INTRODUCTION

« Tu ne trouves pas ce que tu cherches ? demande à ton ami Google » . Qui n’a jamais entendu cette phrase, au moins dans les milieux professionnels informatisés ?

Google est un outil à la puissance connue et reconnue. Mais on lui associe aussi l’image de « l’ami » de nos divers besoins de recherche d’information.

De surcroit, « ami » signifie implicitement « digne de confiance » . Google est-il alors digne de confiance ? Les experts pourraient se plonger dans les détails des engagements de confidentialité que l’entreprise a pu publier, par rapport à ses différentes technologies.

Ces grands débats ne sont pas l’objet du présent article. La problématique principale est que la plupart des utilisateurs répondraient certainement : « oui, puisque tout le monde le connaît et l’utilise » .

Par ailleurs, il semble que les utilisateurs aient en tête que les premiers résultats Google, pour une requête donnée, sont censés être les plus pertinents. La fameuse bataille du référencement entre sites n’y est certainement pas étrangère. Il est d’ailleurs dit que très peu de personnes vont au delà des 10 premiers résultats, et encore moins au delà du cinquantième.

Compte tenu de ces éléments, la question suivante paraît presque rhétorique : « pour une recherche internet courante, les internautes considèrent-ils qu’un site bien classé dans les résultats de leur « ami » Google, est forcément digne de confiance par conséquence » ?

D’ailleurs, n’oublions pas que Google se veut rassurant sur le plan sécurité, via notamment sa politique officielle, le programme « SafeBrowsing » (cf. section Références), ainsi que ses équipes internes dont la réputation n’est plus à faire.

Et pourtant, voici une brève démonstration des dangers possibles cachés derrière les réponses « les plus pertinentes » de Google, comme « messenger », « winrar », « internet explorer », etc.

Il s’agit ici de considérer des requêtes Google très simples, courantes, voire populaires au point d’être dans les 10 premières des statistiques du moteur (en France notamment, source Google Insights for Trends, voir section Références).

NB : Les résultats Google indiqués ici sont ceux constatés en date de rédaction de cet article, le 15 décembre 2008. Cependant, la constatation initiale de la présence dans les résultats Google, des sites douteux exposés ici, date du 1er décembre 2008.

LISTE D’EXEMPLES DE SITES DOUTEUX, ACCESSIBLES VIA DES RECHERCHES GOOGLE COURANTES :

Les cas d’étude traités dans cet article ont été séparés en deux catégories, selon des similitudes observées à la fois sur les noms de domaine utilisés, ainsi que sur leurs informations de Whois (voir section Références en fin d’article).

On peut donc supposer à priori qu’il s’agit ici de deux campagnes différentes de pollution des résultats Google, pour des recherches données.

Catégorie 1, le nom du logiciel cible (ou une partie) apparaît dans l’URL du site douteux :

 

Exemple n°1 : « zip »

La requête se fera via l’URL suivante (générée automatiquement par Google, en tapant « zip » dans la barre de recherche) : http://www.google.fr/search?hl=fr&q=zip&meta= :

On voit notamment, dans les liens commerciaux Google :

- www.winzip-full.info/fr : le logiciel proposé en téléchargement ne permet qu’apparemment de lancer le téléchargement du logiciel WinZip (après avoir envoyé un SMS surtaxé, 3€ annoncés)

- www.EoRezo.com/Logiciel_Gratuit : WinZip est un logiciel payant… comment peut-on le proposer en téléchargement gratuit aux utilisateurs ? Si le téléchargement lui-même est bien gratuit, la seule chose de gratuite qui pourrait être proposée aux utilisateurs est la version de « démonstration » dudit logiciel. Mais, rappelons-le, la plupart de ces versions d’évaluation ne sont pas utilisables dans des contextes commerciaux (professionnels).

De plus amples détails relatifs aux sites « winzip-full.info » et « eorezo.com » seront donnés plus bas dans cet article.

Exemple 2 : « internet explorer: »

 

L’URL de recherche Google est la suivante : http://www.google.fr/search?hl=fr&q=internet+explorer

On voit notamment en tête des réponses (commerciales) :

- www.iexplorer-full.info/fr ce site passe donc devant celui officiel de Microsoft, et contient le terme « iexplorer », une référence claire au navigateur « Internet Explorer » de Microsoft justement.

Tout d’abord, la (faible) détection antivirale multi-moteur est confirmée (en date de la découverte) :

http://www.virustotal.com/fr/analisis/2cc67cee3fe91f2b4498b152efb9b407

D’autre part, l’on pourrait s’interroger sur le gain réel, pour l’utilisateur, à passer par ce centre de téléchargement, à la place de celui de Microsoft, officiel. Si l’on se réfère aux mentions légales du site, il est indiqué : « Les présentes Conditions d´utilisation régissent la prestation du service de téléchargement de logiciels à grande vitesse, sans virus et sans spyware (le Service) par l´entreprise à l´utilisateur à travers le Site Internet ».

