logo ami cybersecurite

Qu’est-ce qu’une attaque par drive-by download ?

  • Dernière mise à jour le 05/07/2024
Sommaires

Article rédigé par A.M.I, prestataire en infogérance, référencée sur la plateforme cybermalvaillance.gouv.fr et élue championne de la croissance 2024 par Les Echos.

Les attaques par « drive-by download » représentent une menace significative pour la sécurité des utilisateurs sur internet. Elles se déroulent lorsqu’un utilisateur visite un site web infecté, sans que celui-ci n’ait à télécharger ou à exécuter un fichier sciemment. Le site exploite généralement des vulnérabilités dans le navigateur ou ses plugins pour installer des logiciels malveillants de manière silencieuse et souvent imperceptible par l’utilisateur.

La sophistication croissante des attaques par drive-by download rend leur prévention et leur détection difficiles. Les pirates utilisent des techniques avancées pour injecter du code malveillant dans des sites web légitimes, entraînant une infection automatique des appareils des visiteurs.

Cela souligne l’importance de protéger efficacement ses appareils avec des solutions antivirus à jour, ainsi que de maintenir ses navigateurs et plugins bien sécurisés.

À lire sur le même sujet : Les différents types de cyberattaques

Les points clés

  • Les attaques par drive-by download infectent les utilisateurs sans interaction directe.
  • La détection et la prévention nécessitent des outils de sécurité actualisés.
  • Une infection peut conduire à des conséquences graves sans mesures de protection adéquates.

Qu’est-ce qu’une attaque par drive-by download ?

Les attaques par drive-by download sont un vecteur de cybercriminalité sophistiqué et furtif qui implique le téléchargement involontaire de logiciels malveillants par les utilisateurs lorsqu’ils visitent un site internet compromis.

Définition et fonctionnement

Les attaques par drive-by download désignent une méthode d’exploitation où des sites web légitimes sont utilisés pour installer furtivement un logiciel malveillant simplement en chargeant une page web.

L’utilisateur n’a pas besoin de télécharger ou d’installer volontairement quoi que ce soit ; le code malveillant est exécuté automatiquement sous réserve de vulnérabilités présentes dans le navigateur ou ses plugins.

Ces vulnérabilités peuvent être dues à des failles SQLi, XSS ou autres failles de sécurité non corrigées.

Les Types de drive-by download

Il existe principalement deux types de téléchargements drive-by. Le premier se produit lorsque l’utilisateur télécharge un code malveillant en pensant télécharger un fichier légitime.

Le second est beaucoup plus insidieux, car il se produit sans connaissance de l’utilisateur, exploitant des failles dans des applications ou des plugins pour injecter des scripts malveillants. Parmi ces malwares, on retrouve des virus, des chevaux de Troie, des rançongiciels (ransomware) ou d’autres formes d’exploits.

Vecteurs courants d’attaque

Les agresseurs utilisent divers vecteurs d’attaque pour réaliser des drive-by downloads.

Les sites internet infectés, les publicités malveillantes, les e-mails piégés et les liens distribués sur les réseaux sociaux sont autant de moyens pour disséminer ces logiciels malveillants.

L’attaque est souvent masquée et le contenu malveillant est délivré à l’insu des utilisateurs, rendant les mesures préventives difficiles sans une vigilance constante et une mise à jour régulière des systèmes de sécurité.

Pour aller plus loin : Qu’est-ce qu’une attaque XSS ?

Comment les drive-by downloads sont exploités

Les attaques par drive-by download exploitent des failles de sécurité dans les logiciels et les navigateurs pour distribuer des logiciels malveillants sans interaction directe de l’utilisateur.

Les cybercriminels s’appuient sur des vulnérabilités non corrigées et diverses méthodes d’attaque pour infecter automatiquement les systèmes des victimes.

Les vulnérabilités exploitées

Les exploitations de drive-by downloads ciblent principalement des failles de sécurité dans les navigateurs, plugins et autres logiciels.

