Méfiez-vous des « renifleurs » ! | 2M Consulting / Audit / Expertise comptable / Conseil // Paris 12ème

Rechercher une ressource

Après les virus, les chevaux de Troie, les vers, les « spywares », la famille des logiciels malveillants compte désormais dans ses rangs un petit nouveau : le « renifleur ». Derrière cette appellation pour le moins étrange se cache un programme parasite qui, à la différence de ses « frères » et « sœurs », ne se distingue pas par son mode de fonctionnement, mais par la mission qu’il poursuit : découvrir vos mots de passe pour les communiquer à des pirates.

Comment ça marche ?

Cinquième cause d’infection des ordinateurs français, selon le dernier rapport sur la sécurité informatique de Microsoft, les renifleurs utilisent la technique des chevaux de Troie pour prendre place sur un PC. Autrement dit, à l’instar des guerriers grecs cachés dans les flancs d’un cheval de bois, les lignes de codes « malicieuses » que constitue le renifleur sont dissimulées au cœur d’un logiciel, en apparence anodin (jeu, utilitaire…). Logiciel qui, de fait, est le plus souvent installé volontairement et en toute bonne foi,par l’utilisateur de l’ordinateur. Dès son lancement, le programme hôte libère alors le renifleur, lui permettant d’exécuter, en toute discrétion, les objectifs qui lui ont été assignés par son programmeur.

Les banques en ligne de mire

Si certains renifleurs se sont spécialisés dans la recherche de codes d’accès à des jeux en ligne, des banques de données de musique, de films ou à des sites pornographiques, d’autres, à l’instar des redoutés « Win 32/Banker » et « Win 32/Bancos », ciblent les clients des banques. Concrètement, le renifleur entre en action lorsque l’utilisateur du PC se connecte sur le site de sa banque. À cet instant, il fait apparaître à l’écran un module de connexion ressemblant à celui de l’établissement financier. Sans en avoir conscience, en renseignant les champs de ce module, l’internaute livre alors au pirate concepteur du renifleur son code d’accès et son mot de passe.

Rester attentif

Il convient ici de préciser que les renifleurs ne créent pas automatiquement une interface de saisie comparable à celle du site de l’établissement financier de l’internaute. Pratiquement, pour que ce programme parasite devienne actif, il faut que la banque de l’internaute ait été visée par le pirate. Autrement dit, que ce dernier ait préalablement identifié son adresse internet et qu’il ait conçu une interface de saisie suffisamment ressemblante pour tromper le client de cette banque. Dès lors, il est impératif de rester attentif au moindre changement apparaissant sur le module de saisie. Changement pouvant porter sur sa taille, les mentions inscrites (quelquefois on y trouve des fautes de frappe), la localisation du module sur l’écran, ou encore la nature et le nombre de données réclamées. En effet, il n’est pas rare que des pirates, un peu trop gourmands, tentent à l’aide de ces interfaces contrefaites de récolter non seulement le code d’accès et le mot de passe d’un client, mais aussi son numéro de carte bancaire et le code qui lui est associé. Quoi qu’il en soit, s’il existe le moindre doute, il est impératif de n’entrer aucune information sur l’interface de saisie suspecte avant d’avoir vérifié que l’ordinateur n’est pas infecté par un renifleur.

Antivirus et Pare-feu

À l’instar de nombreux autres logiciels malveillants, les renifleurs peuvent être identifiés et neutralisés par un antivirus. Une analyse régulière des disques durs des PC et des éventuels serveurs sur lesquels ils sont connectés est ainsi fortement recommandée. En outre, il convient de rappeler que ces programmes ne peuvent traiter de manière efficace que les logiciels parasites dont la signature est inscrite dans leur base de données. Une mise à jour quotidienne de cette dernière s’avère donc indispensable.
Par ailleurs, les renifleurs, pour remplir leur mission, doivent parvenir à transmettre à des pirates les informations dérobées. Pour les en empêcher, il existe un logiciel, baptisé « pare-feu » ou « firewall », dont le rôle est de contrôler les voies d’accès à internet empruntées par un ordinateur. Ce programme doit impérativement être activé, mais aussi correctement paramétré pour être capable de bloquer non seulement l’entrée de données suspectes, mais aussi leur sortie. On peut ici préciser qu’à la différence d’un antivirus, le pare-feu est un outil dont le paramétrage nécessite de solides connaissances informatiques, notamment dans le domaine des réseaux. L’installation et surtout le réglage de ce logiciel de sécurité devront être confiés à un professionnel.

