Mode opératoire

Un logiciel espion est composé de trois mécanismes distincts :

- Le mécanisme d'infection, qui installe le logiciel. Ce mécanisme est identique à celui utilisé par les virus, les vers ou les chevaux de Troie. Par exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa comme vecteur d'infection;
- Le mécanisme assurant la collecte d'information. Pour l'espiogiciel Cydoor, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa.
- Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise.

Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie (ce que fait WhenU.SaveNow, par exemple), capturer des mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à telle ou telle heure, ou encore espionner les sites Internet visités.

Vecteurs d'infection

Les logiciels espions sont souvent inclus dans des logiciels gratuits et s'installent généralement à l'insu de l'utilisateur. Ils ne sont généralement actifs qu'après redémarrage de l'ordinateur. Certains, comme Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus (accès : {Ctrl+alt+suppr} pour Windows, {ps} pour Unix). Un logiciel anti-espion performant peut toutefois les détecter et envoie une alerte avant leur installation.

Les logiciels espions sont développés principalement par des sociétés proposant de la publicité sur Internet. Pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible. Cette connaissance peut être facilement obtenue par des techniques de profilage dont le logiciel espion fait partie.

Le logiciel espion attaque très souvent les systèmes Microsoft Windows du fait de leur popularité et surtout du bureau lancé avec la totalité des droits la plupart du temps. Certaines pages Web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur de la victime.

Les logiciels espions sont souvent présents dans des gratuiciels, ou des partagiciels, afin de rentabiliser leur développement. Certains gratuiciels cessent de fonctionner après la suppression de l'espiongiciel associé. On ne connaît pas de logiciels libres — comme Mozilla Firefox — qui contiennent des logiciels espions.

Enfin, certains administrateurs systèmes ou administrateurs réseaux installent ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus.

Les principaux vecteurs d'infections sont :
- les logiciels de cassage de protection (type cracks et keygens)
- les faux codecs
- certains logiciels gratuits (certaines barres d'outils ou utilitaires par exemple)
- les faux logiciels de sécurité (rogues)
- la navigation sur des sites douteux, notamment ceux au contenu illégal
- les pièces jointes et les vers par messagerie instantanée