Attaques
Ces blogs qui installent des spywares.
Par Jerome Saiz, le 25 fév 2005 à 11:33:00.
Des entreprises sans scrupule recrutent des bloggers du service Google Blogspot pour qu'ils infectent volontairement leur site. Chaque visiteur se voit alors harcelé de fenêtres popup lui proposant de "mettre Internet Explorer à jour". Bien sûr, en acceptant, l'internaute recevra des spywares plutôt qu'une mise à jour de son navigateur. Le plus écoeurant est que les auteurs des blogs incriminés ne sont pas toujours au courant : ils pensent avoir accepté une simple publicité en échange de musique gratuite. Pathétique.
Des blogs hébergés par le service Google Blogspot sont devenus les derniers distributeurs de spyware à la mode. Des entreprises sans scrupule recrutent en effet leurs auteurs afin qu'ils placent une "publicité" en tête de leur blog. Ils reçoivent en échange, par exemple, de la musique gratuite à télécharger. Mais la publicité contient en réalité un code javascript chargé d'installer un spyware sur l'ordinateur des visiteurs du blog.
Bien sûr, comme il est difficile d'installer un code malicieux sur un PC correctement tenu à jour, le code d'installation du spyware a besoin de l'accord de l'utilisateur avant d'y déposer son cadeau empoisonné.
Il utilise pour cela un procédé écoeurant qui exploite le manque de connaissance technique de la majorité des internautes. Ainsi la toute première fenêtre qui surgit est celle d'installation du spyware proprement dit. Ce dernier est proposé sous la forme d'un contrôle ActiveX signé très officiellement par un certificat numérique fournis par Verisign. Seulement voilà, à la place du nom du fichier infecté, la fenêtre indique "votre navigateur n'est pas à jour, ce qui peut vous rendre vulnérable aux virus, spam et spywares. Pour éviter cela, cliquez sur OUI maintenant".
Bien sûr, en cliquant oui, l'internaute est immédiatement infecté.
L'installation du spyware exige l'accord de l'utilisateur.
Mais même s'il n'accepte pas et clique sur "Non", l'utilisateur n'est pas au bout de ses peines pour autant. Une seconde fenêtre apparaît alors et elle est cette fois encore plus explicite : "Cliquez sur OUI pour mettre votre Internet Explorer à jour".
Il n'y a de toute façon guère le choix : contrairement à la précédente (que les auteurs du spyware ne maîtrisent pas car elle est générée par Windows), cette fenêtre là ne compte qu'un seul bouton, celui qui permet d'accepter l'installation.
Les utilisateurs qui auraient refusés une première fois se verraient lourdement encourragés à accepter l'installation du spyware.
Et ce n'est pas terminé. Fermer cette seconde fenêtre de force provoque l'affichage d'une nouvelle popup encore plus explicite : "Nous vous recommandons FORTEMENT de mettre votre Internet Explorer à jour. Cliquez sur OUI maintenant". Là aussi, il n'y a qu'un seul bouton, impossible de refuser à moins de fermer à nouveau la fenêtre de force.
Ce n'est qu'à ce moment que l'internaute échappera enfin au spyware, après avoir été contraint de refuser par trois fois et de fermer deux fenêtres par la force.
Une troisième fenêtre pour ceux qui n'auraient pas compris.
Cette tendance a été révélée par le chasseur de spyware Benjamin Edelman, dont le site a récemment fait l'objet d'une importante attaque par déni de service, probablement orchestrée par des éditeurs de spywares dont il a dévoilé les méthodes et les revenus. Dans l'exemple cité ci-dessus, le spyware est installé pour le compte de la société iWebTunes.com et serait fournis par Enternet Media. Ce dernier est l'éditeur notamment de la délicieuse Koolbar, dont la lecture de la licence d'utilisation est un pur régal (l'éditeur "se réserve le droit de collecter les adresse web complètes et le contenu de toutes les pages que vous visitez"). Bref, il n'y a pas de doute, nous sommes bien dans le domaine du spyware le plus sordide. Mais que vient faire Google dans cette histoire ? Et surtout comment pourrait-il éviter que la tendance ne s'installe ?
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
