Affaire Yahoo!: Comment éviter de se faire infecter en surfant sur le web?

Publié le

L’affaire Yahoo! à peine éclatée et les premières questions se posent déjà: Comment un site de cette envergure peut-il encore être victime d’infiltrations à cette échelle et surtout comment font les cybercriminels pour infecter les machines à partir de publicités à priori anodines? En tout cas, en suivant quelques conseils de sécurité tous simples, chacun peut grandement en réduire les risques, voire les éradiquer complétement.

Yahoo! a diffusé des malwares à travers des publicités affichées sur son réseau. C’est le blog Fox-IT qui a émis l’alerte ce 3 janvier dernier mais l’info n’a vraiment été relayée qu’aujourd’hui, plus d’une semaine après la date présumée de l’infection. Le site en cause a d’ores et déjà stoppé la campagne de pub en rotation pendant plusieurs jours et préconise la prudence.

Comment Yahoo! s’est fait avoir

La méthode employée est une méthode normalement réservée aux réseaux de sites plus modestes: Du code est injecté sur un serveur, en l’occurence celui de ads.yahoo.com, qui gère les publicités diffusées sur les pages Yahoo! Il se peut que la régie publicitaire n’ait pas contrôlée les liens des publicités et aurait ainsi validé une campagne malveillante.
Les blocs de pub renvoient, si l’on clique dessus (mais pas forcément, une enquête est en cours), vers une page infectée qui force l’installation de malwares, le kit d’exploit “Magnitude” qui vise les vulnérabilités de Java. Les malwares diffusés par ce kit répondent aux doux noms de ZeuS, Andromeda,Dorkbot/Ngrbot…De grosses saletés qui ont mis à mal pas mal de systèmes ces dernières années. Entre le 31 décembre et le 4 janvier, ce seraient 27 000 visiteurs qui auraient été infectés par heure. Les pays les plus touchés sont européens, à savoir la Roumanie, la Grande-Bretagne et la France.

Les infos sur l’un des sites infectés

Une méthode agressive mais simple

Alors comment ça marche? Eh bien il faut finalement peu de choses pour commencer, à part quelques connaissances techniques et une mise de départ. Il faut d’abord acheter un kit d’exploit au marché noir.

Qu’est ce qu’un kit d’exploit? Il s’agit d’un ensemble de fichiers, virus et malwares en tous genres, regroupés dans un pack et destiné à infecter différents types de logiciels, systèmes ou modules. Par exemple, le kit “Magnitude” employé ici ne visait que les navigateurs qui utilisaient le plug-in Java et qui n’était pas à jour. Un kit d’exploit peut également contenir une variété de malwares pour Windows, pour Mac ou pour téléphone, la seule constante étant le bénéficiaire du méfait.

Les cybercriminels font bien souvent leurs courses sur des sites et forums spécialisés, où des développeurs mettent en vente leurs créations (Ransomwares, virus, keyloggers…). Ces malwares étant très récents, ils n’ont pas encore l’honneur d’apparaître dans les bases de signature des antivirus.

Après avoir fait l’achat d’un kit, il faut l’installer sur un serveur et mettre en place les pages de réception des publicités: Elles sont stockées dans une iframe, c’est à dire un cadre HTML dans une page HTML. Une sorte de mise en abîme, qui empêche les différents logiciels de réagir. Un antivirus réagira en aval, plutôt lors de la phase d’infection, mais seulement s’il reconnaît le processus malveillant, ce qui n’est pas le cas si la souche du malware est trop récente…

Une fois les pubs créées, les pages hébergées et le serveur en place, il ne reste plus qu’à injecter le code à proprement parler. Dans ce cas, le criminel “force” un serveur à diffuser du code malveillant, soit comme cela peut être le cas, en passant par les voies officielles. C’était d’ailleurs le cas il n’y a pas si longtemps encore avec le market place d’applications pour Android de Google: tout le monde pouvait y mettre des applications, même malveillantes, sans contrôle ou presque. C’est de l’histoire ancienne le Google Chrome Store est lui aussi souvent visé par ce type d’infiltration…

En soumettant ses publicités, le criminel doit s’attendre à un contrôle de la part de Yahoo! Généralement, les publicités amènent vers des pages tout ce qu’il y a de “normales” et n’obligent pas à vérification de la part du diffuseur. Toutefois, des systèmes de veille sont en place justement pour éviter ce cas de figure…De plus, ces publicités payantes obligent à la création d’un compte et au renseignement de coordonnées bancaires…

Des moyens de se protéger

Aucune méthode n’est plus efficace qu’une autre dans ce cas de figure, mais un peu de bon sens doublé de quelques connaissances de base permettent d’éviter bien des embûches. Pour éviter les infections par les kits d’exploit Java, il suffit de désactiver ce module dans votre navigateur. La méthode diffère légérement entre Internet Explorer, Chrome ou Firefox, mais sachez que ce dernier désactive automatiquement tout plug-in non mis à jour et potentiellement vulnérable…
Autre moyen, mais uniquement après confirmation de l’attaque: bloquer des IP pour empêcher les communications entre l’ordinateur et le serveur distant. Dans ce cas précis, Fox-IT et Yahoo! préconisent de bloquer les adresses 192.133.137/24 et 193.169.245/24 c’est à dire avec un masque de sous-réseau 255.255.255.0, dans un pare-feu.

En ce qui concerne le bon sens, sachez que les publicités qui s’affichent ne sont pas très bien réalisées et “affichent la couleur” mais dans la langue de Shakespeare, tandis que la majorité des pubs diffusées en France sont en français…Si l’on regarde de plus près les noms de domaine utilisés:

blistartoncom.org
slaptonitkons.net
original-filmsonline.com
funnyboobsonline.org
yagerass.org

On s’aperçoit vite de leur caractère racoleur. Le charme, le jeu en ligne, les promesses de gain et la sécurité sont des secteurs favorisés par les cybercriminels qui savent que l’on n’attrape pas de mouches avec du vinaigre. Essayer de discerner le bon grain de l’ivraie ne demande pas un gros effort et c’est d’ailleurs un très bon entraînement pour éviter les ennuis sur la toile…En général!

 

 

Comment (1)

  • KADER Répondre

    IL NE FAUT CROIRE AU PÈRE NOËL AVEC LES CADEAUX ALLÉCHANTS ET DOUTEUX TOUT SIMPLEMENT POUR EVITER DE TOMBER DANS LE GOUFFRE DES CYBERS CRIMINELS

    9 janvier 2014 à 10 h 30 min

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet