Par Dan Hubbard, Chief Technology Officer (CTO) de Websense
1/ La plus grande partie des ‘posts’ sur les blogs et les forums contiennent du contenu indésirable (spam et malware)
De plus en plus de gens interviennent et interagissent sur des sites dans de multiples blogs, forums et autres “chat rooms”. Cela n’a pas échappé aux spammers et aux cyberdélinquants qui en profitent pour sévir : en diffusant du spam, en postant des liens qui reviennent vers eux et en dirigeant les utilisateurs vers des sites malveillants. Une étude de Websense montre que 85 % des posts web sur les blogs et forums, ont un contenu indésirable – spam et malware (logiciel malveillant) – tandis que 5 % sont des attaques par malware, escroquerie, fraude et phishing (hameçonnage). Dans un blog d’activité moyenne, entre 8 000 et 10 000 liens par mois sont postés. Sur de tels sites, l’utilisateur doit donc cliquer avec méfiance.
Qui plus est, la réputation d’un site ne garantit pas sa sécurité. Des blogs et des panneaux de messages appartenant à Sony Pictures, Digg, Google, YouTube et Washington State University ont tous hébergé récemment du spam intégrant des commentaires déplaisants. Le site BarackObama.com a lui aussi été infecté par cette même nuisance.
2/ Les “top results” fournis par les recherches de Google sont sûrs, n’est-ce-pas ?
La contamination des moteurs de recherche est de plus en plus populaire chez les cyberdélinquants, qui s’en servent pour pousser vers le haut des classements de recherche des liens conduisant à leurs sites web conçus pour nuire (via du code malveillant ou du spam). Beaucoup d’utilisateurs font confiance à ces « top results », alors qu’en réalité on les dirige vers des sites web infectés. Par exemple, au mois de mars, les fans de basketball qui tapaient “March Madness” dans la barre de recherche Google et cliquaient sur des liens en tête de liste, aboutissaient en fait à des sites web infectés proposant de faux antivirus (voir numéro 3).
3/Si vous n’êtes PAS infecté, réfléchissez bien avant de télécharger ce logiciel “antivirus”
Durant l’année écoulée, les cyberdélinquants ont utilisé abondamment les « faux antivirus» pour extorquer aux utilisateurs du web des informations privées : numéro de carte de crédit par exemple. Le plus souvent, les auteurs de faux antivirus contaminent le moteur de recherche pour diriger le trafic vers leurs propres sites infectés (voir numéro 2). D’une manière générale, ils postent des liens sur des blogs et des forums qui redirigent vers leur site malveillant. Quand un utilisateur visite ces sites web, une fenêtre apparaît pour lui annoncer qu’un malware a infecté son ordinateur. Il est alors invité à payer une certaine somme pour pouvoir télécharger un logiciel « antivirus » qui nettoiera son système. En réalité, les assaillants ont doublement réussi : ils ont obtenu de l’utilisateur qu’il dévoile son numéro de carte de crédit pour payer le logiciel bidon et ils ont installé le malware sur sa machine. Retenons comme exemple le célèbre ver (worm) Conficker qui a infecté des millions d’ordinateurs de la planète. Certains utilisateurs victimes ont pu voir un fichier téléchargé sur leur machine. Après exécution de ce dernier, l’utilisateur était sommé de payer 49,95 dollars pour supprimer la « menace détectée ».
L’Anti-Phishing Working Group a récemment publié quelques statistiques intéressantes montrant que le nombre de faux antivirus a augmenté de 225 % de juillet à décembre 2008. Soit trois fois plus de programmes malveillants détectés par rapport à juillet.
Les attaques par faux antivirus jouent sur la peur des utilisateurs du web. Elles permettent d’extorquer de l’argent alors même que l’ordinateur n’a pas été infecté et qu’il est inutile d’installer un antivirus.
4/Hélas, vous ne pouvez pas vraiment faire confiance à vos amis ou à votre réseau social
D’après un récent “tweet” des Websense Security Labs, « les menaces sur le web accomplies via votre réseau social Web 2.0 personnel représentent le nouveau point critique : ne faites pas automatiquement confiance aux messages suspects en provenance d’amis ». L’explosion des réseaux sociaux a créé de nouveaux modes de diffusion de menaces. Les utilisateurs du web ont l’habitude de recevoir des tweets contenant des URL raccourcis, des liens vidéo postés sur leurs pages Facebook et des emails censés provenir des sites sociaux eux-mêmes. Comme ils font confiance à l’envoyeur, ils n’hésitent pas à cliquer sur le lien.
La réalité est que les délinquants abusent de cette confiance pour disséminer des malware et des liens conduisant à des sites web infectés. Websense Security Labs a récemment trouvé des exemples d’emails apparemment envoyés de Facebook, mais qui émanaient en réalité de délinquants encourageant des utilisateurs à cliquer sur un lien menant à une « vidéo », en fait une page infectée par un malware.
Dan Hubbard est chief technology officer (CTO) chez Websense. Il dirige l’équipe Websense Security Labs dont la mission consiste à rechercher et à analyser les nouvelles menaces et tendances en termes de sécurité sur Internet.
