Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Julien Sobrier, Zscaler : comment se protéger des faux antivirus et autres spam malicieux

décembre 2010 par Julien Sobrier, Senior Security Researcher, Zscaler

Les recherches les plus populaires sur Google, Bing ou Yahoo ! peuvent diriger les utilisateurs vers de faux antivirus, des fichiers PDF ou Flash contenant des exploits, ou d’autres malware (voir les précédents articles sur les moteurs de recherche détournés). Bien que ces logiciels malveillants soient les plus susceptibles d’infecter les utilisateurs, il n’existe pas de solution miracle pour se protéger. Voici une liste d’outils qui, utilisés en conjonction les uns avec les autres, offre une un bon niveau de protection.

Liste de sites dangereux

Les navigateurs utilisent une liste de site dangereux mise à jour régulièrement. Firefox, Safari et Chrome utilisent Google Safe Browsing, un service gratuit de Google. Internet Explorer 8 utilise SmartScreen Filter. Si un utilisateur est redirigé vers un des sites dangereux connu de Google ou Microsoft, il est averti gu danger potentiel avant que la page se charge. Le principal avantage de cet outil est que l’utilisateur n’a pas à installer de logiciel supplémentaire, tel qu’un antivirus, pour en tirer avantage. Mais il faut un certain temps pour que les nouveaux sites malicieux soient détectés, ajoutés à ces listes, et distribués a tous les navigateurs. Ce n’est donc pas suffisant pour se protéger contre les dernières menaces. Les utilisateurs d’Internet Explorer 7 ou 6 ne bénéficient pas de ce type de protection.

Figure 1. Mise en garde d’Internet Explorer 8.

Antivirus

Les antivirus devraient être capables, dans la majorité des cas, de détecter les faux antivirus. Depuis quelques années, les antivirus analysent également les pages HTML, les fichiers PDF et Flash, et autres contenus web. Dans la pratique, c’est loin d’être le cas. Je teste régulièrement, depuis presqu’un an, le taux de détection des faux antivirus parmi les vendeurs antivirus grâce au site virustotal.com. Ce site scanne les fichiers fournis avec environ 40 antivirus différents. Le taux de détection est habituellement inferieur a 25% ! Les antivirus les plus populaires dans les foyers sont rarement capables de détecter ce type de virus. Il est cependant toujours recommandé d’avoir un antivirus à jour sur son ordinateur, mais chacun doit être conscient que ce n’est pas un outil infaillible qui peut détecter tous les virus.

Figure 2. Un des faux antivirus n’est détecté que par 5 antivirus parmi 43.

Plugin « Search Engine Security » pour Firefox

Zscaler a créé un plugin gratuit pour Firefox, « Search Engine Security », pour protéger contre les sites malicieux qui utilisent les moteurs de recherche pour infecter les utilisateurs. Comme expliqué dans l’article « Les moteurs de recherche détournés pour infecter les utilisateurs », les pages de spam vérifient que l’accès est effectué par un humain, non pas par un bot, avant de répondre par une redirection vers le site malicieux. Le plugin modifie les en-tête Referer et User-Agent lorsque l’utilisateur clique sur un résultat de recherche su Google, Bing ou Yahoo !. Cela fait croire à la page de spam que la requête est effectuée par un bot, et ne redirige par le navigateur vers un site malveillant.

Figure 3. Configuration de "Search Engine Security"

Les moteurs de recherche, en particulier Google, font des efforts pour réduire le nombre de liens pointant vers des sites dangereux. Malgré ces efforts, certaines recherches contiennent des liens malicieux dans la première page de résultats. Les utilisateurs doivent être prudents, et ne pas compter sur le moteur de recherche pour les tenir protéger. Il est important de garder son navigateur, ses plugins (Flash, Java, PDF), et son antivirus à jour pour diminuer le risque d’infection. La meilleure protection est d’informer les utilisateurs, et de ne pas installer de logiciels de sites inconnus.


Voir les articles précédents

    

Voir les articles suivants