personne a partir de l’adresse ip

    Répondre
  • salut michel par ou commencer pour savoir faire une programation

    Répondre
  • Bonjour Michel,

    très bon article!

    Répondre
  • vraiment instructif cet article

    Répondre
  • Bonjour! Un grand merci pour tous le travail que vous faites et pour ces précieuses informations pour une novice comme moi,! Vos livres sont ils disponibles en format papier ? Très bonne continuation !

    Répondre
    • Bonjour Lylo et merci pour votre commentaire. Non les guides ne sont pas disponibles au format papier à l’heure actuelle. Mais pour parler des avantages du format numérique, il est notamment possible de cliquer sur des liens, d’obtenir le guide mis à jour, et de faire du copié/collé de code très facilement, ce qui est plus délicat à faire/obtenir avec le format papier. À bientôt !

      Répondre
  • Bonjour, merci pour cet article, il m’aidé à comprendre certaines choses par rapport à certains sites. Merci

    Répondre
  • bonjour et merci pour votre geekethiquattitude, voilà j ai refait une super jeunesse a mon pc vieux de + de 10ans acer aspire8930g ssd sur le 2eme compartiment avec Linux mint dessus,car vista vraiment trop osolete et non pratique et Windows 10 incapable de faire tourner correctement ce bon vieux matos qui après 11 ans de bon service st devenu une vrai petite bombe, bref je m’ égare, pourriez vous m indiquez la meilleu façon de me proteger de ces attaque web sous Linux,débutant sur ceeux ci .et dois je installer qd même un anti virus je ne suis pas hardi sous Linux. cordialement

    Répondre
    • Bonjour Yannick, merci à vous pour votre visite et pour votre message. Habituellement, je fais plutôt partie des gens qui changent complètement le PC au lieu d’essayer de le « retaper », mais je salue votre initiative et vous en félicite même ! Concernant votre question sur les « attaques web », la meilleure protection par défaut est d’apprendre le hacking éthique. C’est-à-dire apprendre comment les attaques fonctionnent pour bien s’en défendre. La vigilance et la méfiance sont des qualités additionnelles et je dirais même indispensables. Vous n’avez « pas besoin » d’installer impérativement un antivirus en tant que tel sous linux, mais je vous recommande l’apprentissage (par le hacking éthique justement) des règles de pare-feu (type iptables), des scans de ports ouverts, etc. Voici comment commencer avec le hacking éthique.

      Répondre
      • Je n’ai pas beacoup de temps mais ça me passionne,je compte bien m y pencher quand je le pourrais,enfant je programmais un peu en basic sur mon zx81 spectrum ,ça rajeuni pas et depuis tt a changé et je patauge.linux me rapproche un peu de mes racines.en ce moment je me tire les cheveux car transmition ne marche pas avec vpnbook mais marche sans vpn.
        j’ai vraiment hâte de me pencher sur le hacking ethique

        Répondre
  • salut michel comme toujours ta réponse et très claire . pas d’antivirus sur linux? sa demande de la personne un bon niveaux sur linux tout de meme car meme linux à des faille voici comment en voir certaines sur un système linux. traces visibles sur le système avant réinitialisation en cas de compromission d’une machine. il est utile de récupérer quelques indicateurs. de l’état du système d’exploitation avant tout redémarrage. en effet les pirates disposent parfois d’outils permettant d’effacer leurs traces. après un redémarrage il faut en premier lieu s’assurer que les commandes utilisées sont saines. certaines commandes peuvent avoir été modifiées par les outils dont dispose le pirate. par exemple pour masquer sa présence ces modification ont pu etre faites à plusieurs niveaux. modification des commandes ps. ls. netstat . find du passwd etc. dans ce cas la parade consiste simplement à recopier la commande d’origine sur le système. les fonctions incluses dans les bibliothèques dynamiques. sont utilisées lors de l’exécution d’une commande la commande ldd / bin ps fournira la liste des bibliothèques. utilisés par la commande /bin /ps pour y remédier il suffit de compiler bien entendu pas sur la machine compromise. les commande en mode statique afin qu’elle n’en dépende plus. pour cela utilisez l’option de compilation _ static de gcc. l’exécutable résultant contiendra le code de toutes les fonctions utilisées . il ne chargera aucune bibliothèque au moment de son exécution. si les modules du noyau sont modifiés on considérera que l’analyse à chaud ne peut pas apporter. de résultat fiable et on passera directement après sauvegarde à la réinstallation complète. dans notre exemple l’analyse à chaud dévoile quelques anomalies qui seront confirmées. par la suite la commande netstat tupan sur le système fait apparitre un service en écoute sur le port 15000 invisible . auparavant la commande ps modifiée nous cachait quelques processus dont le programme / usr / sbin / nscd. qui est ici une backdoor ssh en écoute sur le port 15000 grace à cette porte dérobée le pirate pouvait revenir . se connecter sur notre machine de façon discrète. les connexions du pirate son chiffrées elle ne sont pas journaliser par le système le pirate n’est pas détectable par les commande who ou w. enfin la commande ifconfig indique que l’interface réseau est en mode promisuous ce qui laisse penser qu’un sniffer réseau a été installé sur la machine. sauvegarde du système compromis chaque partition est sauvée sur un autre système à l’aide des commandes dd pour le dump et nc netcat pour le transe faire réseau.

    Répondre
  • salut michel juste une petit truc utile. la page lsitphishing.org recense toutes les url frauduleuses détectées pare
    vade retro. il est possible grâce à son moteur de recherche de vérifier la légitimité d’un lien en cas de doute.
    sûr ceux bonne soirée michel.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu