Drive-by Download : définition, mode d’infection et protection

Qu'est-ce qu'un Drive-by Download ?

Le drive-by download est une méthode de propagation des malwares qui repose sur le téléchargement furtif et involontaire d’un fichier malveillant par les victimes. Contrairement au social engineering par exemple, ici, aucune interaction directe de l’utilisateur n’est requise.

Imaginez une fenêtre mal verrouillée chez vous. Un cambrioleur en profite pour entrer discrètement, alors que vous pensiez être en sécurité. Le drive-by download, c’est un peu la même chose : des failles dans votre navigateur ou des plugins obsolètes permettent aux cybercriminels d'installer des malwares sans que vous ne vous en aperceviez. Plusieurs études montrent que de nombreux pirates utilisent le drive-by download pour propager leurs logiciels malveillants, faisant de cette technique un outil particulièrement prisé dans le monde de la cybercriminalité.

Quelle famille de cyberattaques le Drive-by Download permet-il de distribuer ?

La technique d’infection du drive-by download est plébiscitée pour propager une catégorie spécifique de cyberattaques : les attaques par malwares, ces logiciels malveillants qui se propagent à votre insu, en profitant des failles non corrigées de votre système.

Quelles sont les cibles d'une attaque drive-by Download ?

Nombreuses sont les victimes potentielles des attaques qui utilisent le drive-by download. Parmi elles, vous retrouverez :

• Les utilisateurs individuels sont souvent ciblés pour dérober leurs informations personnelles ou installer des logiciels malveillants tels que des ransomwares, des chevaux de Troie ou des vers informatiques sur leur ordinateur.
• Les institutions publiques comme les gouvernements ou les organismes de santé, notamment pour voler des données confidentielles ou pour perturber leurs opérations.

• Les entreprises, principalement pour infiltrer leurs systèmes, accéder à des données sensibles, ou pour installer des ransomwares et demander des rançons parfois faramineuses.

Comment fonctionne un drive-by Download ?

Pour pouvoir lancer une attaque grâce au drive-by download, les pirates informatiques utilisent des kits d’exploit pour détecter puis exploiter des vulnérabilités zéro-day. Les kits d’exploit sont des outils utilisés par les hackers pour détecter les failles d’un système informatique qui n’ont pas encore été découvertes et donc corrigées par les éditeurs de logiciels : on parle alors de vulnérabilité zéro-day.

Dans le cas des attaques drive-by download, ce sont surtout les vulnérabilités des navigateurs web et des plugins obsolètes qui sont utilisées. Une fois une faille identifiée, elle est ensuite exploitée pour installer discrètement un malware sur l’ordinateur victime, entraînant des dommages variés.

Cas concret d'un téléchargement furtif

Le drive-by download étant l’un des modes d’infection les plus répandus, vous y avez probablement déjà vous-même été confronté. Mais dans les faits, comment cela fonctionne-t-il ?

1. Tout d’abord, un pirate crée son propre code malveillant, ou utilise des kits d’exploit ; l’objectif est simple : identifier les vulnérabilités de votre navigateur ou de vos plugins web.
2. Le hacker utilise des sites légitimes pour diffuser son code malveillant à leur insu. Cela inclut souvent des sites créés avec un CMS vulnérable ou des sites affichant des publicités, que les éditeurs ne peuvent pas toujours contrôler.
3. Sans le savoir, vous visitez l’un de ces sites compromis par le pirate ; le code malveillant se lance alors et essaye de débusquer les vulnérabilités de votre système.
4. Si une vulnérabilité est identifiée, elle est exploitée pour infecter votre appareil avec un malware ; tout s’effectue en arrière-plan, sans notification, et vous ne vous en rendez donc pas forcément compte.
5. Une fois installé, le malware commence ses ravages : il installe une porte dérobée sur votre machine s’il s’agit d’un cheval de Troie, ou encore commence à crypter vos fichiers dans le cas d’un ransomware.

