Une porte dérobée ou trappe est un point d'entrée dans une application généralement placé là par un développeur pour faciliter la mise au point des programmes, la maintenance ou l'administration.
Les programmeurs peuvent ainsi interrompre le déroulement normal de l'application, effectuer des tests particuliers et modifier dynamiquement certains paramètres pour changer le comportement original.
Il arrive quelquefois que ces points d'entrées ne soient pas enlevés lors de la commercialisation des produits. Ils constituent dès lors des failles de sécurité lorsqu'ils sont connus. Les trappes sont les cibles privilégiées pour des attaquants dont les objectifs sont de contourner les mesures de sécurité.
De nombreux sites sur Internet répertorient les trappes dans les logiciels et proposent des programmes qui les exploitent.
Un spyware, en français "espiogiciel" ou "logiciel espion", est un programme ou un sous-programme conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur ou à un tiers via internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.
Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :
- les spywares commerciaux :
ð collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres « popup », voire en modifiant le contenu des sites Web visités afin par exemple d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu ;
- les mouchards :
ð collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de déboguage ou de maintenance technique, voire de cyber-surveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou commercial, mais de par leur fonction ils sont peu fréquents.
Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :
- le spyware intégré (ou interne) :
ð est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via Internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur ;
- le spyware externalisé :
ð est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ou Web3000, avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel peer-to-peer KaZaA, et s'installe séparément mais en même temps que lui.
Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).
L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registres.
La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration. Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spyware, les données collectées et transmises sont définies dans le code source du spyware, et le chiffrement des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.
Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à Internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.
Ce type d'attaque évoluée exploite le fonctionnement asynchrone de certaines parties ou commandes du système d'exploitation.
Les requêtes concernant de nombreux périphériques sont mises en file dans l'ordre des priorités puis traitées séquentiellement. Des tâches sont ainsi "endormies" puis "réveillées" lorsque les requêtes sont satisfaites. A chaque fois qu'une tâche (ou un processus) est ainsi endormie, le contexte d'exécution est sauvegardé pour être restitué lors du réveil.
De nombreux processus s'exécutent sur des périodes très longues. Afin d'éviter en cas de panne la perte du bénéfice des calculs effectués depuis le début, des points de reprise sur incident sont définis.
Ces sauvegardes de contexte contiennent des informations propres à l'état du système et un attaquant averti peut s'en servir pour contourner les mesures de sécurité.