Exploit

Exploit : Sécurité informatique. Action, selon diverses techniques, d'exploitation d'une faille de sécurité. Il n'existe pas de programme 100% sans erreur.

cr  01.04.2012      r+  21.08.2020      r-  18.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En sécurité informatique, un exploit est une action, selon diverses techniques, consistant à exploiter une faille de sécurité (ce qui n'est pas toujours un exploit au sens français du terme). L'exploit est peut-être une prouesse pour celui qui le réussi mais c'est surtout le fait d'exploiter une faille de sécurité qui donne naissance à ce terme d'Exploit (prononcé « exploite » ou « exploïte »). La faille de sécurité est le point d'entrée d'une modification venant de l'extérieur, criminelle, du comportement d'un système de traitement de l'information, à ne pas confondre avec un bug, qui est une simple erreur locale.

Si certaines erreurs sont plus ou moins anodines et ne constituent que de simples bugs (un bug dans un programme de paye, multipliant par 100 mon salaire, ne constitue pas une faille de sécurité et est rapidement visible), certaines de ces erreurs constituent des failles de sécurité pouvant être découvertes (par des chercheurs white-hat (gentils) ou black-hat (méchants)) puis exploitées durant des années avant d'être publiquement révélées.

L'exploit consiste donc, tout d'abord, à trouver une faille de sécurité pour l'exploiter.

Il n'existe pas de programme 100% sans erreur (error free).

Il existe d'innombrables failles de sécurité dans pratiquement toutes les applications du monde, dans tous les systèmes d'exploitation, dans les micro-codes des processeurs, dans les pilotes (drivers) des périphériques, dans les technologies, etc. Exemples :

• Failles de sécurité dans Adobe Flash / Shockwave
  
• Failles de sécurité dans Google Chrome
• Failles de sécurité dans JavaScript
• Failles de sécurité dans les SCADA gérant la totalité des grands processus dont nous dépendons à chaque instant dans notre vie quotidienne
• Failles de sécurité dans Windows et tous les produits Microsoft
• Failles de sécurité dans toutes les distributions Linux
• Failles de sécurité dans tous les produits Apple
• Failles de sécurité dans tous les produits Cisco
• Failles de sécurité dans tous les produits Adobe
• Failles de sécurité dans tous les produits Google
• Failles de sécurité dans les produits Apache
• Failles de sécurité dans Java
• Failles de sécurité dans les micro-code des composants Intel - Failles de sécurité dans les ordinateurs Intel NUC
• Autres technologies côté serveurs : PHP, MySQL, nginx, Perl, Ruby, Rails, ...
  
• Etc. etc., etc.
  
• Avis et alertes de sécurité, au jour le jour, sur le forum d'Assiste (appliquez les correctifs ou contournements immédiatement).

Lorsqu'une faille est découverte, elle est :

1. Conservée secrète par le découvreur qui, s'il a aussi l'âme d'un hacker (affronter le risque) va l'exploiter pour lui même.
2. Mise en vente sur le DarkWeb.
3. Communiquée à l'organisme (service secret, état, etc.) qui soutient/finance un groupe de hackers. Tous les pays du monde (et les organisations criminelles dont les mafias, les groupes terroristes, etc.) ont leurs groupes de hackers et les financent. Par exemple, l'Equation Group, un groupe américain de hackers d'élite, agirait depuis au moins les années 2000 pour le compte de la NSA et a permi les innombrales exploits de la NSA dans le monde entier contre tout le monde, ainsi que le développement de cyberarmes, révélés le 6 juin 2013 par Edward Snowden sous le nom générique de Prism et Cie. Le 13 août 2016, un groupe de hackers jusqu'alors inconnu, appelé Shadow Brokers, réussi à pirater le centre de calcul de l'Equation Group et tente de se faire mousser (et de gagner de très grosses sommes d'argent) en révélant et mettant en vente les codes sources des exploits de l'Equation Group financés et exploités par la NSA.
   
4. Communiquée à l'éditeur du code faillible en lui donnant un délais pour réagir et publier la correction, sinon elle sera publiée avec sa procédure d'exploitation (menace de zero-day à, généralement, 30, 60 ou 90 jours).
5. Publiée avec le détail de son identification (faille zero-day). Il s'agit généralement d'un chercheur ou hacker qui a besoin de reconnaissance dans son millieu (orgueil, image de soi, ...).
6. Signalée dans des bases de données publiques, comme CVE. La méthode d'exploitation n'est pas publiée tant que la faille n'est pas corrigée. L'éditeur s'attelle à sa correction, peut-être avec d'autres failles, et publiera un correctif ou une nouvelle version de son code (mises à jour, update).
7. Les bases de données seront augmentées des détails de reconnaissance de la faille lorsque les correctifs seront considérés comme totalement déployés (appliqués). C'est une des raisons pour lesquelles les éditeurs font remonter de l'informations (quelle version est utilisée), ce qui est légitimement considéré comme une atteinte à la vie privée.