Vous l’aurez compris : le simple fait de visiter un site web compromis vous expose à un risque d’infection ; il est donc nécessaire de garder vos systèmes à jour si vous souhaitez limiter les risques.

Quels sont les différents kits d’exploit ?

Un kit d'exploit est un ensemble d'outils utilisés par des hackers pour automatiser l'exploitation des failles de sécurité dans les navigateurs ou logiciels. Il en existe plusieurs, qui ont chacun leurs spécialités. Ils sont par ailleurs constamment améliorés, leur permettant de contourner les protections parfois mises en place (antivirus, pare-feu…). Parmi les kits d’exploit plus connus, vous trouverez par exemple :

• Nuclear Exploit Kit, particulièrement efficace pour distribuer des ransomwares et des malwares avancés.
• Rig Exploit Kit, qui cible principalement les vulnérabilités des langages informatiques Flash et Java ; il a par exemple été utilisé pour distribuer le ransomware REvil.
• Angler Exploit Kit, très performant pour les infections par drive-by download, car il est capable de contourner de nombreuses solutions de sécurité.

Quels sont les moyens d’infection d’un Drive-by Download ?

Plusieurs techniques permettent d'infecter un appareil via un drive-by download. Parmi les principales, vous trouverez :

• Le malvertising, soit le fait d’injecter des publicités malveillantes dans des sites légitimes. Le simple fait d’afficher ces pubs permet d’installer le malware, sans que l’utilisateur n’ait à interagir.
• Les mails de phishing qui vous incitent à cliquer sur des liens malveillants chargés de déclencher l’infection.
• L’injection de scripts XSS (Cross-Site Scripting) dans des sites web, conçus pour lancer le téléchargement d’un malware dès qu’un utilisateur accède à une page corrompue.
• Les téléchargements automatiques via les failles de sécurité non corrigées des navigateurs web ou de leurs plugins

Quelles sont les conséquences d’un Drive-by Download ?

Le drive-by download peut avoir de nombreuses conséquences, dont l’impact est parfois durable, aussi bien pour les particuliers que pour les organisations :

• L’infection de votre machine par des malwares, tels que des logiciels espion, des ransomwares, des vers informatiques ou encore des chevaux de Troie. 
• L’appareil infecté peut être contrôlé à distance et venir grossir les rangs d’un botnet pour être utilisé pour diffuser de futures attaques, souvent à l’insu de son propriétaire.
• Des données personnelles ou professionnelles peuvent être volées, menant à des répercussions qui peuvent être importantes.
• La fraude liée au vol de données ou l’infection par un ransomware peuvent mener à d’importantes pertes financières.
• Impact négatif sur la réputation des organisations victimes, notamment en cas de fuite de données ou d’interruption de service.

Qui se cache derrière les attaques par téléchargement furtif ?

Les hackers qui utilisent l'attaque Drive-by Download

Plusieurs types de hackers peuvent utiliser le drive-by download pour diffuser leurs cyberattaques :

• Les hacktivistes, qui, motivés par des raisons politiques ou sociales, recourent à cette technique pour saboter les sites de gouvernements ou de certaines organisations.
• Les cybercriminels chevronnés, organisés en groupes de hackers ou agissant seuls, qui utilisent ces attaques pour diffuser des malwares (notamment des ransomwares) ou voler des informations sensibles pour en tirer un profit financier.
• Grâce à la popularisation des kits d’exploits qui sont venus simplifier les procédures, des pirates plus amateurs peuvent aussi recourir au drive-by download sans trop de difficultés.

Les exemples les plus marquants de Drive-by Download

Parmi les cyberattaques qui ont marqué l’histoire de la cybersécurité, certaines recouraient justement au drive-by download pour infecter leurs victimes :

• En 2011-2012, le cheval de Troie FlashBack exploitait une vulnérabilité Java pour infecter les appareils fonctionnant sous MacOS sans qu’aucune intervention utilisateur ne soit nécessaire. Les machines infectées, qu’on estime à plus de 600 000, sont venues grossir les rangs d’un botnet qui a ensuite été utilisé pour diffuser des cyberattaques, telles que des attaques DDoS.
• En 2019, le drive-by download couplé au malvertising a permis de diffuser le ransomware REvil, aussi appelé virus Sodinokibi, dans de nombreux pays d’Asie. Des vulnérabilités Flash dans le navigateur Internet Explorer étaient alors exploitées pour infecter les ordinateurs victimes.