Généralement, ces vulnérabilités n’ont pas été corrigées par des mises à jour (jour) récentes, laissant le champ libre aux cybercriminels pour y introduire du code malveillant.

Des vulnérabilités courantes incluent :

  • Injection SQL (SQLi) : Une technique permettant de manipuler la base de données d’un site à travers le navigateur.
  • Cross Site Scripting (XSS) : Injecter du code malveillant dans des sites web pour s’exécuter sur les machines des utilisateurs.
  • Écoute clandestine : Espionner la communication entre l’utilisateur et le navigateur pour capturer des données sensibles.

Les Méthodes d’attaque

Les méthodes utilisées par les attaquants pour distribuer ces malwares sont diverses :

  1. Modification du code de sites web légitimes pour y ajouter des scripts malveillants.
  2. « Malvertising » : Utilisation de publicités malveillantes qui ne nécessitent pas de clic pour déclencher le téléchargement.
  3. Kits d’exploit de type drive : Utilisation de kits logiciels qui automatisent la recherche et l’exploitation de vulnérabilités.
  4. La méthode consiste à ne pas nécessiter d’action de la part de l’utilisateur, comme le téléchargement ou l’ouverture délibérée de fichiers infectés.

Ces attaques sont particulièrement insidieuses car elles donnent aux cybercriminels la capacité d’infecter un grand nombre d’appareils tout en restant sous le radar des mesures de sécurité standard.

Il est donc essentiel de maintenir les systèmes et logiciels à jour pour prévenir de telles menaces.

Quelques statistiques

Les méthodes de prévention traditionnelles, telles que les pare-feu, offrent une protection contre une vaste gamme d’exploits de sécurité de type push.

Cependant, avec l’intensification de l’usage du web pour des activités quotidiennes, les adversaires ont pu cibler et infecter simultanément de nombreux ordinateurs grâce aux méthodes de type pull.

Ainsi, les attaques par téléchargement forcé (drive-by download) exploitent les vulnérabilités des navigateurs web pour installer secrètement des logiciels malveillants sur des appareils.

Divers types de malwares peuvent être installés, et l’appareil infecté peut perdre des données sensibles ou devenir partie d’un vaste réseau de bots.

Ces attaques reposent souvent sur l’utilisation de JavaScript, qui est une langue omniprésente dans la création d’applications web riches en contexte, mais peu consciente de la sécurité.

Son intégration étroite avec les navigateurs et les technologies associées le rend particulièrement exposé aux attaques.

Dans une analyse récente des vecteurs d’attaque courants, plus de 3 millions d’URL malveillantes ont été découvertes, mettant en évidence l’utilisation de diverses tactiques pour amener les utilisateurs sur des pages web dangereuses.

Par exemple, les sites web compromis, le contenu généré par les utilisateurs et les publicités peuvent servir à insérer un contenu malveillant dans des sites autrement inoffensifs.

L’injection de contenu malveillant dans des sites web de confiance est désormais plus fréquente que la découverte de sites web malveillants spécifiquement conçus pour diffuser des logiciels malveillants.

En outre, le poisoning des résultats de recherche des moteurs de recherche populaires par le biais d’optimisation pour les moteurs de recherche (SEO) est une stratégie courante pour diriger les utilisateurs vers des sites nuisibles.

Pour une analyse plus détaillée de l’efficacité des prédictions en temps réel pour les attaques de ce type, veuillez consulter des recherches dédiées aux prédictions des attaques par téléchargement forcé.

Prévention et protection contre les drive-by downloads

La protection contre les drive-by downloads implique des stratégies multicouches qui incluent des mesures de sécurité préventives, des techniques de détection et d’intervention, des bonnes pratiques pour les utilisateurs, ainsi que la mise à jour et le maintien de la sécurité des systèmes et logiciels.

