Qu’est-ce qu’un exploit ?
Un exploit est un type de programme créé pour cibler une faille donnée (qu’on appelle une vulnérabilité) dans un logiciel ou un composant matériel. Un exploit peut être aussi bien une application complète qu’une simple chaîne de code et de données, voire même une simple séquence de commandes.
En d’autres termes, un exploit est un outil qui permet au pirate d’exploiter une faille de sécurité et d’en tirer profit. Si vous pouvez le programmer et s’il exploite une faille dans un logiciel ou un composant matériel, c’est un exploit de sécurité.
Quel est le mode opératoire des exploits ?
Les exploits logiciels ne peuvent exister sans la faille, ou le défaut de conception, du logiciel qu’ils visent. Une fois que le hacker identifie cette faille (ou vulnérabilité), il peut écrire un exploit informatique qui, tout simplement, l’exploite.
De nombreux hackers ont recours aux exploits pour diffuser des malwares. Voici un exemple d’attaque via un exploit : vous naviguez sur Internet et vous tombez sur un site web qui contient une publicité malveillante. Cette publicité vous semble normale, mais elle contient en réalité un pack d’exploitation (nous allons voir ça un peu plus loin) qui recherche si votre ordinateur présente des vulnérabilités connues.
S’il en trouve une, la publicité utilise une attaque par exploit pour accéder à votre ordinateur par le biais de cette vulnérabilité logicielle ou de cette faille de sécurité. Ensuite, elle introduit son programme malveillant directement dans votre ordinateur. Lorsque les exploits sont utilisés pour installer des programmes malveillants, le programme malveillant est appelé charge.
D’un point de vue technique, les exploits informatiques ne sont pas considérés comme des malwares, car ils ne présentent rien d’intrinsèquement malveillant. Le danger des exploits vient de ce qu’en fait l’utilisateur après l’avoir utilisé pour pénétrer dans votre système. Il ne s’agit pas d’un ransomware, ni d’un virus (il n’existe pas de « virus d’exploit »), mais les exploits servent souvent à introduire des programmes malveillants dans le cadre d’attaques à étapes multiples.
Quelle est la différence entre un exploit et une vulnérabilité ?
Les vulnérabilités et les exploits sont étroitement associés. Mais bien qu’ils soient liés, ce n’est pas tout à fait la même chose.
On parle de vulnérabilité pour toute faiblesse dans une application logicielle. Mais toutes les vulnérabilités ne peuvent pas être exploitées pour inoculer des malwares sur les ordinateurs visés. Certaines vulnérabilités ne sont pas exploitables, par exemple si d’autres systèmes de sécurité empêchent de les utiliser. En 2019, une nouvelle vulnérabilité a été découverte dans Windows 7. Portant le nom de Bluekeep, cette vulnérabilité a aussitôt été considérée comme extrêmement dangereuse, à tel point que la NSA a dû émettre un avertissement de sécurité.
Un exploit est une attaque qui utilise une vulnérabilité logicielle pour provoquer un effet indésirable sur le système visé, par exemple l’introduction d’un programme malveillant ou la prise de contrôle par le pirate. Même si la vulnérabilité existe, il n’y a pas de danger immédiat tant que personne ne comprend comment créer un exploit pour en tirer parti. Mais dès lors qu’une vulnérabilité est découverte, vous pouvez être certain que quelqu’un va essayer de créer un exploit.
Imaginons le programme comme une maison. Les portes sont bien fermées, mais quelqu’un a laissé une fenêtre ouverte au deuxième étage. C’est une vulnérabilité. Si le voleur (c’est-à-dire le pirate) veut exploiter cette vulnérabilité pour pénétrer dans la maison, il doit utiliser un exploit, par exemple une échelle. Lorsqu’il utilise l’échelle pour atteindre le deuxième étage, le voleur peut exploiter cette fenêtre restée ouverte et rentrer.
Dans l’illustration ci-dessus, la fenêtre de gauche est verrouillée, il n’y a donc pas de vulnérabilités. La fenêtre de droite est ouverte et vulnérable, mais elle est placée trop haut pour être exploitable. La fenêtre du milieu est ouverte, vulnérable, et elle se trouve assez près du sol et peut être exploitable.