Avec les points 5 et 7 ci-dessus, les bases de données publiques disposent des détails permettant d'identifier la présence de la faille. Il existe des centaines de bases de données qu'il faut suivre (veille technologique). Par exemple :

• CVE (Common Vulnerabilities and Exposures) publiée par le MITRE
  
• OSVDB (Open Source Vulnerability Database) - n'existe plus depuis le 5 avril 2016
  
• DSA (Debian Security Advisory)
  
• CSA (Cisco Security Advisory)
  
• RHSA (RedHat Security Advisory)
  
• WSA (WordPress Security Advisory) - En juillet 2019, WordPress est utilisé par 34,1 % ^(*) des sites Web dans le monde.
  
• JSA (Joomla Security Advisory) - En juillet 2019, Joomla est utilisé par 2,8 % ^(*) des sites Web dans le monde.
  
• DCSA (Drupal Core Security Advisory) - En juillet 2019, WordPress est utilisé par 1,8 % ^(*) des sites Web dans le monde.
  
• GLSA (Gentoo Linux Security Advisory)
  
• MSA (Microsoft Security Advisory)
  
• EDB (Exploit DataBase) - un lieu où publient des chercheurs ou groupes de chercheurs comme Google Security Research, Metasploit, etc. Les exploits publiés sont généralement vérifiés par Offensive Security (l'éditeur de l'EDB).
  
• Project Zero (une équipe d'experts en sécurité informatique, créée le 15 juillet 2014 par Google et chargée de trouver des vulnérabilités zero-day - leur blog )
  
• Etc.
  

Pour exploiter une faille, il faut déjà la détecter. Il y a, pour cela, les scanners de failles - Scanners de vulnérabilités. Les éditeurs de ces outils les mettent constamment à jour en exerçant une veille technologique sur les bases vues ci-dessus.

Ces scanners permettent de savoir si un système est vulnérable afin de le protéger (ou de l'attaquer) car ce sont les mêmes scanners qui sont utilisés localement par les uns (DSI - DSSI) ou à distance par les autres (cybercriminels).

Une faille de sécurité est une erreur qui, si elle est découverte, permet une action inattendue (une exploitation constituant une attaque), de la part d'un acteur non sollicité (un cybercriminel interne ou externe). Les failles de sécurité sont exploitées :

• À partir du moment où elles sont découvertes par un hacker (chapeau noir). Les découvertes de failles par les cybercriminels et la manière de les exploiter sont des informations qu'ils conservent totalement secrètes (ou vendent, ou sont financés pour les découvrir - Equation Group).
  
• À partir du moment ou elles sont repérées dans un système en utilisant un scanner de failles. Les mêmes scanners sont utilisés par les DSI/DSSI pour vérifier si leurs systèmes sont faillibles, que par les cybercriminels pour trouver les mêmes failles et les attaquer). Certains scanners sont gratuits.
  
• À partir du moment où le logiciel qui embarque une faille est largement déployé. C'est la raison pour laquelle les systèmes d'exploitation moins connus et les logiciels plus confidentiels que Windows et le monde PC, comme Linux ou Apple, sont moins attaqués. Les failles Linux ou Unix ou OS/X sont tout aussi nombreuses, elles sont seulement moins recherchées et moins exploitées car ces systèmes sont moins répandus et touchent moins de futures victimes.
• À partir du moment où la technologie dans laquelle elles se trouvent est universelle. C'était le cas des plug-ins (greffons) pour navigateurs WEB (abandonnés au 31.12.2016 et remplacés par HTML5). Ces technologies étaient communes à tous les navigateurs et à tous les systèmes d'exploitation. Leurs failles de sécurité étaient donc très recherchées et, lorsqu'elles étaient trouvées, elles étaient massivement exploitées car elles permettaient d'attaquer tout le monde, indépendamment de la plateforme et du navigateur. C'était le cas dans les technologies Flash, Silverlight, QuickTime, Acrobat Reader, etc.
  
  La Fondation Mozilla, éditrice du navigateur WEB Firefox, avait même développé un mécanisme universel de mise à jour de tous les plugins dans tous les navigateurs, d'un seul clic.
  

Il est évident qu'exploiter une faille de sécurité dans le navigateur Internet Explorer (plus de 80% de parts du marché dans les années 2001 à 2007) donne plus de chance de faire de nombreuses victimes qu'exploiter une faille dans un navigateur ne touchant presque personne (par exemple Opera : à peine 0,8% de parts de marché, en France en septembre 2014).