Mesures de sécurité préventives

  • Installer un logiciel antivirus robuste : Choisir des solutions de sécurité réputées qui comprennent des capacités de blocage des drive-by downloads.
  • Activer un système de filtrage du contenu Web : Utiliser des extensions de navigateur ou des services qui analysent et filtrent le contenu potentiellement malveillant.

Techniques de détection et d’intervention

  • Mise en œuvre de systèmes de détection d’intrusion : Installer des solutions capables d’identifier les tentatives d’exploits de failles de sécurité.
  • Réponse rapide en cas d’incident : Avoir un plan d’action pour intervenir rapidement lorsqu’une attaque est détectée afin de limiter les dégâts.

Bonnes pratiques utilisateur

  • Éducation aux risques de cybersécurité : Sensibiliser les utilisateurs à ne pas cliquer sur des liens suspects ou télécharger des fichiers depuis des sites non fiables.
  • Prudence lors de la navigation : Être vigilant lors de la visite de sites web et s’abstenir d’installer des programmes de sources inconnues.

Mise à jour et maintien de la sécurité

  • Mise à jour régulière des logiciels : Garantir que tous les systèmes et applications, y compris le navigateur web, sont à jour afin de corriger les vulnérabilités exploitées par les attaques.
  • Utiliser des services de mise à jour automatique : Paramétrer les systèmes pour que les mises à jour de sécurité soient appliquées dès qu’elles sont disponibles.

Sur les systèmes et données

L’impact d’une attaque par drive-by download sur les systèmes informatiques et les appareils est souvent immédiat et grave.

Une fois compromis, un ordinateur peut subir une série de problèmes allant d’un simple ralentissement à une panne complète. Les données peuvent être affectées de différentes manières :

  • Détournement de session : Les sessions actives peuvent être piratées, permettant aux attaquants d’accéder à des comptes en ligne sécurisés.
  • Chevaux de Troie : Ces programmes malicieux peuvent être installés, donnant aux attaquants un contrôle à distance de l’ordinateur ou la possibilité d’intégrer le système dans un réseau de bots.

L’étendue des dégâts dépend souvent de la rapidité avec laquelle la compromission est détectée et traitée.

Sur les individus et organisations

Les répercussions d’une attaque par drive-by download sur les individus et organisations vont au-delà du simple désagrément technique. Elles incluent des conséquences potentiellement dévastatrices pour la sécurité informatique, la réputation et le parc informatique d’une entreprise.

Voici des incidences spécifiques :

  • Compromission de la sécurité informatique : Des attaques réussies peuvent conduire à des failles de sécurité étendues au sein d’une organisation.
  • Réputation : Une violation de données résultant d’une telle attaque peut sérieusement entacher la réputation d’une entreprise, avec des effets à long terme sur la confiance des clients et des partenaires.
  • Parc informatique : Les coûts pour réparer ou remplacer les systèmes compromis peuvent être lourds pour une organisation.

Les victimes d’une telle attaque sont souvent confrontées à une situation où les coûts de remédiation et les pertes indirectes, comme le temps d’arrêt opérationnel, sont considérables.

Cas réels et études de cas

Les attaques par drive-by download représentent une menace sérieuse dans le domaine de la cybersécurité, impliquant souvent l’exploitation de failles dans des applications populaires comme Adobe Flash Player ou Java.

Les études de cas ci-dessous montrent des exemples concrets, analysent les réponses apportées à ces incidents et examinent les implications juridiques et réglementaires associées à ces attaques.

Attaques notables

  • Exploit Kit Angler : Cet exploit kit a largement utilisé des failles de Flash pour exécuter des drive-by download attack et a été responsable de la majorité des attaques drive-by en 2015.
  • Operation Clandestine Fox : Une attaque qui exploitait une faille zero-day dans Internet Explorer et servait principalement à dérober des informations sensibles de cibles gouvernementales et privées.

