Exploit Définition | Qu'est-ce qu'un exploit ?

Ce qu'il faut savoir sur les exploits informatiques

Exploits informatiques. Qu'est-ce que c'est et pourquoi faut-il s'en préoccuper ?

Avez-vous déjà remarqué que les développeurs de logiciels n'arrêtent pas de patcher et de mettre à jour leurs logiciels - parfois en publiant des mises à jour quelques jours seulement après la sortie du logiciel initial ?

En effet, chaque logiciel que vous possédez et que vous posséderez dans votre vie comporte des vulnérabilités que les cybercriminels peuvent trouver et exploiter - en d'autres termes, "exploiter". Il n'existe pas de logiciel sans faille, il y aura toujours des failles. Les logiciels informatiques sont aussi solides qu'un bloc de fromage suisse.

Par le biais d'exploits, les cybercriminels peuvent accéder à votre ordinateur et voler des informations sensibles ou installer des malwares. Malgré un ralentissement de l'activité des exploits, les cybercriminels continuent de recourir à cette méthode d'attaque furtive. C'est pourquoi le moment est venu de s'informer sur les exploits et de se protéger en conséquence. Faites défiler la page, lisez la suite et apprenez tout ce que vous devez savoir sur les exploits informatiques.

Qu'est-ce qu'un exploit ? Définition d'un exploit

Un exploit informatique est un type de logiciel malveillant qui tire parti de bogues ou de vulnérabilités que les cybercriminels utilisent pour obtenir un accès illicite à un système. Ces vulnérabilités sont cachées dans le code du système d'exploitation et de ses applications et n'attendent que d'être découvertes et utilisées par les cybercriminels. Les logiciels les plus couramment exploités sont le système d'exploitation lui-même, les navigateurs, Microsoft Office et les applications tierces. Parfois, les exploits sont regroupés par des groupes de cybercriminels dans ce que l'on appelle un kit d'exploitation. Les kits d'exploitation permettent aux criminels ayant des connaissances techniques limitées d'utiliser plus facilement les exploits et de diffuser des malwares.

Pour mieux comprendre ce que sont les exploits, il peut être utile de penser aux coûteux cadenas de bicyclette et d'ordinateur portable en vogue au début des années 2000. Les gens payaient plus de 50 dollars pour ces antivols, pensant qu'ils protégeaient leurs objets de valeur, jusqu'à ce que quelqu'un mette en ligne une vidéo montrant comment ces antivols pouvaient être crochetés en quelques secondes à l'aide d'un stylo Bic bon marché et facile à se procurer.

Les fabricants de serrures ont donc été contraints de mettre à jour leurs serrures et les consommateurs ont dû s'équiper de nouvelles serrures à l'épreuve du crochetage. Il s'agit là d'une exploitation concrète d'un système de sécurité physique. En ce qui concerne les logiciels, les cybercriminels sont à la recherche d'astuces astucieuses, comme le type du stylo Bic, qui leur permettront d'accéder aux ordinateurs, aux appareils mobiles et aux réseaux d'autres personnes.

Les attaques de type "exploit" commencent souvent par des malspams et des téléchargements "drive-by". Les cybercriminels incitent les victimes peu méfiantes à ouvrir une pièce jointe infectée ou à cliquer sur des liens qui redirigent vers un site web malveillant. Les pièces jointes infectées, souvent des documents Word ou PDF, contiennent un code d'exploitation conçu pour tirer parti des faiblesses des applications.

Les téléchargements "drive-by" tirent parti des vulnérabilités de votre navigateur, comme Internet Explorer ou Firefox par exemple, ou des modules d'extension fonctionnant dans votre navigateur, comme Flash. Il se peut que vous visitiez un site web que vous avez déjà consulté en toute sécurité par le passé, mais cette fois-ci, le site a été piraté et vous ne vous en rendez même pas compte. Il se peut aussi que vous cliquiez sur un lien malveillant dans un courrier électronique non sollicité qui vous conduit à une version falsifiée d'un site web familier.

