Codes malveillants
Chronique d'une infection annoncée
Par Jerome Saiz, le 07 fév 2006 à 18:01:00.
Vous avez toujours voulu savoir comment s'attrape un adware ? Ce n'est pas très difficile, il suffit d'un peu d'inattention, d'une pincée de naïveté et d'un brin de méconnaissance technique. Suivez le guide pour une infection illustrée.
L'adware, c'est comme un bon rhume, ça s'attrape facilement si on a la tête en l'air. Témoin la tentative d'infection dont nous venons d'être les victimes.
Heureusement, solidement abrités derrière un Mac, et surtout un brin paranoïaques, nous étions (pour l'instant encore) à l'abri. Nous avons donc pu jouer à l'internaute ignorant et empoigner notre appareil photo virtuel pour documenter le piège.
Début de l'opération : une recherche sur Google pour tenter de retrouver un questionnaire amusant à envoyer aux amis. Le premier site retourné par le moteur de recherche semble convenir, on s'y rend d'un clic.
- Première erreur : Le site est un
.biz, un domaine réputé pour être un nid à spammeurs et autres escrocs du web. Ce n'est bien entendu pas une règle d'or (ce serait aussi stupide que d'écrire que tous les sites en.comsont fiables). Mais la pratique montre que le domaine.bizplaît particulièrement aux escrocs.
Sitôt arrivés sur le site, une boîte de dialogue surgit à l'écran. Grâce à l'utilisation de Javascript, elle ne semble pas liée au site (ce n'est pas une page web mais bien une boîte de dialogue "de l'ordinateur"). Son texte est en français (là encore, merci Javascript, qui permet de récupérer la langue du navigateur).
Le site, bien sûr, ne demande pas d'emblée l'autorisation d'installer un adware sur le PC. L'objectif est d'abord de semer le doute en faisant croire qu'un outil (sur votre ordinateur, peut-être ?) est en train de procéder à une analyse du système, ou qu'une telle analyse n'a pas encore été lancée mais qu'elle serait nécessaire (la traduction n'est pas un modèle du genre).
Bref, dans tous les cas, que tout cela pourrait avoir des conséquences néfastes.
Techniquement, ce charabia ne veut rien dire. Mais il suffit bien souvent à semer le doute chez l'internaute pas très intéressé par la technique. Et puis, de toute façon, c'est gratuit... alors on clique !
La boîte de dialogue ment afin d'obtenir l'accord de l'internaute pour passer à la suite du programme. Le nom du site, montré ici, ne fait pas partie de la boîte de dialogue originale. Il est ajouté par le navigateur Safari à toutes les boîtes dialogue Javascript par mesure de sécurité.
- Seconde erreur : Répondre "Oui" à une boîte de dialogue de votre navigateur sans réellement comprendre la question est dangereux. Comme souvent en informatique, dans le doute, mieux vaut s'abstenir !
Attention cependant : parfois la boîte de dialogue est en réalité une fenêtre web. Dans ce cas cliquer n'importe où (même pour répondre non, par exemple) peut être dangereux. Un moyen de repérer de telles arnaques est de passer la souris (sans cliquer !) sur la fenêtre et de contrôler si une adresse s'affiche dans la barre inférieure du navigateur. Si c'est le cas, mieux vaut alors fermer la fenêtre en cliquant dans son coin supérieur droit. Sinon, on peut répondre "Annuler" en toute sérénité. (ce qui, dans le cas de notre adware, ne l'empêche pas d'afficher quand même la fenêtre suivante)
Une fois la pseudo-analyse acceptée, une fenêtre web restée vide depuis le début des opérations s'active soudain. Elle simule l'interface d'un outil ressemblant à un antivirus ou un antispyware et va jusqu'à faire croire à une véritable auscultation de votre système.
Bien entendu, cette dernière relèvera plusieurs dizaines de problèmes sur le PC. Tout ceci est bien sûr un leurre. Aucune analyse n'a lieu, et le seul objectif de cette mascarade est de faire cliquer sur un bouton destiné à télécharger le programme infectieux.
Effrayé par autant d'erreurs, l'internaute naïf cliquera probablement sur le bouton salvateur censé réparer tout ça. Et c'est justement ce qu'attendent les escrocs...
Plus d'information
- La traque aux installations sauvages est loin d'être un sport nouveau. Pour les anglophones, l'excellent site de Ben Edelman est une référence du domaine (en anglais)
- Le même Ben Edelman en proie aux escrocs (en français).
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
