Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Attaque du bikini rose...

 

« Si ça semble trop beau pour être vrai, c’est sans doute le cas »

 

 

Une paire de seins et un bikini rose. La recette était apparemment infaillible, puisque des centaines de milliers de membres de Facebook, aguichés par la photo, sont tombés dans le panneau. Ils ont voulu voir la vidéo dans son intégralité, se sont heurtés à un message leur demandant d’installer un logiciel, ont accepté... et déclenché une alerte de sécurité sur leur ordinateur. C’est Roger Thompson, directeur de recherche du laboratoire d’antivirus AVG, qui raconte cette inquiétante anecdote sur son blog.

Il revient pour Ecrans.fr sur l’attaque du bikini et détaille les modes d’action des développeurs d’antivirus, répondant à l’école d’ingénieurs qui les accuse d’être « tous égaux dans la nullité ».

Qu’est-il arrivé exactement le samedi 15 mai dernier ? Plus de 300 000 alertes de sécurité ont été lancées chez les utilisateurs de notre logiciel LinkScanner. L’attaque provenait de Facebook, et s’appuyait sur une vingtaine d’applications malveillantes. Ce n’est pas une forme d’attaque courante, mais c’est elle qui a généré le plus de détections ce jour-là. Loin devant les faux anti-spywares qui occupent habituellement la première place des menaces. C’était assez impressionnant.

En quoi consistait cette attaque ? Les applications montraient une photo de fille en bikini et promettaient un accès à « la vidéo la plus chaude de tous les temps » à condition d’installer un logiciel pour lire cette vidéo. Le plus intéressant dans cette attaque, c’est que les applications n’étaient pas dangereuses en elles-mêmes et n’injectaient pas de code malveillant dans l’ordinateur, comme le font les virus ou les vers informatiques. Elles se contentaient d’inciter les internautes à installer le programme malveillant eux-mêmes. 300 000 d’entre eux au minimum ont accepté de le faire, puisqu’on a reçu 300 000 alertes. Mais on ne couvre pas tout le monde, et le nombre de clics doit avoir été bien supérieur. On a déjà vu des cas similaires auparavant, mais jamais dans de telles proportions. L’attaque a tiré profit de la nature de Facebook et de son pouvoir à interconnecter les gens et à propager les choses.

Pourquoi Facebook n’a-t-il pas vu et bloqué lui-même ce genre de menace ? Facebook voit et bloque les menaces de son réseau, mais ils comptent 400 millions de membres et 1 millions de développeurs... Il est difficile de garder un œil sur chacun d’entre eux. Même s’ils neutralisent rapidement la plupart de ces applications, les attaquants sont très réactifs et mettent d’autres applications en ligne pendant qu’on retire les premières. Il n’est pas dangereux de surfer sur Facebook, mais les utilisateurs doivent être plus prudents.

Comment s’organise la surveillance de sites comme Facebook ? AVG a un programme nommé LinkScanner qui surveille spécifiquement les anomalies sur le web. Internet est une surface d’attaque particulièrement sensible, parce que quand vous lancez un navigateur, il s’exécute à l’intérieur du pare-feu et crée un tunnel dans la zone de confiance. Quand l’internaute visite un site hostile ou hacké, le code malveillant peut passer directement au travers du pare-feu et atteindre l’ordinateur.

LinkScanner surveille les sites web et rapporte à AVG ce qu’il rencontre, pour que nous puissions repérer les nouvelles menaces très tôt et les traiter rapidement. C’est une sorte de surveillance de voisinage, où tout le monde garde un œil sur les autres.

Eric Filiol, coorganisateur du concours Pwn2kill, accuse les éditeurs d’antivirus de choisir la facilité en dressant des listes de signatures de virus connus plutôt que de chercher à détecter les comportements malveillants. Que lui répondriez-vous ?

Il n’y a que très peu de méthodes pour détecter les virus. On peut surveiller l’état du système informatique et alerter l’utilisateur quand il y a un changement — c’est ce qu’on appelle le contrôle d’intégrité. On peut aussi surveiller le comportement des logiciels et lancer une alerte s’ils deviennent suspects. Et enfin, on peut utiliser un scanner pour reconnaître les signatures [extraits significatifs du code, ndlr] de virus déjà connus.

Les deux premières techniques permettent de trouver de nouveaux virus, alors que les scanners à signatures doivent être mis à jour pour réagir aux nouvelles menaces. Ces scanners n’auraient jamais dû être utilisés comme principal moyen de protection contre les virus, mais les consommateurs ont voté avec leur portemonnaie en choisissant le meilleur rapport coût-efficacité.

Je suis enclin à approuver les propos de l’organisateur du concours, mais je pense que ce sont les consommateurs qui ont choisi la solution de facilité, pas les développeurs d’antivirus. Quand un scanner à signatures analyse un programme, il ne peut avoir que deux réactions : déclarer que c’est un virus ou ne rien dire. C’est facile. Les contrôleurs d’intégrité ou de comportement, quant à eux, disent « quelque chose a changé dans l’environnement du PC » ou « quelque chose est en train d’enregistrer les frappes de votre clavier », et les utilisateurs doivent réfléchir à la situation et faire des choix délicats. L’alerte pourrait correspondre à quelque chose d’innocent, comme la mise à jour d’un programme ou un écran de veille qui cherche à savoir si l’ordinateur est actif ou non, mais aussi à une véritable attaque.

Que peut-on faire pour améliorer la protection de son ordinateur et surfer en sécurité ? À mon avis, la meilleure solution est de combiner plusieurs techniques. Des programmes comme LinkScanner utilisent les signatures et l’heuristique pour bloquer la plupart des attaques avant qu’elles n’agissent. Il faut soutenir cette protection par un logiciel de contrôle comportemental, et tout ça en plus du scanner antivirus de base. Quand on a plusieurs couches, aucune d’entre elles n’a l’obligation d’être parfaite parce qu’elle est complétée par les autres. J’aime bien comparer le système à des tranches d’emmental : chaque tranche est pleine de trous, mais si on superpose deux tranches ça bouche la majorité des trous. Avec une troisième tranche, il n’y en a plus aucun.

De manière générale, voici une bonne règle à suivre : si quelque chose sur Internet semble trop beau pour être vrai, c’est sans doute le cas. Et si une application Facebook vous demande d’installer quelque chose pour regarder une vidéo... ne le faites pas  (Source Libération)