Dans certains cas particulièrement délicats, vous pouvez visiter un site web légitime affichant une publicité ou un pop-up infecté par un logiciel malveillant, également connu sous le nom de " malvertising". Lorsque vous visitez le site, le code malveillant de la page web agit de manière invisible en arrière-plan pour charger des malwares sur votre ordinateur.

Les cybercriminels utilisent les exploits comme un moyen de parvenir à des fins malveillantes, allant du problème ennuyeux à la nuisance paralysante. Les cybercriminels peuvent essayer de mettre les ressources de votre ordinateur au service d'un réseau de zombies dans le cadre d'une attaque DDoS ou pour extraire des bitcoins(cryptojacking).

Les cybercriminels peuvent aussi essayer d'installer des logiciels publicitaires et inonder votre bureau de publicités. Les cybercriminels peuvent vouloir s'introduire dans votre système et voler carrément des données ou installer des malwares pour collecter secrètement des données au fil du temps(logiciels espions). Enfin, les cybercriminels peuvent installer des malwares qui cryptent tous vos fichiers et exigent un paiement en échange de la clé chiffrement (ransomware).

Qu'est-ce qu'un exploit de type "zero-day" ?

Jour zéro ! Le seul jour de l'année où nous nous arrêtons pour reconnaître l'humble petit zéro. Si seulement c'était vrai. En réalité, un exploit "zéro jour", également connu sous le nom d'exploit "zéro heure", est une vulnérabilité logicielle dont personne d'autre que le cybercriminel qui l'a créée n'a connaissance et pour laquelle il n'existe pas de correctif disponible. Une fois qu'un exploit est connu du public, il ne s'agit plus d'un "zero-day". Parfois, un exploit connu est appelé "exploit n-day", ce qui signifie qu'un ou plusieurs jours se sont écoulés depuis que l'exploit a été rendu public.

Dès qu'un exploit de type "zero-day" est rendu public, les fabricants de logiciels se lancent dans une course contre les criminels pour corriger l'exploit avant que ces derniers ne puissent en profiter et en récolter les fruits. Heureusement, les chercheurs ont des scrupules. S'ils découvrent un exploit avant les criminels, ils signalent généralement la faille au fabricant et lui donnent la possibilité de la corriger avant d'en informer le grand public (et les criminels).

La recherche proactive d'exploits est devenue un sport pour certains pirates informatiques. Lors de la compétition annuelle Pwn2own, les experts en exploits gagnent de l'argent et des prix pour avoir réussi à pirater des logiciels populaires dans plusieurs catégories, notamment les navigateurs web et les applications d'entreprise. Afin de démontrer leur intérêt pour la sécurité des logiciels, Microsoft et VMware ont sponsorisé l'événement Pwn2own en 2018.

En ce qui concerne la proactivité des fabricants de logiciels dans la recherche et la correction des failles, David Sanchez, ingénieur de recherche principal à l'adresse Malwarebytes , a déclaré : "Il est vrai que Microsoft et d'autres fabricants de logiciels travaillent d'arrache-pied pour sécuriser leurs applications telles qu'Office et qu'il est devenu difficile, voire presque impossible, de les exploiter. Security et les cybercriminels trouvent encore le moyen de les exploiter avec succès. Une sécurité à 100 % n'est qu'une illusion, mais les applications Malwarebytes protègent les gens au plus près de ce 100 %."

"Une sécurité à 100 % n'est qu'une illusion. Les applications Malwarebytes protègent les gens au plus près de ce 100 %."
- David Sanchez
Malwarebytes Principal Research Engineer

Histoire des exploits informatiques

Les exploits sont aussi vieux que l'informatique. Comme nous l'avons souligné, tous les logiciels présentent des vulnérabilités et il y a eu de véritables exploits au fil des ans. Voici un bref aperçu de quelques-uns des exploits informatiques les plus notables.

