Comment les sites Malveillants vous infectent et comment vous en défendre

  1. Accueil
  2. Hacking Éthique
  3. Failles Web
  4. Comment les sites Malveillants vous infectent et comment vous en défendre

Après avoir allumé l’ordinateur, vous passez probablement la majorité de votre temps sur Internet, que ce soit sur les réseaux sociaux, sur les blogs, sur les forums, sur les sites d’actualité ou encore pour regarder des vidéos. Le point de contact entre un pirate et Vous, c’est très souvent Internet, plus particulièrement via des sites web malveillants.

Les sites web les plus infectés

En toute logique, si l’on ne visite pas de sites tordus, on ne risque pas grand-chose, n’est-ce pas ?

Comme souvent, les pirates adorent les préjugés comme ceux-ci, et en profitent pour arriver à leurs buts. En effet, beaucoup de sites pourtant connus sont régulièrement infectés par des malwares.

Dans le « Rapport des menaces 2016 » de Symantec, on apprend que 76% de sites d’entreprises scannés contenaient des vulnérabilités.

« 76% de sites d'entreprises scannés contenaient des vulnérabilités »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Les fameuses vulnérabilités

Ces vulnérabilités sont des bugs ou des omissions (volontaires ou non) lors de la création d’une application ou d’un site donné, qui peuvent être utilisées (on dit « exploitées ») par les pirates informatiques. Par exemple, un site web peut contenir une vulnérabilité autorisant l’accès à un compte en fournissant un mot de passe spécifique, mais non valide à la base, qui fait planter le système et autorise la connexion. Il y a un nombre incalculable de vulnérabilités en tout genre, dont certaines peuvent servir à répandre des publicités malveillantes, on en reparlera.

Parmi toutes les vulnérabilités, environ 10% seraient des vulnérabilités critiques. Par « critique », on entend une vulnérabilité similaire à l’exemple donné précédemment avec le mot de passe et qui permet donc de compromettre facilement des données.

graphique sites web infectés

Exemple de vulnérabilités web populaires. Source: ptsecurity.com

Parmi les sites vulnérables, ce sont les sites des catégories Technologie, Business et Blogging qui arrivent sur le podium des sites les plus exploités.

sites malveillants

Source : https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

Comment repérer un site malveillant ou infecté ?

Voici une liste non exhaustive de sites web infectieux, ainsi que leurs méthodes de propagation de malwares.

Les sites de streaming, de piratage, de jeux d’argent ou pornographiques

Il y a toujours une certaine catégorie de sites web qui nous vient à l’esprit lorsqu’on parle de piratage. Parfois, les sites web en eux-mêmes sont illégaux, et tant qu’à faire, autant être illégal jusqu’au bout en piratant même les internautes.

Le vecteur de piratage classique est la publicité vous demandant de visiter un tel site ou de télécharger un tel programme. Ces mêmes sites ne sont habituellement pas autorisés par les régies publicitaires « classiques » comme Google. Ils utilisent donc d’autres régies publicitaires, qui placent les publicités de leur choix, et ce n’est pas forcément bon signe.

Alors oui, vous pouvez bien entendu utiliser des bloqueurs de publicités, mais de plus en plus de sites web vous interdisent l’accès si vous n’acceptez pas les publicités. Et certains vous en affichent tout de même.

Il faut également savoir que ces sites ont besoin de deux choses : du trafic et des clics sur les publicités pour gagner de l’argent. Voici donc pourquoi il n’est pas forcément dans leur intérêt de propager des publicités discrètes que personne ne cliquera.

Voici quelques liens pour en apprendre plus :

Comment fonctionne la publicité sur Internet et quels risques pour les internautes

Comment reconnaître un site malveillant ?

Les téléchargements Drive By

Il s’agit d’une méthode de propagation de logiciels malveillants populaire consistant à se servir d’une autre application pour la propagation.

Voici l’article qui en parle en détail :

Se faire hacker en visitant un site ? Java Drive By Download

Le phishing (ou hameçonnage)

Étant donné que cette menace fonctionne particulièrement bien en plus d’être très utilisée, elle est devenue l’une des plus connues. Les services financiers et autres sites web mettent à présent en garde les utilisateurs contre les tentatives de phishing. Les internautes eux-mêmes prennent conscience de ce risque et prennent le temps de faire des vérifications supplémentaires.

Pour connaître ces vérifications et savoir ce qu’est le phishing, je vous renvoie vers l’article dédié :

Phishing Facebook et Cie, explications et contre-mesures

Les pirates ont plusieurs stratagèmes pour vous faire croire que leur site malveillant est un site officiel :

Le typosquatting

Il s’agit d’enregistrer des noms de domaines semblables à des sites officiels, mais avec de légères variations. Ainsi, un internaute qui voudrait taper trop rapidement « facebook.com » dans sa barre d’adresse pourrait taper « facebok.com ». Rassurez-vous, dans cet exemple Facebook a prévu le coup et s’est approprié le nom de domaine à temps.

Le domain shadowing

Il s’agit de pirater un site en amont, puis de créer un sous-domaine ou une page web redirigeant vers un autre site web. Le problème est plus grave ici, car le nom de domaine est correct…mais le site a été piraté.