Analyses post-attaque

Adobe Flash Player : Une analyse rétrospective des attaques liées à Adobe Flash Player révèle que :

  • L’utilisation de code dérobé était fréquente pour masquer des opérations malveillantes.
  • Les mises à jour régulières ont été cruciales pour la protection des utilisateurs contre de nouvelles failles exploitées par les attaquants.

Retour d’expérience :

  • Suites aux attaques, les entreprises affectées ont souvent dû recourir à une assistance extérieure pour analyser l’attaque et renforcer leur sécurité.
  • Des étapes critiques comme la révision du code et l’audit de sécurité ont pu être identifiées comme essentielles pour prévenir de futures intrusions.

Implications juridiques et réglementaires

Cas juridiques :

  • Dans certains cas, l’exploitation de failles via des attaques de type drive-by download a conduit à des procès, où les lois sur la cybercriminalité ont été appliquées pour poursuivre les auteurs.

Régulation :

  • Les régulations au niveau européen et international exigent des entreprises qu’elles protègent les données de leurs utilisateurs, pouvant impliquer des sanctions en cas de négligence menant à une attaque réussie.
  • L’enforcement des mesures de cybersécurité est devenu un enjeu majeur pour les autorités légales afin de garantir un internet plus sûr et légitime.

FAQ

Comment les attaques par téléchargement involontaire peuvent-elles distribuer des ransomwares ?

Les cybercriminels utilisent des sites web compromis ou des publicités malveillantes pour exécuter des scripts malicieux qui exploitent les vulnérabilités des navigateurs ou des plugins.
Lorsqu’une victime visite un tel site, le ransomware peut être téléchargé et exécuté automatiquement sans son intervention.

Quelles sont les mesures de prévention contre les attaques par téléchargement involontaire ?

Il est recommandé d’installer un logiciel antivirus robuste, d’effectuer régulièrement des mises à jour de sécurité pour le système d’exploitation et les applications, et de faire preuve de prudence en ne visitant pas de sites web inconnus ou en cliquant sur des liens douteux.

En quoi consiste une attaque DDoS et quelle est son association avec les drive-by downloads ?

Une attaque DDoS (Distributed Denial of Service) a pour but de rendre une ressource en ligne indisponible en la surchargeant de trafic.
Bien que différente des drive-by downloads, une attaque DDoS peut être facilitée par des botnets distribués via des téléchargements involontaires.

Comment un pare-feu peut-il contribuer à prévenir les attaques par drive-by download ?

Un pare-feu sert de barrière de sécurité en filtrant le trafic non autorisé vers le réseau d’un utilisateur.
Il peut bloquer l’accès aux sites web connus pour héberger des logiciels malveillants et empêcher les téléchargements malveillants.

Quels symptômes indiquent une potentielle infection par drive-by download ?

Les signes d’une infection peuvent inclure un ralentissement soudain de l’ordinateur, des fenêtres pop-up inhabituelles, des modifications non autorisées des paramètres du navigateur ou des créations inattendues de fichiers ou de programmes.

Quelle est la différence entre phishing et drive-by download en termes de technique d’attaque ?

Le phishing implique de tromper les utilisateurs pour qu’ils divulguent des informations personnelles par des moyens frauduleux.
Les drive-by downloads infiltrent subrepticement un ordinateur avec des logiciels malveillants simplement en visitant un site web infecté, sans interaction nécessaire de la part de l’utilisateur.

Pour aller plus loin
  • Qu’est-ce qu’une attaque XSS ?
  • Vulnérabilité Zero Day : comprendre et prévenir les failles d’exploitation
  • Déjouer une attaque par force brute : Méthodes et conseils essentiels de sécurité
  • Injection SQL : les meilleures méthodes pour sécuriser vos bases de données

    • Essayer notre solution de cybersécurité pour PME
    gratuitement pendant 30 jours

    Une solution de cybersécurité pour PME

    30 jours d’essai gratuit & sans engagement

    Essayer gratuitement

    Aucune carte de crédit requise 

    Adwares-de-quoi-s-agit-il-et-comment-s-en-debarrasser
    Cybersecurité
    Adwares : de quoi s’agit-il et comment s’en débarrasser efficacement ?