Notre exploration des plus grands (c'est-à-dire des pires) exploits du monde commence en 1988 avec le ver Morris, l'un des premiers vers et exploits informatiques. Nommé d'après son créateur Robert Tappan Morris, le ver éponyme a été conçu pour déterminer l'ampleur de l'internet au cours de ces premières années d'existence en utilisant diverses vulnérabilités pour accéder à des comptes et déterminer le nombre d'ordinateurs connectés à un réseau.

Le ver est devenu incontrôlable, infectant les ordinateurs plusieurs fois, exécutant simultanément plusieurs copies du ver jusqu'à ce qu'il n'y ait plus de ressources pour les utilisateurs légitimes. Le ver Morris était devenu une attaque DDOS.

Le ver SQL Slammer a pris le monde d'assaut en 2003, en enrôlant dans son réseau de zombies quelque 250 000 serveurs utilisant le logiciel SQL Server de Microsoft. Une fois qu'un serveur était infecté, il utilisait un style d'attaque dispersé, générant des adresses IP aléatoires et envoyant du code infecté à ces adresses. Si le serveur ciblé est équipé de SQL Server, il est également infecté et ajouté au réseau de zombies. À la suite de SQL Slammer, 13 000 distributeurs automatiques de billets de Bank of America ont été mis hors service.

Le ver Conficker de 2008 est remarquable pour plusieurs raisons. Tout d'abord, il a attiré un grand nombre d'ordinateurs dans son réseau de zombies - 11 millions d'appareils à son apogée. Ensuite, Conficker a popularisé un type de subterfuge utilisé par les virus pour éviter d'être détectés, appelé " algorithme de génération de domaine" (DGA). En bref, la technique DGA permet à un logiciel malveillant de communiquer sans fin avec son serveur de commande et de contrôle (C&C) en générant de nouveaux domaines et de nouvelles adresses IP.

Conçu pour attaquer le programme nucléaire iranien, le ver Stuxnet de 2010 a tiré parti de multiples vulnérabilités de type "zero-day" dans Windows pour accéder à un système. À partir de là, le ver a pu s'autoreproduire et se propager d'un système à l'autre.

Découvert en 2014, l'exploit Heartbleed a été utilisé pour attaquer le système chiffrement qui permet aux ordinateurs et aux serveurs de communiquer en privé. En d'autres termes, les cybercriminels pourraient utiliser cet exploit pour écouter votre conversation numérique. Le système chiffrement , appelé OPEN SSL, était utilisé sur 17,5 % des serveurs web "sécurisés" , soit un demi-million. Cela fait beaucoup de données vulnérables.

Comme il s'agit d'un problème concernant les sites web que vous visitez (côté serveur), et non d'un problème sur votre ordinateur (côté client), c'est aux administrateurs de réseau qu'il incombe d'appliquer les correctifs nécessaires. La plupart des sites web réputés ont mis en place des correctifs il y a plusieurs années, mais pas tous.

2017 a été une année faste pour les ransomwares. Les attaques de ransomware WannaCry et NotPetya ont profité des exploits EternalBlue/DoublePulsar Windows afin de se faufiler dans les ordinateurs et de prendre les données en otage. Ensemble, ces deux attaques ont causé 18 milliards de dollars de dommages dans le monde. L'attaque NotPetya, en particulier, a temporairement paralysé, entre autres, une chocolaterie Cadbury et le fabricant de préservatifs Durex. Les hédonistes du monde entier ont retenu leur souffle collectif jusqu'à ce que l'exploit soit corrigé.

L'attaque d'Equifax en 2017 aurait pu être évitée si l'agence d'évaluation du crédit s'était efforcée de maintenir ses logiciels à jour. Dans ce cas, la faille logicielle utilisée par les cybercriminels pour s'introduire dans le réseau de données d'Equifax était déjà bien connue et un correctif était disponible. Au lieu d'y remédier, Equifax et son logiciel obsolète ont permis aux cybercriminels de voler les informations personnelles de centaines de millions de clients américains. "Merci.

