Cette faille n’a pas été exploitée uniquement par les auteurs de logiciels malveillants. Sony BMG l'utilisait pour cacher un rootkit sur des CD de musique. Windows exécutait et installait automatiquement le rootkit lorsque vous insériez un CD audio Sony malveillant dans votre ordinateur.
L'origine de l'exécution automatique
L'exécution automatique est une fonctionnalité introduite dans Windows 95. Lorsque vous insérez un disque logiciel dans votre ordinateur, Windows le lit automatiquement et, si un fichier autorun.inf est trouvé dans le répertoire racine du disque, le programme est automatiquement lancé. spécifié dans le fichier autorun.inf.
C'est pourquoi, lorsque vous avez inséré un CD de logiciel ou un disque de jeu PC dans votre ordinateur, un programme d'installation ou un écran de démarrage avec options a été lancé automatiquement. Cette fonction a été conçue pour faciliter l’utilisation de tels disques, réduisant ainsi la confusion. Si l'exécution automatique n'existait pas, les utilisateurs devraient ouvrir la fenêtre du navigateur de fichiers, accéder au disque et lancer un fichier setup.exe à partir de là.
Cela a fonctionné assez bien pendant un temps, et il n'y avait pas de gros problème. Après tout, les utilisateurs à domicile n’avaient pas de moyen facile de produire leurs propres CD avant que les graveurs de CD ne soient généralisés. Vous ne rencontriez que des disques commerciaux, et ils étaient généralement dignes de confiance.
Mais même dans Windows 95 lors de l’introduction d’AutoRun, il n’était pas activé pour les disquettes. Après tout, n'importe qui peut placer les fichiers qu'il souhaite sur une disquette. L'exécution automatique des disquettes permettrait aux logiciels malveillants de se propager d'une disquette à l'autre d'un ordinateur à l'autre.
Lecture automatique dans Windows XP
Windows XP a affiné cette fonctionnalité avec une fonction «AutoPlay». Lorsque vous insérez un disque, un lecteur flash USB ou un autre type de périphérique de support amovible, Windows examine son contenu et vous suggère des actions. Par exemple, si vous insérez une carte SD contenant des photos de votre appareil photo numérique, il est recommandé de faire quelque chose d’approprié pour les fichiers image. Si un fichier contient un fichier autorun.inf, une option vous demande si vous souhaitez également exécuter automatiquement un programme à partir du lecteur.
Cependant, Microsoft souhaitait toujours que les CD fonctionnent de la même manière. Ainsi, dans Windows XP, les CD et les DVD exécutaient toujours automatiquement des programmes s’ils possédaient un fichier autorun.inf ou commençaient automatiquement à lire leur musique s’il s’agissait de CD audio. Et, en raison de l'architecture de sécurité de Windows XP, ces programmes seraient probablement lancés avec un accès administrateur. En d’autres termes, ils auraient un accès complet à votre système.
Avec les lecteurs USB contenant les fichiers autorun.inf, le programme ne s'exécute pas automatiquement, mais vous présente l'option dans une fenêtre de lecture automatique.
Vous pouvez toujours désactiver ce comportement. Certaines options étaient enfouies dans le système d'exploitation lui-même, dans le registre et dans l'éditeur de stratégie de groupe. Vous pouvez également maintenir la touche Maj enfoncée pendant que vous insérez un disque et Windows n'effectuera pas le comportement d'exécution automatique.
Certains lecteurs USB peuvent émuler des CD, et même des CD ne sont pas sûrs
Cette protection a commencé à s'effondrer immédiatement. SanDisk et M-Systems ont constaté le comportement de AutoRun sur CD et le souhaitaient pour leurs propres clés USB. Ils ont donc créé des clés U3. Ces lecteurs flash ont émulé un lecteur de CD lorsque vous les connectez à un ordinateur. Ainsi, un système Windows XP lancera automatiquement des programmes sur ces ordinateurs lorsqu’ils sont connectés.
Bien sûr, même les CD ne sont pas sûrs. Les attaquants pourraient facilement graver un lecteur de CD ou de DVD ou utiliser un lecteur réinscriptible. L'idée que les CD sont en quelque sorte plus sûrs que les clés USB est fausse.
Catastrophe 1: le fiasco des rootkits Sony BMG
En 2005, Sony BMG a commencé à publier des rootkits Windows sur des millions de CD audio. Lorsque vous insérez le CD audio dans votre ordinateur, Windows lit le fichier autorun.inf et exécute automatiquement le programme d'installation du rootkit, qui infecte discrètement votre ordinateur en arrière-plan. Le but de ceci était de vous empêcher de copier le disque de musique ou de le ripper sur votre ordinateur. Comme ce sont des fonctions normalement supportées, le rootkit a dû renverser tout votre système d'exploitation pour les supprimer.
Tout était possible grâce à AutoRun. Certaines personnes ont recommandé de maintenir Shift chaque fois que vous insériez un CD audio dans votre ordinateur et d’autres se demandaient ouvertement si maintenir Shift pour empêcher l’installation du rootkit était considéré comme une violation des interdictions anti-contournement du DMCA de contourner la protection de copie.
D'autres ont fait la chronique de sa longue et triste histoire. Disons simplement que le rootkit est instable, que les logiciels malveillants ont profité de ce rootkit pour infecter plus facilement les systèmes Windows et que Sony a reçu un énorme œil au beurre noir sur la scène publique.
Catastrophe 2: le ver Conficker et autres logiciels malveillants
Conficker est un ver particulièrement méchant qui a été détecté pour la première fois en 2008. Il infectait notamment les périphériques USB connectés et y créait des fichiers autorun.inf qui exécuteraient automatiquement les programmes malveillants lors de la connexion à un autre ordinateur. Comme l’a écrit la société antivirus ESET:
“USB drives and other removable media, which are accessed by the Autorun/Autoplay functionalities each time (by default) you connect them to your computer, are the most frequently used virus carriers these days.”
Conficker était le plus connu, mais ce n’était pas le seul malware à abuser de la dangereuse fonctionnalité AutoRun. L'exécution automatique en tant que fonctionnalité est pratiquement un cadeau pour les auteurs de programmes malveillants.
Windows Vista a désactivé l'exécution automatique par défaut, mais…
Microsoft a finalement recommandé aux utilisateurs de Windows de désactiver la fonctionnalité d'exécution automatique. Windows Vista a apporté de bonnes modifications dont Windows 7, 8 et 8, 1 ont hérité.
Au lieu d'exécuter automatiquement des programmes à partir de CD, de DVD et de lecteurs USB se faisant passer pour des disques, Windows affiche simplement la boîte de dialogue Exécution automatique de ces lecteurs. Si un disque ou un lecteur connecté contient un programme, vous le verrez en tant qu’option dans la liste. Windows Vista et les versions ultérieures de Windows n'exécutent pas automatiquement les programmes sans vous le demander - vous devez cliquer sur l'option “Exécuter [programme].exe” dans la boîte de dialogue de lecture automatique pour exécuter le programme et être infecté.
Et, malheureusement, nous devons maintenant être conscients de la menace que représentent les périphériques USB pour la sécurité.
Si vous le souhaitez, vous pouvez désactiver entièrement la lecture automatique - ou uniquement certains types de lecteurs - pour ne pas obtenir de fenêtre contextuelle Lecture automatique lorsque vous insérez un support amovible dans votre ordinateur. Vous trouverez ces options dans le Panneau de configuration. Effectuez une recherche sur «lecture automatique» dans la boîte de recherche du Panneau de configuration pour les rechercher.