Il est vrai que toutes les vulnérabilités ne sont pas exploitables, tout du moins pas encore. La fenêtre du grenier est peut-être restée ouverte, mais si l’échelle du voleur n’est pas assez longue pour l’atteindre, c’est-à-dire si personne n’a créé d’exploit pour tirer parti de cette vulnérabilité, il n’y a aucun moyen de l’utiliser (de l’exploiter).
Les grands types d’exploits
Il existe autant d’exploits informatiques que de vulnérabilités logicielles et il se passe rarement une journée sans que de nouveaux exploits soient découverts. Les exploits peuvent être classés selon deux types, à savoir si la vulnérabilité visée a été corrigée ou non.
Exploits connus
Lorsque quelqu’un découvre une vulnérabilité dans un logiciel, il en alerte généralement le développeur, qui peut alors immédiatement corriger cette vulnérabilité à l’aide d’un correctif de sécurité. Il peut aussi signaler cette vulnérabilité sur Internet pour alerter les autres utilisateurs. Quoi qu’il en soit, le développeur se doit de réagir rapidement et de réparer cette vulnérabilité avant qu’un exploit ne puisse en tirer parti.
Ces correctifs de sécurité sont ensuite envoyés aux utilisateurs via des mises à jour du logiciel. C’est la raison pour laquelle vous devez toujours installer les mises à jour dès qu’elles sont disponibles. Tout exploit qui vise une vulnérabilité déjà corrigée est appelé exploit connu, comme tout le monde connaît déjà cette faille de sécurité.
Plutôt que de devoir vous-même surveiller la publication des mises à jour de vos programmes, laissez cette tâche à AVG TuneUp. Sa fonctionnalité automatisée de mise à jour des logiciels surveille vos programmes favoris et les met à jour dès que des correctifs sont publiés, ce qui protège votre « maison » des pirates qui cherchent à y pénétrer.
Disponible aussi sur
PC,
Mac
WannaCry et NotPetya sont deux souches de ransomware qui s’appuient sur un exploit connu de Windows 7 appelé EternalBlue. Ces deux attaques ont commencé après la correction de cette vulnérabilité par Microsoft. Mais comme de nombreux utilisateurs n’avaient pas pris la peine de mettre à jour leur logiciel, WannaCry et NotPetya ont tout de même pu causer plusieurs milliards de dollars de dégâts.
Exploits zero-day (exploits inconnus)
Parfois, les exploits surprennent tout le monde. Lorsqu’un pirate découvre une vulnérabilité et crée immédiatement un exploit pour en tirer parti, c’est ce que l’on appelle un exploit zero-day, parce que l’attaque survient le jour même de la découverte de cette vulnérabilité. À ce stade, le développeur connaît l’existence de cette vulnérabilité depuis « zero days », autrement dit zéro jours.
Les attaques par exploit zero-day sont extrêmement dangereuses, car il n’y a aucune solution évidente ni immédiatement disponible pour corriger la vulnérabilité. Seul le pirate l’a découverte, et lui seul sait comment l’exploiter. Pour réagir face à cette attaque, le développeur du logiciel doit créer un correctif, mais il ne pourra pas protéger ceux qui ont déjà été touchés.
Exploits matériels
Alors que les exploits dans les logiciels captent toute l’attention des médias, ils ne sont pas les seuls types d’exploits existants. Parfois, les pirates peuvent exploiter des failles dans le matériel (et le micrologiciel) de votre appareil.
Meltdown et Spectre sont deux vulnérabilités de composants matériels qui ont fait l’objet de beaucoup de discussions en raison de leur danger potentiel. Alors que la menace de Meltdown se limite aux appareils équipés d’un processeur Intel (ce qui représente tout même plusieurs millions d’appareils) la vulnérabilité Spectre est présente sur tous les processeurs.
Heureusement, il n’existe encore aucun exploit pour tirer parti de ces vulnérabilités, et Intel comme les autres fabricants de puces ont créé des correctifs pour limiter les risques.
Qu’est-ce qu’un pack d’exploitation ?