Avant que les utilisateurs d'Apple ne commencent à penser que les Mac ne sont pas susceptibles de faire l'objet d'attaques basées sur des exploits, il faut se rappeler le bug de 2017 qui permettait aux cybercriminels d'entrer le mot "root" dans le champ du nom d'utilisateur et d'appuyer deux fois sur la touche retour pour obtenir un accès complet à l'ordinateur. Ce bogue a été rapidement corrigé avant que les cybercriminels ne puissent en profiter, mais cela montre bien que tout logiciel peut comporter des bogues exploitables. Nous avions déjà signalé que les exploits surMac étaient en augmentation. À la fin de l'année 2017, la plateforme Mac comptait 270 % de menaces uniques de plus qu'en 2016.

Jusqu'à présent, il y a eu peu de nouvelles dans le monde des exploits de navigateurs. En revanche, les kits d'exploitation Office ont tendance à augmenter. Depuis 2017, nous avons remarqué une augmentation de l'utilisation des kits d'exploitation basés sur Office. C'est à l'automne de cette année-là que nous avons signalé pour la première fois de multiples exploits Word innovants, dont un caché dans de faux avis du fisc et une autre attaque zero-day cachée dans des documents Word - nécessitant peu ou pas d'interaction de la part de la victime pour se déclencher.

Nous voyons maintenant apparaître un nouveau type de kit d'exploitation Office qui ne s'appuie pas sur les macros, c'est-à-dire sur un code spécial intégré dans le document, pour faire son sale boulot. Ce kit d'exploitation utilise plutôt le document comme un leurre tout en déclenchant un téléchargement automatique qui déploie l'exploit.

Plus récemment, les cybercriminels ont déployé des malwares sans fichier, ainsi nommés parce que ce type de logiciel malveillant ne dépend pas du code installé sur l'ordinateur cible pour fonctionner. Au lieu de cela, les malwares sans fichier exploitent les applications déjà installées sur l'ordinateur, ce qui a pour effet d'armer l'ordinateur contre lui-même et contre d'autres ordinateurs.

"Les malwares sans fichier exploitent les applications déjà installées sur l'ordinateur, ce qui a pour effet d'armer l'ordinateur contre lui-même et contre les autres ordinateurs.

Exploits sur mobile : Android et iOS

La principale préoccupation des utilisateurs de téléphones portables est l'installation d'applications qui n'ont pas été approuvées par Google et Apple. Le téléchargement d'applications en dehors du Google Play Store et de l'Apple App Store signifie que les applications n'ont pas été vérifiées par les entreprises respectives. Ces applications non approuvées peuvent tenter d'exploiter les vulnérabilités de iOS/Android pour accéder à votre appareil mobile, voler des informations sensibles et effectuer d'autres actions malveillantes.

Comment puis-je me protéger contre les exploits ?

Les exploits peuvent faire peur. Cela signifie-t-il que nous devrions jeter nos routeurs par la fenêtre et faire comme si nous étions à l'âge des ténèbres informatiques d'avant Internet ? Certainement pas. Voici quelques conseils pour vous permettre d'être proactif en matière de protection contre les exploits.

