20/03/2012

Lutte contre les chevaux de Troie :
Logiciel Trusteer « Rapport »


Nous avons évoqué dans notre billet de blog précédent ce qu’était un logiciel malveillant de type cheval de Troie. Ce type de logiciel malveillant infecte les ordinateurs pour y dérober des données personnelles et bancaires pouvant être monétisées par les fraudeurs : numéros de cartes bancaires, identifiants et mots de passe de sites bancaires (ou de sites d’e-commerce), comptes de réseaux sociaux, comptes e-mails, etc.

Les antivirus traditionnels sont spécialisés pour lutter contre les infections par ces logiciels malveillants, mais ils doivent être constamment mis à jour pour être efficaces et leur mode de fonctionnement est limité. En effet, un nouveau virus diffusé sur Internet a de bonnes chances de ne pas être détecté par un antivirus pendant plusieurs heures voire plusieurs jours.

Pour comprendre pourquoi ces antivirus ne sont pas efficaces à 100%, il faut se pencher sur les modes de fonctionnement et de diffusion d’un cheval de Troie.

Mode de diffusion des chevaux de Troie

Comme nous l’avions déjà évoqué dans notre billet précédent, les cybercriminels infectent principalement les ordinateurs par:
  • Téléchargement : les chevaux de Troie se trouvent dans des fichiers téléchargés sur Internet, souvent des logiciels piratés ;
  • Navigation (drive-by-download) : les cybercriminels infectent des sites Internet qui, à leur tour, infectent les utilisateurs non protégés ;
  • E-mail : les cybercriminels envoient des e-mails que les utilisateurs ouvrent, infectant ainsi leur propre ordinateur ;
  • Réseaux sociaux et logiciels de messagerie : des messages contenant des liens malveillants sont transmis par Twitter, Facebook, MSN, Yahoo Messenger, etc. vers les utilisateurs, qui les suivent et se font infecter.

Deux choix stratégiques foncièrement différents s’offrent aux cybercriminels : soit ils infectent un maximum de personnes (des dizaines ou des centaines de milliers de personnes) et privilégient la masse pour rentabiliser leur fraude, soit ils décident d’infecter moins de personnes (quelques milliers) afin de rester inaperçus le plus longtemps possible.

Cette décision influence fortement la capacité de détection par les anti-virus. En effet, plus un cheval de Troie est diffusé sur Internet, plus sa probabilité de détection par les logiciels de sécurité augmente.

En revanche, comme certains cybercriminels envoient plusieurs variantes d’un même cheval de Troie tous les jours, il est impossible pour un antivirus d’être à jour « dès la diffusion du virus ».

Mode de fonctionnement des chevaux de Troie

Nous allons être très synthétiques ici. Le but n’est pas d’être exhaustif dans les détails techniques, mais plutôt de comprendre ce que fait un cheval de Troie sur un ordinateur.

Le cheval de Troie, une fois qu’il a infecté un ordinateur, reste « en écoute » sur le navigateur et parfois sur d’autres logiciels, tels que l’antivirus, le logiciel de messagerie, les jeux vidéos, etc. On dit que le cheval de Troie s’est « injecté » dans les logiciels importants de l’ordinateur, dont le navigateur Internet.

Il surveille ensuite tout ce qui est fait dans le navigateur, à la recherche d’informations intéressantes. Il examine les navigations, que ce soit en suivant un lien ou en tapant directement une adresse dans la barre de navigation, ou encore en choisissant un marque-page. Il peut également surveiller les communications pour les sites « sécurisés » https.

Que faire contre ces chevaux de Troie ?

Pour éviter l’infection il est nécessaire d’installer dès que possible les mises à jour du système d’exploitation (Microsoft Windows, Apple Mac OS-X, ou autre), celles du navigateur Internet ainsi que celles des logiciels tiers (Sun Java, Adobe Reader ou Acrobat, etc). Les mises à jour à installer en priorité sont celles relatives à la sécurité. Il est également nécessaire de mettre à jour l’antivirus.  Ces  bonnes pratiques ne sont pas toujours suffisantes pour contrecarrer les chevaux de Troie. Comment pousser alors plus loin la protection et augmenter ainsi les chances de ne pas se faire infecter et voler des données importantes ?

Plusieurs solutions innovantes existent pour tenter de détecter différemment les codes malveillants.

Parmi ces solutions, l’une consiste à placer la solution antivirus directement dans le navigateur Internet et dans certains processus du système d’exploitation, comme le ferait un cheval de Troie. Le logiciel contrôle alors tout ce qui se passe et peut détecter des comportements suspects dans la navigation de l’utilisateur.

Certaines solutions vont encore plus loin, puisqu’elles se concentrent sur la protection de la navigation entre le site Internet de banque en ligne et vous.


Trusteer Rapport

Société Générale a testé longuement plusieurs de ces solutions innovantes et a pu apprécier l’efficacité du logiciel « Rapport », édité par la société Trusteer.

Ce logiciel s’utilise en complément de votre antivirus habituel pour protéger vos navigations, notamment sur l’Espace Internet des Particuliers. De façon très simple, il permet d’augmenter la protection sur votre ordinateur lorsque vous vous connectez à l’Espace Internet des Particuliers.

« Rapport » protège les communications Internet grâce à différentes fonctionnalités :
  
  • Désactivation des injections de code malveillant.
  • Protection des achats effectués avec des cartes bancaires émises par Société Générale.  
  • Protection de la navigation sur l’Espace Internet des Particuliers (https://particuliers.societegenerale.fr)

Société Générale met à disposition de tous ses clients particuliers le logiciel  Rapport à l’adresse suivante :

Une fois installé, il est visible à côté de la barre de navigation. Il est compatible avec les navigateurs Microsoft Internet Explorer, Mozilla Firefox, et Google Chrome sous Microsoft Windows ainsi que Mozilla Firefox et Apple Safari sous Mac OS X.


Société Générale n’est pas la seule banque à avoir choisi Rapport. Environ 80 autres confrères se sont déjà associés à Trusteer pour augmenter la protection de leurs clients.