Les « scanners de failles » (ou « Kit d'exploits »), embarquent un ensemble de règles (propres à leur technologie) permettant de signaler la présence d'une faille. Elles sont classées par application et version d'application.

Les tests d'intrusions et les scanners de failles/vulnérabilités diffèrent. Un scanner de failles/vulnérabilités a pour objectif de déceler des vulnérabilités connues(répertoriées dans les Vulnerability Database ou Security Advisory vues ci-dessus) dans des systèmes, tandis qu'un test d'intrusion a pour objectif de simuler une attaque par la tentative d'exploiter le vulnérabilité. Un test d'intrusions, en plus d'identifier des vulnérabilités, cherche donc si elles sont exploitables et, ces mêmes outils entre les mains des hackers, constituent des chances de réussite d'exploits.

Les Kits d'exploits ci-après, notés BEP (Browser Exploit Pack), sont spécialisés dans la recherche des failles de sécurité connues présentes dans les navigateurs WEB (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon, etc. ...), et dans les plug-ins (greffons) de ces navigateurs.

Si l'utilisateur met constamment à jour son navigateur (automatisme recommandé), il a de fortes chances d'échapper à la majorité des exploitations des failles recherchées dans les navigateurs par les BEP (Browser Exploit Pack). Exemples :

1. Exploit Kit Redkit - BEP* - (1 - 03.05.2013) - Googler
   
2. Exploit Kit BlackHole - BEP* - (1 - 15.09.2012) (2 - 26.11.2013 - Quasi Extinction) - Googler
   
3. Exploit Kit Styx - BEP* - (1 - 26.06.2013) - Googler
   
4. Exploit Kit Sweet Orange - BEP* - (1) (2) (3 - 09.02.2015) - Googler
   
5. Exploit Kit Crime Boss - BEP* - (1 - 13.09.2012) - Googler
   
6. Exploit Kit Cool Exploit Kit - BEP* - (1 - ) (2 - 26.11.2013 - Quasi Extinction) - Googler
   
7. Exploit Kit Crime Pack - BEP* - (1 - ) (2 - 05.08.2010) (VT - 22.12.2015) - Googler
   
8. Exploit Kit Bleeding Life - BEP* - (1 - ) - Googler
   Est vendu par ses développeurs, aux cybercriminels, pour 200$. Recherche des failles de sécurité de manière très ciblée dans Acrobat, Flash et Java.
   