Restez à jour. Mettez-vous régulièrement à jour votre système d'exploitation et toutes les applications que vous avez installées ? Si vous avez répondu par la négative, vous pourriez être une victime potentielle des cybercriminels. Une fois que l'éditeur d'un logiciel a connaissance d'un exploit de type "zero-day" et qu'un correctif est publié, il incombe à l'utilisateur individuel de corriger et de mettre à jour son logiciel. En fait, les exploits du jour zéro deviennent plus dangereux et plus répandus une fois qu'ils sont connus du public, parce qu'un groupe plus large d'acteurs de la menace tire parti de l'exploit. Vérifiez auprès de vos fournisseurs de logiciels si des mises à jour ou des correctifs sont disponibles. Si possible, allez dans les paramètres de votre logiciel et activez les mises à jour automatiques afin que ces mises à jour se fassent automatiquement en arrière-plan, sans effort supplémentaire de votre part. Vous éliminerez ainsi le délai entre l'annonce d'une vulnérabilité et le moment où elle est corrigée. Les cybercriminels profitent des personnes qui oublient ou ne savent tout simplement pas qu'il faut mettre à jour et corriger leurs logiciels.
Mettez votre logiciel à jour. Dans certains cas, une application logicielle devient tellement vieille et lourde que le fabricant cesse de la soutenir(abandonware), ce qui signifie que les bogues supplémentaires découverts ne seront pas corrigés. Dans le prolongement du conseil précédent, assurez-vous que votre logiciel est toujours pris en charge par le fabricant. Si ce n'est pas le cas, passez à la dernière version ou optez pour un autre logiciel qui fait la même chose.
Restez en sécurité en ligne. Assurez-vous que les options SmartScreen de Microsoft ou Safe Browsing de Google sont activées dans le navigateur web de votre choix. Votre navigateur vérifiera chaque site que vous visitez par rapport aux listes noires gérées par Microsoft et Google et vous éloignera des sites connus pour diffuser des malwares. Des outils anti-programmes malveillants efficaces tels que Malwarebytespar exemple, bloqueront également les sites malveillants, vous offrant ainsi plusieurs niveaux de protection.
Utilisez-le ou perdez-le. Les pirates informatiques vont pirater. Il n'y a pas grand-chose que nous puissions faire à ce sujet. Mais s'il n'y a pas de logiciel, il n'y a pas de vulnérabilité. Si vous n'utilisez plus le logiciel, supprimez-le de votre ordinateur. Les pirates ne peuvent pas s'introduire dans quelque chose qui n'existe pas.
Installez des applications autorisées. Pour assurer la sécurité de votre appareil mobile, n'utilisez que des applications autorisées. Il peut arriver que vous souhaitiez sortir de l'App Store et du Google Play Store, par exemple lorsque vous testez une nouvelle application, mais vous devez alors vous assurer que vous pouvez faire confiance au fabricant de l'application. D'une manière générale, il convient toutefois de s'en tenir aux applications approuvées par Apple et Google.
Utilisez un logiciel anti-exploit. Vous avez donc pris toutes les précautions nécessaires pour éviter les attaques basées sur des exploits. Qu'en est-il des exploits du jour zéro ? N'oubliez pas qu'un exploit "zero-day" est une vulnérabilité logicielle que seuls les cybercriminels connaissent. Il n'y a pas grand-chose que nous puissions faire pour nous protéger des menaces que nous ne connaissons pas. Ou bien si ? Un bon programme anti-programmes malveillants, comme Malwarebytes pour Windows, Malwarebytes pour Mac, Malwarebytes pour Android, ou Malwarebytes pour iOS, peut reconnaître et bloquer de manière proactive les malwares qui tirent parti des vulnérabilités de votre ordinateur grâce à une analyse heuristique de l'attaque. En d'autres termes, si le logiciel suspect est structuré et se comporte comme un logiciel malveillant, Malwarebytes le signalera et le mettra en quarantaine.

Comment les exploits affectent-ils mon entreprise ?

À bien des égards, votre entreprise représente une cible de plus grande valeur pour les cybercriminels et les exploiteurs que le consommateur individuel - plus de données à voler, plus de rançons à obtenir et plus de points d'extrémité à attaquer.

Prenons l'exemple de la violation des données d'Equifax. Dans ce cas, les cybercriminels ont utilisé une faille dans Apache Struts 2 pour accéder au réseau d'Equifax et élever leurs privilèges d'utilisateur. Une fois sur le réseau, les attaquants se sont improvisés administrateurs du système, accédant ainsi aux données sensibles de millions de consommateurs. Personne ne connaît toutes les retombées de l'attaque d'Equifax, mais elle pourrait finir par coûter des millions de dollars à l'agence d'évaluation du crédit. Une action collective est en cours et des particuliers poursuivent Equifax devant les tribunaux des petites créances, gagnant jusqu'à 8 000 dollars par affaire.