Les cybercriminels les plus organisés peuvent utiliser un pack d’exploitation, genre couteau suisse. Il s’agit d’une boîte à outils logicielle qui contient toute une gamme d’exploits connus et qui peuvent être utilisés pour pénétrer dans les systèmes vulnérables. Les packs d’exploitation simplifient l’utilisation des exploits pour les personnes peu compétentes en programmation, puisqu’ils les dispensent de créer leurs propres exploits. Et ils sont souvent personnalisables, pour que les utilisateurs puissent y ajouter de nouveaux exploits.
Un pack d’exploitation est une boîte à outils logicielle qui contient toute une gamme d’outils (les exploits) et qui peuvent être utilisés pour pénétrer dans les ordinateurs vulnérables.
Le fonctionnement est simple : le pack d’exploitation analyse le système visé pour voir s’il présente l’une des vulnérabilités pour lesquelles le pack comporte un exploit. Dès qu’une vulnérabilité adaptée est repérée, le pack applique l’exploit qui convient pour accorder à son utilisateur l’accès au système visé.
Par le passé, de nombreux packs d’exploitation se concentraient sur les plug-ins des navigateurs comme Adobe Flash, comme ils devaient être mis à jour séparément du navigateur. Maintenant que les navigateurs modernes appliquent le modèle des mises à jour automatiques et que Flash n’est plus très répandu, les packs d’exploitation sont globalement en recul.
Mais malgré cela, certains packs d’exploitation restent des outils de cybercrime viables.
RIG, Magnitude et Neutrino
RIG, Magnitude et Neutrino font partie des packs d’exploitation qui sont entrés dans l’Histoire. Voyons comment ils fonctionnent.
RIG
RIG peut transférer un très grand nombre de charges, que ce soit un ransomware, un cheval de Troie ou encore un malware de minage de cryptomonnaie qui va exploiter l’ordinateur de la victime pour extraire des unités de cryptomonnaie. Disponible sous forme de SaaS (logiciel en tant que service), RIG est accessible pour la modique somme de 150 $ par semaine.
Les utilisateurs de RIG parsèment en général des sites web tout à fait légitimes de publicités malveillantes. Ces publicités redirigent les visiteurs de ces sites vers la page d’accueil de RIG (parfois directement, ou de façon plus indirecte). Une fois que la victime arrive sur cette page, le pack d’exploitation transfère la charge choisie par le cybercriminel sur l’ordinateur visé.
Magnitude
Magnitude existe depuis 2013, ce qui en fait l’un des plus anciens packs d’exploitation disponibles. Tout comme RIG, la stratégie d’infection de Magnitude utilise des publicités malveillantes, mais il cible actuellement ses victimes plutôt du côté de la Corée du Sud et d’autres pays d’Asie. Et si RIG est associé à différentes charges, Magnitude utilise quant à lui ses propres souches de ransomware.
Flash n’étant plus d’actualité, Magnitude se concentre sur l’infection des utilisateurs d’Internet Explorer via le JavaScript. Mais comme Microsoft a remplacé le vénérable Internet Explorer par son nouveau navigateur Edge, il n’y a plus vraiment de raisons de continuer à l’utiliser. Vous pouvez éviter les attaques de Magnitude en passant simplement à un navigateur et à un système d’exploitation récents.
Neutrino
Le marché des packs d’exploitation est fortement concurrentiel. En 2016, Neutrino était le pack le plus recherché. Mais dès le mois de septembre de la même année, les développeurs de Neutrino ont cessé de louer leur pack d’exploitation à de nouveaux clients. Actuellement, il est de facto inutilisable et a largement perdu du terrain face aux autres packs comme Magnitude et RIG.
Neutrino fonctionnait comme les autres packs mentionnés ici : il redirigeait ses victimes vers des pages d’accueil infectées, sur lesquelles l’exploit pouvait tirer parti des vulnérabilités dans le navigateur de la victime. Dans le cas de Neutrino, ce pack d’exploitation ciblait des vulnérabilités connues dans le JavaScript.
Quelles sont les personnes les plus vulnérables ?
Les personnes les plus vulnérables face aux attaques d’exploit sont celles qui ne mettent jamais à jour leurs logiciels. C’est simple : plus un logiciel est disponible depuis longtemps sur le marché, plus les pirates ont eu le temps de découvrir ses vulnérabilités et de créer des exploits pour en tirer parti.