9. Exploit Kit CritXPack (1 - ) - Googler
   
10. Exploit Kit El Fiesta - BEP* - (1 - ) - Googler
    
11. Exploit Kit Dragon - BEP* - (1 - ) - Googler
    
12. Exploit Kit Zombie Infection Kit - BEP* - (1 - ) - Googler
    
13. Exploit Kit JustExploit - BEP* - (1 - ) - Googler
    
14. Exploit Kit iPack - BEP* - (1 - ) - Googler
    
15. Exploit Kit Incognito - BEP* - (1 - ) - Googler
    
16. Exploit Kit Impassioned Framework - BEP* - (1 - ) - Googler
    
17. Exploit Kit Icepack - BEP* - (1 - ) - Googler
    
18. Exploit Kit Hierarchy Exploit Kit - BEP* - (1 - ) - Googler
    
19. Exploit Kit Grandsoft - BEP* - (1 - ) - Googler
    
20. Exploit Kit Gong Da - BEP* - (1 - ) - Googler
    
21. Exploit Kit Fragus Black - BEP* - (1 - ) - Googler
    
22. Exploit Kit Eleonore Exploit Kit - BEP* - (1 - ) - Googler
    
23. Exploit Kit Lupit Exploit Kit - BEP* - (1 - ) - Googler
    
24. Exploit Kit LinuQ - BEP* - (1 - ) - Googler
    
25. Exploit Kit Neosploit - BEP* - (1 - ) - Googler
    
26. Exploit Kit Liberty - BEP* - (1 - ) - Googler
    
27. Exploit Kit Katrin Exploit Kit - BEP* - (1 - ) - Googler
    
28. Exploit Kit Nucsoft Exploit Pack - BEP* - (1 - ) - Googler
    
29. Exploit Kit Nuclear - BEP* - (1 - ) - Googler
    
30. Exploit Kit Mpack - BEP* - (1 - ) - Googler
    
31. Exploit Kit Mushroom - BEP* - (1 - ) - Googler
    
32. Exploit Kit Merry Christmas - BEP* - (1 - ) - Googler
    
33. Exploit Kit Sakura Exploit Pack - BEP* - (1 - ) - Googler
    
34. Exploit Kit Phoenix - BEP* - (1 - ) - Googler
    
35. Exploit Kit Papka - BEP* - (1 - ) - Googler
    
36. Exploit Kit Open Source MetaPack - BEP* - (1 - ) - Googler
    
37. Exploit Kit Neutrino - BEP* - (1 - ) - Googler
    
38. Exploit Kit Salo Exploit Kit - BEP* - (1 - ) - Googler
    
39. Exploit Kit Safe Pack - BEP* - (1 - ) - Googler
    
40. Exploit Kit Robopak Exploit Kit - BEP* - (1 - ) - Googler
    
41. Exploit Kit Red Dot - BEP* - (1 - ) - Googler
    
42. Exploit Kit T-Iframer - BEP* - (1 - ) - Googler
    
43. Exploit Kit Siberia Private - BEP* - (1 - ) - Googler
    
44. Exploit Kit SofosFO aka Stamp EK - BEP* - (1 - ) - Googler
    
45. Exploit Kit Sava Pay0C - BEP* - (1 - ) - Googler
    
46. Exploit Kit Zopack - BEP* - (1 - ) - Googler
    
47. Exploit Kit Tornado - BEP* - (1 - ) - Googler
    
48. Exploit Kit Techno - BEP* - (1 - ) - Googler
    
49. Exploit Kit Siberia - BEP* - (1 - ) - Googler
    
50. Exploit Kit SEO Sploit pack - BEP* - (1 - ) - Googler
    
51. Exploit Kit Yang Pack - BEP* - (1 - ) - Googler
    
52. Exploit Kit XPack - BEP* - (1 - ) - Googler
    
53. Exploit Kit Whitehole - BEP* - (1 - ) - Googler
    
54. Exploit Kit Web-attack - BEP* - (1 - ) - Googler
    
55. Exploit Kit Unique Pack Sploit - BEP* - (1 - ) - Googler
    
56. Exploit Kit Yes Exploit - BEP* - (1 - ) - Googler
    
57. Exploit Kit Zero Exploit Kit - BEP* - (1 - ) - Googler
    
58. Exploit Kit Zhi Zhu - BEP* - (1 - ) - Googler
    
59. Exploit Kit Sibhost Exploit Pack - BEP* - (1 - ) - Googler
    
60. Exploit Kit KaiXin - BEP* - (1 - ) - Googler
    
61. Exploit Kit RIG - BEP* - (1 - ) (Utilisé, par exemple, pour la propagation du cryptoware appelé OphionLocker) - Googler
    
62. Exploit Kit Angler - BEP* - (1 - ) - Googler
    
63. Exploit Kit - BEP* - (1 - ) - Googler
    

La recherche de failles de sécurité dans les produits Microsoft est plus active que dans d'autres produits et les exploits s'appuyant sur les failles des produits Microsoft sont donc d'envergure et très médiatisés. Il est vrai qu'Internet Explorer, en particulier, a été considéré, à juste titre, durant des années, comme un générateur de failles de sécurité en flux continu (dont la folie ActiveX). Microsoft a été considéré, durant des années, depuis son entrée dans le monde de l'Internet, le 16 août 1995, avec Internet Explorer 1, et jusqu'à la publication de Windows version 7, le 22 octobre 2009, comme une société ayant une culture du trou de sécurité.

Ces "utilitaires" de découverte et d'exploitation des failles ne se trouvent pas sur les machines des internautes, mais sont implantés côté serveurs et agissent à distance depuis des sites WEB compromis ou des sites attractifs des cybercriminels (de véritables pots de miel pour attirer les visiteurs, tel que des sites pornographiques ou people ou prétendu de hack et crack, ou de P2P, etc.).

À cause de ces scanners de ports , qui précèdent les scanners de failles, et qui passent leur vie à analyser tous les « ports » de toutes les adresses IP du monde, à raison de plusieurs millions d'ordinateurs scannés à la seconde, sans pare-feu, vous avez moins de 4 minutes pour échapper aux cybercriminels.

Les antivirus et les antimalwares ne sont pas là pour corriger les failles de sécurité. Ils vont trouver le parasite implanté et l'éradiquer mais il faut, principalement, empêcher que cela recommence. Pour cela, certains outils, comme Malwarebytes, disposent d'une fonction anti-exploits.

Il y a trois choses à faire qui sont du domaine du préventif :

1. La protection de votre navigateur et de la navigation.
   
2. Empêcher les scans de ports, qui précèdent les scans de failles, avec un bon parefeu
   
3. L'application constante et immédiate des correctifs existants aux failles de sécurité, avec Windows Update pour tous les produits Microsoft et en suivant les avis et alertes de sécurité, au jour le jour, pour tous les autres.
   

Il existe assez peu d'outils spécifiquement anti-exploits. EMET, de Microsoft, gratuit, est l'un d'eux. Malwarebytes Anti-Exploit Premium en est un autre (commercial). Les autres dispositifs sont des modules d'antivirus traditionnels, dans leurs versions appelées, généralement, « Internet Security ».