Découvert en début de semaine par l'éditeur de solutions de sécurité, McAfee, ce cheval de Troie baptisé "FormSpy" s'efforce d'abuser les utilisateurs de Firefox en se masquant derrière une extension légitime : "NumberedLinks 0.9".
Le code malveillant circule sur Internet sous la forme d'une pièce jointe attachée à un e-mail prétendument expédié par Dell, ou encore Wal-Mart. Contrairement à la véritable extension de Firefox, FormSpy se montre particulièrement indiscret et expose l'internaute abusé à d'importants risques de vol de données confidentielles.
Directement implémenté dans le navigateur Open Source, le cheval de Troie va furtivement télécharger et installer des enregistreurs de frappes (keyloggers). Ces derniers auront pour tâche d'espionner l'utilisateur (clavier, souris, trafic réseau) afin de lui dérober des informations, comme des identifiants ou des coordonnées bancaires.
Ces logiciels espions analyseront donc non seulement les données transitant par le navigateur Internet, mais également celles de la messagerie instantanée ICQ, et de plusieurs protocoles (FTP, IMAP, POP 3). Une fois les informations collectées, elles seront expédiées à un tiers, qui aura ensuite tout loisir de les exploiter.
Avec une part de marché qui n'a cessé de grimper (13 % en juillet 2006), la popularité de Firefox l'expose désormais à des attaques ciblées de type phishing. Les extensions, qui permettent d'enrichir et personnaliser le navigateur, représentent pour les pirates un moyen d'insérer du code malveillant et d'abuser les utilisateurs.
S'assurer de la provenance d'un logiciel avant toute installation |
Néanmoins, la menace n'est pas nouvelle, même si elle est étroitement liée au développement des applications comme les barres d'outils, les extensions ou encore les Widgets. Une fausse Google Toolbar circulait d'ailleurs récemment sur Internet.
Plusieurs cas de virus se faisant passer pour des mises à jour de Windows ont aussi été détectés. L'année dernière, une campagne de phishing utilisant un site maquillé de Windows Update invitait les utilisateurs à télécharger une mise à jour de sécurité, en vérité un cheval de Troie : "Troj/dsnx-05".
Populaires auprès des utilisateurs, la plupart des éditeurs ont développé de nombreuses applications gratuites. Il convient donc de se montrer particulièrement vigilant avant de télécharger et d'installer des logiciels. S'assurer de l'origine d'une application reste plus que jamais d'actualité.
Ainsi, il est recommandé de se rendre directement sur le site de l'éditeur ou sur un site tiers sécurisé, pour effectuer un téléchargement. Bien que critiqué, Apple a mis en place dans la dernière mise à jour de Mac OS X, un système de contrôle des Widgets (lire l'article du 12/07/2006).
Ces petites applications gratuites et informatives offrent notamment la possibilité d'afficher des actualités diverses sur le poste de travail. Les Widgets sont, grâce à l'outil d'Apple (Dashboard Advisory), examinés puis comparés à ceux, légitimes, disponibles sur les serveurs de la firme.
A noter également qu'une extension Firefox ne peut être installée par un site à l'insu de l'utilisateur si ce dernier a pris soin de configurer le navigateur. Ainsi, par défaut, la case "Prévenir lorsque des sites désirent installer des extensions ou des thèmes" doit être cochée. Tout site ne figurant pas sur la liste blanche et essayant d'installer une extension, déclenchera alors un message d'alerte.
|