Outre l'escalade des privilèges, les exploits peuvent être utilisés pour déployer d'autres malwares, comme ce fut le cas avec l'attaque du ransomware NotPetya. NotPetya s'est répandu sur Internet, attaquant aussi bien les particuliers que les entreprises. En utilisant les exploits EternalBlue et MimiKatz Windows , NotPetya a pris pied sur un réseau et s'est propagé d'ordinateur en ordinateur, verrouillant chaque point d'extrémité, chiffrant les données des utilisateurs et paralysant l'activité de l'entreprise. Les ordinateurs, les smartphones, les téléphones de bureau VOIP, les imprimantes et les serveurs ont tous été rendus inutilisables. Total Les dommages subis par les entreprises du monde entier ont été estimés à 10 milliards de dollars.

Comment protéger votre entreprise ? Vous devez éliminer les faiblesses de votre système à l'aide d'une bonne stratégie de gestion des correctifs. Voici quelques éléments à prendre en compte pour déterminer ce qui convient le mieux à votre réseau.

Mettre en œuvre la segmentation du réseau. La répartition de vos données sur des sous-réseaux plus petits réduit votre surface d'attaque - les petites cibles sont plus difficiles à atteindre. Cela peut permettre de limiter une brèche à quelques points d'extrémité au lieu de l'ensemble de l'infrastructure.
Appliquer le principe du moindre privilège (PoLP). En bref, donnez aux utilisateurs le niveau d'accès dont ils ont besoin pour faire leur travail, et rien de plus. Une fois de plus, cela permet de limiter les dommages causés par les brèches ou les attaques de ransomware.
Restez au courant des mises à jour. Gardez un œil sur le Patch Tuesday et planifiez en conséquence. Le Microsoft Security Response Center tient un blog avec toutes les dernières informations sur les mises à jour. Vous pouvez également vous abonner à leur lettre d'information par courrier électronique pour rester informé des correctifs apportés chaque mois.
Donnez la priorité à vos mises à jour. Le lendemain du Patch Tuesday est parfois appelé (avec une pointe d'humour) le mercredi des exploits. Les cybercriminels ont été informés de l'existence d'exploits potentiels et la course est lancée pour mettre à jour les systèmes avant que les cybercriminels n'aient une chance d'attaquer. Pour accélérer le processus d'application des correctifs, vous devriez envisager de lancer les mises à jour sur chaque point d'extrémité à partir d'un agent central, au lieu de laisser chaque utilisateur final s'en charger à sa guise.
Vérifiez vos mises à jour après coup. Les correctifs sont censés réparer les logiciels, mais il arrive qu'ils finissent par tout casser. Cela vaut la peine de faire un suivi et de s'assurer que les correctifs que vous avez diffusés sur votre réseau n'ont pas aggravé les choses et de les désinstaller si nécessaire.
Se débarrasser des logiciels abandonnés. Il est parfois difficile de se débarrasser d'un vieux logiciel dont la date d'expiration est dépassée, surtout dans une grande entreprise où le cycle d'achat se déroule avec l'urgence d'un paresseux, mais un logiciel abandonné est vraiment le pire des scénarios pour tout administrateur de réseau ou de système. Les cybercriminels recherchent activement des systèmes utilisant des logiciels obsolètes et périmés, il faut donc les remplacer dès que possible.
Bien entendu, un bon logiciel de sécurité des points d'accès est un élément essentiel de tout programme de protection contre les exploits. Pensez à Malwarebytes. Avec Malwarebytes Endpoint Protection et Malwarebytes Endpoint Detection and Response, nous avons une solution pour tous les besoins de sécurité de votre entreprise.

Enfin, si tout ceci n'a pas assouvi votre soif de connaissances sur les exploits, vous pouvez toujours en lire davantage sur le blog Malwarebytes Labs .