MemHT Portal Un spyware, en français "espiogiciel" ou "logiciel espion", est un programme ou un sous-programme conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur ou à un tiers via internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.

Même préalablement informé d'un éventuel tracking, l'utilisateur n'en reste pas moins soumis à une surveillance dont la nature peut s'avérer illégale du point de vue de la législation de son pays. L'analyse de sa navigation sur internet peut ainsi par exemple permettre de déduire et de stocker des informations - réelles ou supposées - sur ses origines raciales, ses opinions politiques, philosophiques ou religieuses ou encore son appartenance syndicale, ce qui est interdit en France sans le consentement de l'intéressé.

Une autre définition du spyware pourrait être un logiciel commercial (c'est-à-dire légalement disponible dans le commerce, payant ou gratuit) que son mode de financement ou son mode de fonctionnement amène à recueillir puis transmettre à un tiers des données personnelles concernant ses utilisateurs, sans avoir obtenu au préalable une autorisation explicite et éclairée de ces derniers. Les spywares sont donc différents des chevaux de Troie et autres enregistreurs de frappes au clavier (keyloggers), contrairement à une déformation récente de leur définition, même si ces derniers peuvent également être utilisés pour collecter et envoyer des données sensibles, dans un but cette fois clairement malveillant. Ces derniers sont détectés et supprimés de façon systématique par les antivirus, ce qui n'est pas le cas des spywares, qui peuvent malgré tout avoir été installés volontairement par certains utilisateurs.

Les spywares sont parfois confondus avec les adwares, ces logiciels dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir ni transmettre de données personnelles et sans forcément porter atteinte à la vie privée de leurs utilisateurs (le navigateur Opéra avant le 20/09/05 ou le logiciel de messagerie Eudora en version gratuite sont des adwares). Ils sont également confondus à tort avec les cookies et les web-bugs, qui ne sont pas des programmes espions mais plutôt des procédés techniques dont la mise en oeuvre peut être détournée pour porter atteinte à la vie privée.

Deux types de spywares

Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :

    * les spywares commerciaux collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres pop-up, voire en modifiant le contenu des sites web visités afin par exemple d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu ;

    * les mouchards collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de débogage ou de maintenance technique, voire de cybersurveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou payant, mais de par leur nature ils sont peu fréquent, le risque en terme d'image en cas de découverte et médiatisation de l'existence du mouchard par un utilisateur étant à lui seul dissuasif pour la plupart des éditeurs.

Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :

    * le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur ;

    * le spyware externalisé est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ou Web3000, avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel peer-to-peer KaZaA, et s'installe séparément mais en même temps que lui.

Une nouvelle tendance encore plus contestable concerne les utilisateurs du navigateur Internet Explorer. Certains spywares comme Gator cherchent à s'installer automatiquement sur le poste de l'internaute au moyen de la technologie ActiveX, lors de la visite de pages web peu recommandables.

Fonctionnement d'un spyware

Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).

L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registres.

La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration. Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware, et le cryptage des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.

Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Règles générales de protection

Depuis les scandales provoqués en 1999 par la découverte de spywares dans SmartUpdate (Netscape) et RealJukeBox (Real Networks), la pratique est devenue plus transparente dans le cas des spywares commerciaux, même si les abus restent nombreux. Quelques règles simples peuvent être observées :

    * lisez attentivement les conditions d'utilisation d'un logiciel avant de l'installer. L'existence d'un spyware commercial et de ses fonctionnalités annexes y sont normalement signalées, même s'il faut bien souvent lire entre les lignes car le spyware y est présenté en des termes édulcorés voire trompeurs, voire parce que tout est fait pour que l'utilisateur évite de lire lesdites conditions d'utilisation. Si vous ne comprenez pas la langue dans laquelle est rédigée une licence d'utilisation vous ne devriez pas installer le logiciel concerné ;

    * réfléchissez bien avant de dévoiler des informations personnelles. Dans le meilleur des cas, les conditions d'utilisation sont généralement conformes au droit américain, donc beaucoup moins protectrices en matière de vie privée qu'en Europe. Notamment ne donnez pas votre adresse email permanente chez votre fournisseur d'accès mais plutôt un compte d'email gratuit qui pourra être fermé en cas de spamming ;

    * n'acceptez pas sans réfléchir les programmes supplémentaires éventuellement proposés lors de l'installation d'un logiciel. New.net, SaveNow et Webhancer sont ainsi proposés par défaut lors de l'installation de KaZaA, mais il suffit de décocher les cases correspondantes pour qu'ils ne soient pas installés ;