    Adware est un terme issu de la contraction des mots anglais « advertising » et « software ». Ces logiciels sont conçus pour afficher des publicités sur les appareils

    En savoir plus »
    Qu-est-ce-que-le-DNS-Tunneling
    Cybersecurité
    Qu’est-ce que le DNS Tunneling ?

    Le DNS Tunneling est une technique de cyberattaque qui tire parti des vulnérabilités du système de noms de domaine (DNS) pour infiltrer les réseaux informatiques.

    En savoir plus »
    Qu-est-ce-que-le-DNSSEC
    Cybersecurité
    Qu’est-ce que le DNSSEC ? Comprendre la sécurisation du Domain Name System

    DNSSEC, ou Extensions de Sécurité du Système de Noms de Domaine, est un protocole indispensable pour renforcer la confiance sur Internet. Il s’agit d’une suite

    En savoir plus »
    Qu-est-ce-que-la-securite-DNS
    Cybersecurité
    Qu’est-ce que la sécurité DNS ?

    La sécurité DNS fait référence à l’ensemble de pratiques et de protocoles dont l’objectif est de sécuriser le fonctionnement du système de noms de domaine

    En savoir plus »
    Nous protégeons leurs infrastructures
    5/5
    Je recevais beaucoup de mails frauduleux, un de mes salariés à ouvert une pièce jointe, réseau complètement vérolé... AMI a su restituer en grande partie mes données, en moins de 24h.
    Séverine DaoustDirectrice
    Gros problème de débit, un audit de sécurité a mis en lumière une grosse attaque DDOS. AMI m'a installé un système de sécurité qui protège mon système et j’ai retrouvé mon débit.
    Gérard PaquetteGérant
    Une cession de sensibilisation à la sécurité informatique pour mes collaborateurs. Très important selon moi, surtout de nos jours. Hyper enrichissant pour toute l'équipe.
    Jérôme CarronRSI
    Suite à l’attaque d’un crypto virus avec demande rançon, nous avons fait appel dans l’urgence à AMI. Ils ont su être très réactifs, nous ont permis récupérer nos données et nous ont équipé pour que cela n’arrive plus jamais.
    Xavier TelfordDirecteur
    Étant dans un secteur très sensible et sans compétence, j’ai fait une demande de protection à AMI qui m'a mis à disposition des outils efficaces et surtout simples d’utilisation pour sécuriser sereinement mon parc informatique.
    Laetitia BoileauGérante de pharmacie
    Suite à un contrôle de la CNIL il m’a été conseillé de faire appel à AMI qui ont su nous mettre en conformité RGPD grâce à une solution adaptée.
    Honoré CailotDAF
    watchguard
    thales
    sophos
    sonicwall
    f-secure
    watchguard
    thales
    sophos
    sonicwall
    f-secure
    Demandez votre diagnostic gratuit

    Commencez par un diagnostic gratuit de votre SI.

    • Identification des failles et vulnérabilités
    • Conseils personnalisés en stratégies préventives
    • Par téléphone sur une durée d’une heure
    • C’est gratuit et sans engagement

    Essayer notre solution de cybersécurité gratuitement pendant 30 jours 

    Un essai gratuit & sans engament

    Pour profiter de vos 30 jours d’essai, veuillez remplir le formulaire suivant :

    –> Un expert A.M.I vous contactera dans les 24h pour une mise en place gratuite et sans engagement de notre solution de cybersécurité.

    Essayer notre solution de cybersécurité
    gratuitement pendant 30 jours

    Une solution de cybersécurité complète pour PME

    30 jours d’essai gratuit & sans engagement

    Essayer gratuitement

    Aucune carte de crédit requise