Netactualité

L'éditeur BitDefender a lancé le 17 décembre dernier une alerte relative à un cheval de Troie capable de modifier le contenus des liens sponsorisés du programme AdSense de Google, de façon à entraîner l'internaute vers les sites de son choix.

Google AdSense est un programme publicitaire, accessible à tous, qui affiche sur votre site des publicités contextuelles, dont le contenu est censé entretenir un rapport avec le contenu de vos pages. L'affichage des publicités se faitau moyen de quelques lignes de code fournies par Google et combinant HTML et JavaScript. C'est l'exécution de ce code qui lance un appel vers les serveurs de Google afin de déterminer quelles sont les publicités à afficher après analyse du contenu.

Ce cheval de Troie, baptisé Trojan.Qhost.WU, opère une modification sur le fichier « hosts » des systèmes d'exploitation. A chaque tentative de connexion vers un serveur distant, ce fichier est consulté afin de vérifier qu'une adresse IP n'est pas déjà associée à un nom de domaine, avant qu'une requête soit envoyée aux serveurs DNS qui se chargent habituellement de la redirection des internautes. Aujourd'hui inutile, ou presque, le fichier hosts n'est plus guère utilisé que pour interdire l'accès à certains sites, dans le cadre par exemple d'un contrôle parental.

Ici, le fichiers hosts est modifié de façon à ce que le script AdSense n'appelle pas les serveurs de Google (pagead2.googlesyndication.com) mais le serveur de l'attaquant, à partir duquel celui-ci diffusera le message de son choix.

L'affaire est ennuyeuse pour Google, bien sûr, mais également pour les internautes que cette usurpation met en danger, ainsi que pour les annonceurs et webmasters qui font confiance au programme publicitaire du numéro un mondial des moteurs de recherche. Ce cheval de Troie ne semble cependant pas opposer de résistance aux programmes de désinfection les plus courants.

Les spammeurs ne sont jamais à court d'idées quand il s'agit de polluer les boîtes électroniques. Dernièrement, des spammeurs ont ainsi utilisé une mini-faille dans le service de partage vidéo de Google : Youtube. Grâce à son utilisation, ils ont effectivement réussi à envoyer des publicités non-sollicitées avec comme adresse de l'expéditeur service@youtube.com.

Les spammeurs cherchent ainsi à abuser de la confiance de l'internaute en faisant passer pour une source jugée « saine » (Youtube dans le cas présent). Pour cela, ils contournent le module du service de vidéo qui permet d'inviter un ami sur Youtube en lui envoyant un email. Elle permet, en outre, de passer au travers des filtres antispam puisque l'adresse service@youtube.com apparait comme une adresse tout à fait légitime.

En attendant une probable réaction de Youtube, il est conseillé de ne pas trop se fier aux messages en provenance de « service@youtube.com »...

La méthode n'est pas franchement inédite, mais elle reste suffisamment pernicieuse pour que bon nombre d'internautes risquent de se laisser abuser. D'après l'éditeur en sécurité informatique Sophos, il circulerait actuellement sur le Web des courriers électroniques se faisant passer pour des alertes de sécurité Microsoft, qui viseraient en réalité à assurer la promotion de substances comme le Viagra ou le Cialis, bien connues des internautes victimes de spam.

Présentés comme une communication officielle émanant de Microsoft sous le titre de « Microsoft Security Bulletin MS07-0065 », ces courriers invitent l'internaute à se rendre sur le site de l'éditeur par l'intermédiaire d'un lien hypertexte. Celui-ci ne les mènera pas vers le service de mises à jour de Microsoft, mais vers une page infectée par un ver de type troyen - ou cheval de Troie, identifié par Sophos sous la référence Behav-112. Pour plus d'efficacité, les auteurs de l'attaque ont bien évidemment habillé leur courrier aux couleurs de Microsoft et déguisé leur lien sous une adresse qui ressemble à celle d'un site de l'éditeur.

Les habitués ne s'y tromperont sans doute pas, mais ce type d'attaque vise bien sûr des personnes peu au fait des pratiques des éditeurs en matière de sécurité, qui pourraient trouver parfaitement normal que Microsoft les prévienne par courrier de l'existence de mises à jour et ne pas prêter attention à une formulation hasardeuse ou à une adresse Web quelque peu étrange. Si vous recevez cet email, inutile de préciser qu'il est préférable d'immédiatement le supprimer.

Le Crédit Agricole fait l'objet depuis le 1er mars d'une attaque de phishing en règle. De nombreux internautes ont pu recevoir ces derniers jours un courrier électronique semblant émaner de cette banque et leur demandant, sous couvert de problèmes techniques, d'aller confirmer leurs coordonnées sur son site. Le message, rédigé en français, est accompagné d'un lien dont l'adresse cible ressemble à celle de l'une des déclinaisons régionales du Crédit Agricole. Ce dernier ne conduit toutefois pas vers l'un des sites officiels de la banque, mais vers un fac-similé qui servira les desseins frauduleux des auteurs de l'attaque.

Les internautes clients du Crédit Agricole qui auraient été abusés par ce courrier et auraient fourni leurs informations bancaires au site frauduleux sont invités à prendre contact avec leur agence le plus rapidement possible. Comme toujours, rappelons à nos lecteurs qu'une banque ou un établissement financier ne vous demandera jamais de modifier ou de confirmer vos coordonnées par email. Par ailleurs, il est fortement recommandé de ne jamais utiliser les liens contenus dans un courrier électronique pour se rendre sur le site de sa banque, mais de toujours saisir manuellement l'adresse de ce dernier dans son navigateur.

Enfin, précisons que certaines opérations de phishing sont menées de façon suffisamment habile pour que les sites frauduleux apparaissent bien placés dans les moteurs de recherche. Il est donc, là encore, nécessaire de se comporter prudemment, et de toujours rentrer soi-même les adresses sensibles, pour limiter les risques de contrefaçon.

Plus d'infos ici

Une nouvelle attaque au phishing semble faire rage depuis le début de la semaine, avec une fois n'est pas coutume, la réception d'un email Paypal vous informant que votre compte a été suspendu. Comme d'habitude le mail vous indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement.

Si cette attaque n'a rien de novateur dans son concept, il y a tout de même une particularité : le mail est entièrement rédigé en français, ce qui n'est pas une première mais reste relativement rare en règle générale. Il est de sucroît très proche du style adopté par Paypal pour ses communications officielles avec en prime des publicités pour Skype et eBay notamment. Seul détail qui cloche, l'email en question vous aiguille vers un site dont le domaine se termine en co.kr.