Les Exploit kits (kits d’exploitation)

Des vulnérabilités, il y en a partout, même dans votre navigateur ! Et les exploiter est leur but. Les exploit kits se cachent dans des pages web malveillantes en attendant les internautes qui les visitent avec des versions de logiciel ou de navigateur non mises à jour (et vulnérables).

Lorsqu’un pirate détecte une toute nouvelle vulnérabilité, on la considère comme un « zéro day » (jour zéro). C’est-à-dire que seul le pirate connaît la vulnérabilité, celle-ci n’est pas encore patchée, et se trouve donc « exploitable dans la nature ». À partir de là, le pirate construit son kit d’exploitation et le propage dans des pages web, soit en utilisant ses propres sites, soit en faisant de la publicité sur des sites de confiance (parfois la publicité elle-même est exploitée, permettant la propagation de code et de pop-up habituellement non possible).

Infections JavaScript

De la même manière qu’un exploit kit, un code Javascript malveillant peut se répandre sur des sites web, exécutant une action bien spécifique dans le navigateur de la victime. Ce code peut notamment s’installer via des extensions de navigateur qui offrent l’accès à toutes les pages visitées et donc à leur contenu.

Voici l’article qui en parle :

La Fin des Barres d’outils et extensions malveillantes (?)

On peut aussi placer dans cette catégorie le « Self XSS », consistant à exécuter soi-même un code Javascript dans son navigateur en pensant débloquer quelque chose ou pirater une autre personne. Seulement le code exécuté va permettre de pirater celui qui le lance, en envoyant par exemple ses informations personnelles à distance.

Le malvertising

Nous avons parlé des exploit kits et de l’exploitation de la publicité elle-même. Eh bien c’est ce que l’on appelle le « Malvertising ». Il s’agit de trouver des vulnérabilités dans une régie publicitaire, ou plus précisément dans le code utilisé pour afficher des publicités afin de propager des publicités malveillantes. L’exemple classique est l’utilisation d’une publicité anodine, qui se transforme ensuite en publicité malveillante. Vous avez peut-être déjà connu le cas de la fenêtre pop-up difficile à fermer sur votre smartphone, vous indiquant que vous avez « gagné un iPhone », alors que vous étiez en train de visiter un site d’actualité populaire.

Voici un exemple :

site malveillant mobile

Redirections malveillantes

Il est possible qu’un site que vous visitez (connu ou non) soit piraté. Le piratage ne signifie pas forcément une fermeture du site, mais parfois il se fait très discret : seuls les liens sont changés, pour vous rediriger vers d’autres sites malveillants (hameçonnage).

Comment se protéger contre les sites malveillants ou infectés ?

C’est difficile. Les pirates adorent les préjugés et autres méthodes classiques de vérification.

On pourrait par exemple dire qu’un site HTTP est plus risqué qu’un site HTTPS. Même si c’est totalement vrai au niveau du chiffrement des données sur le réseau, cela n’empêche pas un pirate d’utiliser un site de phishing en HTTPS.

On pourrait également utiliser des scanners de sites web, comme VirusTotal. Malheureusement on est confronté aux mêmes problèmes que les antivirus classiques : les faux négatifs et les faux positifs. Un faux négatif se produit lorsqu’un antivirus estime qu’un site ou un programme est sain, alors qu’il est malveillant. À l’inverse, un faux positif se produit lorsqu’un antivirus estime qu’un site web est malveillant alors qu’il est sain. Cette solution est tout de même valable si Virustotal affiche un gros nombre d’antivirus détectant le site comme malveillant.

On pourrait utiliser un bloqueur de publicité, mais notre accès au site risque d’être bloqué ou payant.

Les solutions citées sont donc valides, mais il est important de noter qu’il faut prendre un peu de recul pour analyser la situation.

Les solutions suivantes sont à utiliser sans modération :

  • Garder tous ses logiciels à jour (navigateurs et extensions y compris) : cela évite au maximum les vulnérabilités (même si le risque zéro n’existe pas)
  • Utiliser des « dé-raccourcisseurs d’URL » : raccourcir une URL c’est pratique, mais voir où l’on va sans avoir besoin de cliquer est plus rassurant. Voir : http://www.getlinkinfo.com/.
  • Garder ses connaissances à jour : le fait de connaître les nouvelles menaces et les moyens de s’en protéger est votre meilleure défense. En espérant que cet article y a contribué.

Envie d’en apprendre plus sur les failles web ?

Ces failles et bien d’autres sont vues en détail dans mon cours vidéo sur les tests d’intrusion web.

Nous allons parler des fondamentaux : fonctionnement d’HTTP, d’HTTPs, de DNS et de l’architecture web de manière générale.

Nous allons également mettre en place un laboratoire de test avec des machines virtuelles pour héberger et scanner nos sites vulnérables afin d’apprendre sans rien casser.

Nous allons bien sûr parler de toutes les failles web (XSS, CSRF, SQL, LFI, RFI, …etc) en suivant le Top 10 OWASP mais aussi de tout ce qui gravite autour de la sécurité web : dénis de service, mauvaises configurations, données personnelles, reconnaissance, etc…
Impatient de commencer avec vous, je vous propose un code de réduction pour pouvoir rejoindre le cours dès maintenant :
https://cyberini.com/cours/hacking-ethique-tests-intrusion-web/

Articles similaires

Menu