    * installez un firewall personnel et surveillez les demandes d'autorisation de connexion à internet, afin de détecter toute application suspecte. C'est une autre bonne raison d'installer un firewall personnel ;

    * informez-vous auprès de sites spécialisés. Secuser.com et sa lettre d'information hebdomadaire Secuser News aborde régulièrement la question des spywares au travers de l'actualité ou de dossiers ;

    * gardez enfin à l'esprit qu'installer un logiciel n'est jamais une opération anodine : cela revient à autoriser le programme à effectuer toutes les opérations qu'il souhaite sur votre disque dur. Outre un spyware, un programme douteux peut contenir un virus ou un troyen, donc un minimum de précaution s'impose.

Les spywares commerciaux n'étant pas des virus ni des troyens, analyser son disque dur avec un antivirus à jour n'assure pas de l'absence d'un spyware. Il existe cependant d'autres moyens de les détecter voire de les éliminer : il est ainsi utile d'exécuter un antispyware périodiquement ou après l'installation d'un logiciel douteux, pour s'assurer de ne pas avoir installé un spyware sans le savoir.]]> Les virus sont un fléau majeur de l'informatique, et pas seulement sur internet : un simple échange de disquettes entre copains ou collègues de travail peut contaminer votre disque dur, sans même éveiller vos soupçons. Car la bestiole est souvent rusée. Autopsie.

Qu'est-ce qu'un virus?

Un virus est un petit programme conçu pour se cacher dans votre ordinateur, puis se multiplier, se répandre de par le monde et enfin déclencher une action (message, destruction, petite musique, etc.). On dénombre plusieurs catégories de virus, en fonction de la cible visée dans l'ordinateur.

Les différentes familles de virus

La première catégorie regroupe les virus de secteur d'amorce (= virus de "boot sector", c'est-à-dire affectant la zone du disque qui est lue en premier au démarrage) tels que Form, jack the ripper, french boot, parity boot... Ces virus remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur.

Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du fichier, de manière à ce qu'il soit exécuté avant le programme infecté, puis il lui rend la main, camouflant ainsi son exécution aux yeux de l’utilisateur.

Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du disque dur par exemple).

Enfin, il y a les virus de mail, également appelés vers. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie" caractéristique, une constante.

Il ne faut pas confondre les virus avec les troyens ou les emails bombs. Contrairement à son cousin le virus, qui profite de toute occasion pour se multiplier, le troyen véritable ne se reproduit pas (pour plus d'informations, consultez le dossier Secuser.com sur les troyens). Par ailleurs, plusieurs vulnérabilités dans les logiciels Internet Explorer / Outlook font que certains virus peuvent infecter votre ordinateur à la simple ouverture du message ou lors de sa lecture dans la fenêtre de visualisation voire en consultant une page web si Internet Explorer n'a pas été patché contre cette vulnérabilité.

Fonctionnement d'un virus

Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers compressés. Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut très bien avoir été infecté avant compression, et se révélera donc dangereux une fois décompressé.

Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de l'analogie avec le virus biologique. Comme lui, le virus informatique essaie de contaminer tout ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre le plus largement possible. Les virus infectent un maximum de fichiers puisqu'ils demeurent en mémoire dès le démarrage de l'ordinateur. Ils interceptent les commandes du Bios, et agissent ainsi selon leur humeur...

Règles générales de protection

La prévention paie toujours. Quelques règles simples peuvent être appliquées :

    * ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux;

    * méfiez-vous des fichiers joints aux messages que vous recevez : analysez avec un antivirus à jour tout fichier avant de l'ouvrir, et préférez détruire un mail douteux plutôt que d'infecter votre machine, même si l'expéditeur est connu;

    * fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture;

    * créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence;

    * procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...

    * tenez-vous au courant des apparitions de nouveaux virus. Secuser.com vous offre ce service en émettant des alertes lorsqu'un virus connaît une diffusion importante. Les informations (nom du virus, mode de transmission connu, etc.) sont alors consultables en ligne dans sur le site, ou par abonnement gratuit à la lettre hebdomadaire Secuser News, ou encore en temps réel via la liste Secuser Alerte. Connaître l'existence du virus, c'est déjà le tuer à moitié...

En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination - consiste à installer un antivirus (certains sont gratuits, voir les liens utiles en fin d'article). Une solution qui reste toute relative, car aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention. Par ailleurs, de nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum mensuelle, mais pas toujours gratuite...]]>