Le phishing toujours dangereux

Arnaque très en vogue, le phishing est une technique qui consiste à envoyer à un maximum d’internautes un mail les incitant à livrer, par retour de courrier ou en les orientant vers un faux site (imitation du Web d’une banque, d’une société de vente en ligne, d’une assurance, d’une administration…), des mots de passe ou des coordonnées bancaires. Souvent assez grossiers, ces pourriels pirates ne trompent plus grand monde, et seul l’envoi en masse permet à leurs auteurs d’attraper quelques internautes par trop crédules.
Toutefois, il existe de nouvelles techniques de phishing qui incitent à une plus grande vigilance face aux demandes qui peuvent nous être adressées par courriel. Ces techniques, utilisées par de plus en plus d’escrocs, ne se basent plus sur le nombre d’envois pour dégoter un pigeon, mais sur la qualité du message. Ainsi, dans un premier temps, un logiciel espion débarque dans la boîte de la future victime pour y analyser le contenu des courriels qui y sont stockés. Ensuite, les données sont rapatriées par le pirate qui, informé des échanges de l’internaute (identification de sa banque, des commerces auprès desquels il réalise des achats, des services administratifs à accès sécurisé…), conçoit un courriel personnalisé et l’expédie. Dès lors, la victime reçoit, par exemple, un mail nominatif aux couleurs de sa banque qui l’informe que, suite à un problème technique, il est prié de se rendre sur un site dont l’adresse est intégrée au message. L’internaute se trouve alors face à un serveur Web en tous points identique à celui de sa banque, il entre son « login », le mot de passe…

Quelques règles à respecter

Bien entendu, l’installation et le paramétrage d’un antivirus et d’un pare-feu sont les premières actions qu’il convient de mettre en œuvre pour limiter les risques de contamination. Toutefois, ces seuls logiciels, aussi performants soient-ils, ne sont pas suffisants pour garantir notre sécurité. Quelques règles de bonne conduite doivent également être respectées :

Sur internet
- éviter les logiciels de « peer to peer » (Kaaza, e-Mule, BitTorrent…) sur lesquels des milliers d’internautes s’échangent des fichiers. C’est une vraie mine de chevaux de Troie et autres « malwares » ;
- le téléchargement des utilitaires et autres logiciels gratuits ne doit se faire qu’à partir de sites reconnus pour leur sérieux (CNET, telecharger.com, commentcamarche.net…) ;
- les sites pornographiques, foyers d’infection réputés, doivent aussi être évités.

Des gestes qui sauvent
- nos ordinateurs personnels sont souvent moins bien protégés que ceux du cabinet. Toute clé USB ou disquette utilisée pour transmettre des données de l’un à l’autre doit être systématiquement passée à l’antivirus ;
- ne jamais ouvrir les pièces jointes des courriels dont l’expéditeur n’est pas connu ou dont le contenu est suspect (rédigé dans une langue autre que celle de l’expéditeur ou qui n’a pas de rapport avec les sujets habituellement traités) ;
- concernant le phishing, il faut savoir qu’aucune banque, société de vente en ligne ou administration n’adresse jamais de demande de mot de passe et encore moins de références bancaires par courriel. Il est donc impératif de ne jamais donner suite à une telle demande ;
- enfin, une sauvegarde régulière des informations présentes sur un ordinateur doit être menée pour permettre une réinitialisation. Cette opération ultime, comprenant un formatage du disque dur et une réinstallation des logiciels, est quelquefois la seule solution efficace pour « décontaminer » une machine.

Piratage et responsabilité des banques

Le détournement « informatique » d’un outil de paiement est une opération discrète dont on ne prend conscience qu’en constatant des prélèvements bancaires non justifiés. À ce stade, il convient d’entrer en rapport avec sa banque, le plus vite possible, pour signaler que des opérations bancaires ont été effectuées sans son consentement.
Concrètement, il faut dans un premier temps passer un simple coup de fil pour signaler l’incident et, le cas échéant, lancer une procédure de renouvellement de carte de paiement et de changement des codes d’accès au compte en ligne ; dans un second temps d’adresser un courrier à la banque précisant la date, le libellé et le montant des débits contestés et demandant que le compte soit recrédité.
Le Code monétaire et financier précise en effet que, sauf si le payeur n’a pas pris des mesures « raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (art. L. 133-16), sa responsabilité « n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées » (L. 133-19). En outre, l’article L. 133-18 prévoit que l’établissement financier a pour obligation de rembourser « immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».