Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Ces blogs qui installent des spywares

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Ces blogs qui installent des spywares

Des entreprises sans scrupule recrutent des bloggers du service Google Blogspot pour qu’ils infectent volontairement leur site. Chaque visiteur se voit alors harcelé de fenêtres popup lui proposant de « mettre Internet Explorer à jour ». Bien sûr, en acceptant, l’internaute recevra des spywares plutôt qu’une mise à jour de son navigateur. Le plus écoeurant est que les auteurs des blogs incriminés ne sont pas toujours au courant : ils pensent avoir accepté une simple publicité en échange de musique gratuite. Pathétique.


Des blogs hébergés par le service Google Blogspot sont devenus les derniers distributeurs de spyware à la mode. Des entreprises sans scrupule recrutent en effet leurs auteurs afin qu’ils placent une « publicité » en tête de leur blog. Ils reçoivent en échange, par exemple, de la musique gratuite à télécharger. Mais la publicité contient en réalité un code javascript chargé d’installer un spyware sur l’ordinateur des visiteurs du blog.

Bien sûr, comme il est difficile d’installer un code malicieux sur un PC correctement tenu à jour, le code d’installation du spyware a besoin de l’accord de l’utilisateur avant d’y déposer son cadeau empoisonné.

Il utilise pour cela un procédé écoeurant qui exploite le manque de connaissance technique de la majorité des internautes. Ainsi la toute première fenêtre qui surgit est celle d’installation du spyware proprement dit. Ce dernier est proposé sous la forme d’un contrôle ActiveX signé très officiellement par un certificat numérique fournis par Verisign. Seulement voilà, à la place du nom du fichier infecté, la fenêtre indique « votre navigateur n’est pas à jour, ce qui peut vous rendre vulnérable aux virus, spam et spywares. Pour éviter cela, cliquez sur OUI maintenant ».

Bien sûr, en cliquant oui, l’internaute est immédiatement infecté.

L’installation du spyware exige l’accord de l’utilisateur.

Mais même s’il n’accepte pas et clique sur « Non », l’utilisateur n’est pas au bout de ses peines pour autant. Une seconde fenêtre apparaît alors et elle est cette fois encore plus explicite : « Cliquez sur OUI pour mettre votre Internet Explorer à jour ».

Il n’y a de toute façon guère le choix : contrairement à la précédente (que les auteurs du spyware ne maîtrisent pas car elle est générée par Windows), cette fenêtre là ne compte qu’un seul bouton, celui qui permet d’accepter l’installation.

Les utilisateurs qui auraient refusés une première fois se verraient lourdement encourragés à accepter l’installation du spyware.

Et ce n’est pas terminé. Fermer cette seconde fenêtre de force provoque l’affichage d’une nouvelle popup encore plus explicite : « Nous vous recommandons FORTEMENT de mettre votre Internet Explorer à jour. Cliquez sur OUI maintenant ». Là aussi, il n’y a qu’un seul bouton, impossible de refuser à moins de fermer à nouveau la fenêtre de force.

Ce n’est qu’à ce moment que l’internaute échappera enfin au spyware, après avoir été contraint de refuser par trois fois et de fermer deux fenêtres par la force.

Une troisième fenêtre pour ceux qui n’auraient pas compris.

Cette tendance a été révélée par le chasseur de spyware Benjamin Edelman, dont le site a récemment fait l’objet d’une importante attaque par déni de service, probablement orchestrée par des éditeurs de spywares dont il a dévoilé les méthodes et les revenus. Dans l’exemple cité ci-dessus, le spyware est installé pour le compte de la société iWebTunes.com et serait fournis par Enternet Media. Ce dernier est l’éditeur notamment de la délicieuse Koolbar, dont la lecture de la licence d’utilisation est un pur régal (l’éditeur « se réserve le droit de collecter les adresse web complètes et le contenu de toutes les pages que vous visitez »). Bref, il n’y a pas de doute, nous sommes bien dans le domaine du spyware le plus sordide. Mais que vient faire Google dans cette histoire ? Et surtout comment pourrait-il éviter que la tendance ne s’installe ?

Google est l’éditeur du service Blogspot. Il offre donc ces journaux en ligne et il en gère l’infrastructure technique. Déjà conscient du risque que posent les codes javascripts, Google a bien interdit leur utilisation dans les commentaires ajoutés par les visiteurs aux articles publiés. Mais il en permet toujours l’utilisation par son auteur dans les pages du blog lui-même. Et c’est cet oubli qu’exploitent désormais les distributeurs de spywares.

Il suffirait donc à Google de bloquer le javascript sur l’ensemble de ses blogs, et non plus simplement dans les commentaires, pour régler le problème. Selon Benjamin Edelman, Google est prévenu… mais n’a encore rien fait.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.