Certains utilisent le fer à souder, d’autres le chalumeau sous la plante des pieds, d’autres encore préfèrent l’action psychologique et d’autres enfin les armes furtives. C’est à cette dernière catégorie de spécialistes du vol de mot de passe (alias « identité » dans le cadre d’un système à authentification sur secret partagé) que se penche une étude publiée cette semaine par l’Avert Lab deMcAfee. Un rapport -traduit en français- intitulé « L’économie du vol de mots de passe : tenants et aboutissants de l’usurpation d’identité ». La première remarque que l’on peut émettre, après lecture de ces 16 pages, c’est qu’elle est bien dépassée et en passe d’être oubliée, la technique du faux site bancaire, unique vecteur de capture de mot de passe dans le cadre d’une campagne de phishing. Désormais, on capture les sésames financiers directement sur le poste du client, avant même qu’il ne soit chiffré par un canal ssl, et sans qu’il ne puisse s’éveiller le moindre soupçon de mauvais certificat. Le « faux site de phishing » est dangereusement concurrencé par SilentBanker, un BHO qui vient se cacher dans le navigateur Web de l’usager, par Sinowal, un cheval de Troie véhiculé par un vecteur totalement furtif, StealthMBR – un virus bootsector- , par SteamStealer, Zbot, Goldun, Gozi ou Pinch, sans oublier le très médiatique Zeus. Ce changement radical de tactique, qui fait du vol de mot de passe une véritable industrie, se mesure au seul volume des malwares spécialisés dans ce genre de larcin : +400 % en 2008 par rapport à 2007. Entre dans cette catégorie aussi bien des Troyens que les «faux add-in » (BHO) de navigateur, les keyloggers de claviers virtuels ou les détourneurs de requêtes dns. L’étude de l’Avert se penche donc sur les différentes méthodes employées par ces vers, et analyse leur comportement parfois étonnant. Ainsi Tigger, qui se charge avant toute chose de désinfecter l’ordinateur cible de tout autre virus bancaire concurrent. Ou Zbot, qui prend une photographie de l’entourage du curseur chaque fois que le bouton gauche est activé ; une technique imparable pour récupérer une séquence sur clavier virtuel, même si le « bouton » que vise l’utilisateur ne contient pas de caractère alphanumérique.