Les packs d’exploitation dont nous venons de parler (RIG, Magnitude et Neutrino) exploitaient les logiciels obsolètes comme Internet Explorer et Adobe Flash. Et lorsque WannaCry et NotPetya sont apparus pour l’exploit EternalBlue, la vulnérabilité qui lui correspondait avait déjà été corrigée, mais les victimes de ces exploits étaient ceux qui n’avaient pas encore mis à jour leurs logiciels.
Les exploits de type zero-day sont les seules exceptions à cette règle. Dans cette situation, il n’y a aucun signe avant-coureur, aucune possibilité d’installer un correctif ou une mise à jour de sécurité. Tous ceux qui utilisent le logiciel visé sont vulnérables. Dès qu’un exploit de ce type est découvert, les développeurs publient en général un correctif en urgence, mais encore faut-il que les utilisateurs mettent à jour leur logiciel si cette mise à jour ne se fait pas de façon automatique.
C’est pour cette raison que les outils d’optimisation des performances comme AVG TuneUp sont un bon moyen de protéger votre ordinateur des exploits connus comme EternalBlue. La fonctionnalité Mise à jour de logiciels intégrée à AVG TuneUp surveille automatiquement les logiciels et les programmes installés et les met aisément à jour afin que vous utilisiez toujours la dernière version.
Disponible aussi sur
PC,
Mac
Comment se protéger des exploits ?
La bonne nouvelle est que vous pouvez dans la plupart des cas vous protéger des exploits. En respectant quelques habitudes simples en matière de sécurité, vous pouvez assez facilement vous assurer une bonne protection contre les exploits. Voici une petite liste des meilleures tactiques et techniques pour lutter contre les exploits :
-
Mettez toujours vos logiciels à jour. N’importe quel expert en cybersécurité (nous compris) vous dira que le meilleur moyen de vous protéger des exploits est de n’utiliser que des logiciels à jour. Si votre appareil peut gérer les mises à jour automatiques, comme c’est souvent le cas, activez cette option ou utilisez un logiciel de mise à jour automatique, par exemple AVG TuneUp. Si vous devez installer une mise à jour manuellement, faites-le dès que vous êtes informé de sa publication.
-
Sauvegardez vos fichiers. Même si le fait de tenir à jour vos logiciels vous protège des attaques d’exploit connus, il n’y a pas grand-chose à faire si un pirate découvre une vulnérabilité zero day. Mais armé d’une sauvegarde récente de vos fichiers les plus importants, vous serez protégé si un cybercriminel utilise un exploit pour attaquer votre ordinateur avec un ransomware ou tout autre type de malware ciblant vos fichiers.
Lorsque vous faites vos sauvegardes sur un disque dur externe, débranchez-le dès que vous ne l’utilisez plus et conservez-le à part. Ceci permet d’empêcher que des programmes malveillants puissent affecter le contenu de votre disque.
-
Utilisez uniquement des logiciels venant d’éditeurs de confiance. Ce conseil s’applique aussi bien aux applications qu’aux extensions et aux plug-ins des navigateurs. Les éditeurs de logiciels fiables s’assurent que leurs produits soient protégés au mieux contre les exploits. Et si un exploit zero day survient, ils réagissent en général rapidement pour publier un correctif de sécurité.
Empêchez l’utilisation des exploits et autres menaces gratuitement
Votre meilleur allié dans la lutte contre les exploits, c’est tout simplement un antivirus puissant doté de bonnes fonctions d’analyse et de détection des menaces en temps réel. AVG Antivirus Gratuit est un outil de cybersécurité puissant et efficace, qui peut vous protéger même contre les exploits zero-day.
Notre esprit d’innovation permanente nous permet de garder une longueur d’avance sur les pirates qui veulent profiter des exploits. AVG Antivirus Gratuit est équipé d’une nouvelle version de l’Agent Web qui bloque les téléchargements dangereux et les sites web malveillants. Avec en plus un logiciel de surveillance permanente qui détecte toute activité suspecte sur votre ordinateur, vous serez bien protégé en cas d’attaque par exploit.