Comment se protéger des cyberattaques par Drive-by Download ?

Navigateurs comme régies publicitaires ont mis en place des mesures de sécurité et des outils de blocage automatiques pour contrer les scripts malveillants et limiter le malvertising. Mais le risque zéro n’existe pas, et c’est bien pour cela que vous devriez adopter certaines bonnes pratiques pour vous protéger du drive-by download :

• Mettez régulièrement à jour vos navigateurs et vos plugins, ce qui permettra de corriger leurs vulnérabilités avant qu’elles ne soient exploitées par des hackers.
• Utilisez un antivirus robuste, qui a fait ses preuves et qui est régulièrement amélioré pour pouvoir continuer à vous protéger efficacement face aux menaces émergentes.
• Effectuez des scans de vulnérabilités réguliers pour repérer les logiciels suspects qui auraient pu infecter votre ordinateur à votre insu.
• Activez un bloqueur de publicités pour limiter votre exposition au malvertising.
• Formez vos collaborateurs à la cybersécurité pour apprendre à protéger votre entreprise efficacement face à un grand nombre de menaces.

Conclusion : comment se former à la cybersécurité ?

 Pour débuter votre apprentissage en cyberdéfense et protéger efficacement les entreprises des cyberattaques comme celles utilisant le drive-by download, il est essentiel d'apprendre les bases de la sécurité informatique. Saviez-vous que vous pouvez vous former gratuitement à la Cybersécurité avec JULIE, notre plateforme d'apprentissage ? Vous y trouverez les fondamentaux de la cybersécurité pour sécuriser les réseaux d'une entreprise.

Une fois l'introduction terminée, vous pourrez poursuivre votre parcours avec notre formation Cybersécurité pour débutants, qui vous apprendra en 75 heures à identifier les failles exploitables, comme celles utilisées dans les attaques de type drive-by download, et à appliquer les premières mesures de protection pour minimiser ces risques.

Vous souhaitez aller encore plus loin pour vous reconvertir complètement dans la cybersécurité ? Chez Jedha, nous vous proposons une formation en cybersécurité complète et intensive, à l’issue de laquelle vous saurez défendre activement votre organisation face aux cybermenaces. Et ce n’est pas tout ! Cette formation est finançable par le CPF et vous permet également d’obtenir un diplôme de niveau bac+4 reconnu par l’État.

Rejoignez-nous lors de notre prochaine soirée portes ouvertes en ligne pour découvrir nos formations, et poser toutes vos questions à notre équipe pédagogique !

Questions fréquentes à propos de l’attaque drive-by download 

Les téléchargements drive-by sont-ils toujours une réalité ?

Oui, les téléchargements drive-by sont encore largement utilisés par les cybercriminels. Avec la multiplication de technologies telles que les kits d'exploit, qui permettent d’exploiter plus facilement les vulnérabilités zéro-day, ces attaques continuent de représenter une menace majeure, surtout pour les systèmes qui ne sont pas régulièrement mis à jour.

Qu'est-ce que le drive-by hack ?

Le drive-by hack est une cyberattaque où un hacker exploite les vulnérabilités d’un appareil via la visite d'un site compromis. Contrairement à une attaque drive-by download, qui installe un malware sur l’appareil, le drive-by hack préfère exécuter son code malveillant à distance pour permettre au pirate de prendre le contrôle de l'appareil, d'espionner les utilisateurs ou encore de voler des données sensibles.

Comment savoir s’il y a un virus sur un site ?

Certains outils tels que VirusTotal vous permettent de détecter un virus sur un site grâce à une simple analyse d’URL. Des signes comme des pop-ups inhabituels ou des redirections non sollicitées peuvent également indiquer une infection.