Guide d'autodéfense numérique

Les logiciels malveillants1 (que l’on appelle également malwares) sont des logiciels qui ont été développés dans le but de nuire : collecte d’informations, hébergement d’informations illégales, relai de pourriel, etc. Les virus informatiques, les vers, les chevaux de Troie, les spyware, les rootkits (logiciels permettant de prendre le contrôle d’un ordinateur) et les keyloggers font partie de cette famille. Certains programmes peuvent appartenir à plusieurs de ces catégories simultanément.

Afin de s’installer sur un ordinateur, certains logiciels malveillants exploitent les vulnérabilités du système d’exploitation2 ou des applications. Ils s’appuient sur des erreurs de conception ou de programmation pour détourner le déroulement des programmes à leur avantage. Malheureusement, de telles « failles de sécurité » ont été trouvées dans de très nombreux logiciels, et de nouvelles sont trouvées constamment, tant par des gens qui cherchent à les corriger que par d’autres qui cherchent à les exploiter.

Un autre moyen courant est d’inciter la personne utilisant l’ordinateur à lancer le logiciel malveillant en le cachant dans un logiciel en apparence inoffensif. C'est ainsi qu'un simple lien vers une vidéo posté sur un réseau social lié à la révolution syrienne amenait en fait les internautes à télécharger un virus contenant un keylogger3. L’attaquant n’est alors pas obligé de trouver des vulnérabilités sérieuses dans des logiciels courants. Il est particulièrement difficile de s’assurer que des ordinateurs partagés par de nombreuses personnes ou des ordinateurs qui se trouvent dans des lieux publics, comme une bibliothèque ou un cybercafé, n’ont pas été corrompus : il suffit en effet qu’une seule personne un peu moins vigilante se soit faite avoir…

En outre, la plupart des logiciels malveillants « sérieux » ne laissent pas de signe immédiatement visible de leur présence, et peuvent même être très difficiles à détecter. Le cas sans doute le plus compliqué est celui de failles jusqu'alors inconnues, appelées « exploits zero day »4, et que les logiciels antivirus seraient bien en mal de reconnaître, car pas encore répertoriées. C'est exactement ce genre d'exploitation de failles « zero day » que la compagnie VUPEN a vendu à la NSA en 20125.

En 2006, Joanna Rutkowska a présenté lors de la conférence Black Hat le malware nommé « Blue Pill ». Cette démonstration a montré qu’il était possible d’écrire un rootkit utilisant les technologies de virtualisation pour tromper le système d’exploitation et rendre ainsi vraiment très difficile d’identifier la présence du malware, une fois celui-ci chargé.

Ces logiciels peuvent voler les mots de passe, lire les documents stockés sur l’ordinateur (même les documents chiffrés, s’ils ont été déchiffrés à un moment), réduire à néant des dispositifs d’anonymat sur Internet, prendre des captures d’écran du bureau et se cacher eux-mêmes des autres programmes. Mais ils peuvent également utiliser le micro, la webcam ou d’autres périphériques de l’ordinateur. Il existe un vrai marché spécialisé où l’on peut acheter de tels programmes, personnalisés pour différents objectifs.

Ces logiciels permettent d'effectuer de nombreuses opérations : obtenir des numéros de cartes bancaires, des mots de passe de compte PayPal, à envoyer des pourriels, à participer à attaquer un serveur en le saturant de demandes, etc. Mais ils servent tout aussi bien à espionner des organisations ou des individus spécifiques6.

Pour donner un exemple venu des Émirats Arabes Unis, un militant des droits humains, Ahmed Mansour, a été victime d'une attaque ciblée sur son smartphone7. Un SMS contenant un lien vers un virus lui a été envoyé. Ce virus permettait à la personne le contrôlant d'utiliser la caméra, le micro et de surveiller les activités du téléphone de la victime à tout instant. L'attaque a été déjouée et disséquée grâce à Citizen Lab.

Les services de renseignement et les flics français ont le droit d'utiliser légalement de tels logiciels, ce qui veut très certainement dire qu'ils en disposent. Une suite de logiciels espions attribuée aux services de renseignement français a d'ailleurs été découverte notamment en Iran8.

Personne ne sait combien d’ordinateurs sont infectés par des logiciels malveillants, mais certaines personnes estiment que c’est le cas pour 40 à 90 % des installations de Windows. Il est donc fort probable d’en trouver sur le premier Windows que l’on croisera. Jusqu’à présent, utiliser un système d’exploitation minoritaire (tel GNU/Linux) diminue significativement les risques d’infection car ceux-ci sont moins visés, le développement de malwares spécifiques étant économiquement moins rentable.

On peut d’ores et déjà évoquer quelques moyens de limiter les risques :

  • n’installer (ou n’utiliser) aucun logiciel de provenance inconnue : ne pas faire confiance au premier site web venu9 ;
  • prendre au sérieux, c'est-à-dire considérer un tant soit peu les avertissements des systèmes d’exploitation récents qui tentent de prévenir les utilisateurs lorsqu’ils utilisent un logiciel peu sûr, ou lorsqu’ils indiquent qu’une mise à jour de sécurité est nécessaire ;
  • enfin, limiter les possibilités d’installation de nouveaux logiciels : en limitant l’utilisation du compte « administrateur » et le nombre de personnes y ayant accès.

  1. Toute cette partie est grandement inspirée du passage consacré à la question dans le Surveillance Self-Defense Guide de l’Electronic Frontier Foundation.

  2. D’après l’Internet Storm Center, une installation de Microsoft Windows sur laquelle les mises à jour de sécurité n’ont pas été faites se fait compromettre en environ 7 heures si elle est connectée directement à Internet en 2016.

  3. Eva Galperin et Al., 2014, Quantum of Surveillance: Familiar Actors and Possible False Flags in Syrian Malware Campaigns (en anglais).

  4. Wikipédia, 2014, Vulnérabilité jour zéro.

  5. Grégoire Fleurot, 2013, Espionnage: Vupen, l'entreprise française qui bosse pour la NSA.

  6. Ministry of Justice of Georgia et Al., 2012, Cyber Espionage Against Georgian Government (en anglais).

  7. Andréa Fradin, 2016, « Pegasus », l’arme d’une firme israélienne fantôme qui fait trembler Apple.

  8. Martin Untersinger, 2015, Dino, le nouveau programme-espion développé par des francophones, Le Monde.fr.

  9. Ce conseil vaut tout autant pour les personnes utilisant GNU/Linux. En décembre 2009, le site gnome-look.org a diffusé un malware présenté comme un économiseur d’écran. Ce dernier était téléchargeable sous forme de paquet Debian au milieu d’autres économiseurs et de fonds d’écran.