Enfin, si ce que promet ce site est vrai, il semblerait bon de se demander si Microsoft a une politique de sécurité interne, digne de confiance. Et par là-même, remettre en cause Windows Update (pourtant un point majeur en sécurité des environnements Windows…) ?

Exemple 3 : « flash »

URL de recherche Google : http://www.google.fr/search?hl=fr&q=flash&meta=

On remarque notamment le site suivant, toujours en tête des réponses de Google :

- http://www.flash-player.info le site est au coude à coude avec celui de l’éditeur de Flash, Adobe (lien affiché : http://www.Adobe.com/CreativeSuite4 )

Il semble important de garder à l’esprit que, vu la renommée du module Flash actuellement, ainsi que le nombre de mises à jour de sécurité l’ayant affecté, ce lien piégé semble plutôt judicieusement choisi. En effet, l’installation de Flash Player sur une machine nouvelle, ou la mise à jour manuelle de la version déjà présente sur un poste de travail, sont autant de possibilités pour amener l’utilisateur vers ce logiciel douteux (qui n’est pas le vrai Flash Player, mais un outil de téléchargement payant).

Encore une fois, pourquoi payer 3 € pour télécharger un logiciel diffusé gratuitement par l’éditeur ?

Exemple 4 : « Media Player »

L’URL de recherche Google est la suivante : http://www.google.fr/search?hl=fr&ie=ISO-8859-1&q=media+player&meta=

Le lien suivant apparaît en première place des réponses Google :

- www.mediaplayer-full.info

Toujours pareil, il s’agit d’un logiciel proposant de télécharger « Windows Media Player » , contre lenvoi d’un SMS surtaxé. On pourra remarquer que la marque « Windows » apparaît sur le site. Cette dernière est pourtant protégée par le Copyright de Microsoft.

- > Autres exemples :

Il est aussi possible de trouver d’autres liens douteux, similaires à ceux cités plus haut dans cet article :

- www.vlc-full.info/fr/ (en cherchant () comment peut-on avoir un « VLC »  autre que « full » , puisque le logiciel édité par Centrale au départ, est sous licence GPL (voir section Références) ?

- www.spybotsearch-full.info (en cherchant « spybot »): un utilisateur chercher de quoi de débarrasser d’un logiciel indésirable ? Certains pensent visiblement en profiter pour lui soutirer de l’argent, dans la panique ou la colère, lors du téléchargement de SpyBot, logiciel pourtant gratuit…

- http://www.fullpackcodecs.com/fr/ (en cherchant « avi ») : on savait déjà que de nombreux codecs audio / vidéo n’étaient pas forcément « tout gratuits » à l’image du pack DivX qui intégrait un composant de Claria (GAIN). Certains ont même proposé des outils de suppression dédiés.

- www.nero-2008.com : Ahead Nero est un logiciel payant. Est-ce que l’envoi d’un SMS surtaxé peut réellement inclure le règlement de la licence utilisateur ? A priori, non. Tout ce qu’obtiendra l’internaute, c’est au mieux une version de démonstration de Nero, qui n’est pour rappel pas utilisable dans un contexte commercial.

Catégorie 2, jeu entre la syntaxe de l’URL et le nom du logiciel ciblé :

Exemple n°1 : « messenger »

L’URL de la recherche Google est : http://www.google.fr/search?hl=fr&q=messenger&meta=

On peut remarquer, dans les liens commerciaux Google :

- http://eoRezo.com/Telecharger_Messenger idem que précédemment pour « eorezo.com »

- http://MesengerMsn.net/fr/ : il est intéressant de noter la faute de frappe, « mesenger » avec un seul « s » . Et bien que le vrai MSN Live Messenger soit distribué gratuitement au grand public, ce site propose tout de même son propre utilitaire de téléchargement, surtaxé. Quel gain, par rapport au site officiel Microsoft, redondé et certainement très bien surveillé ?

Compte tenu de la popularité de MSN auprès du grand public, il semble que cet exemple ait été judicieusement choisi afin d’attirer potentiellement nombre d’internautes dans les mailles du filet.

Par ailleurs, son WhoIs est différent des autres sites de cet article (encore moins d’informations accessibles, cf. section Références)

Exemple 2 : « winrar »

URL de recherche Google : http://www.google.fr/search?hl=fr&q=winrar&meta=

On peut voir en tête des réponses Google, zone liens commerciaux :

- http://www.eoRezo.com/WinRar : idem que précédemment concernant eorezo.com.

- www.vvinrar.info/fr : on pourra noter également ici l’écriture trompeuse du « W » , avec deux lettres « v » (« vvinrar » ).

Il semble important de préciser ici qu’avec les polices standard d’affichage de Google, sous des résolutions d’écran également standard, la filouterie échappe à un oeil même relativement attentif ! On s’approche du parasitisme de nom de domaine (« cybersquatting », voire même « typosquatting »).

En outre, le fichier proposé en téléchargement par « vvinrar.info » est très peu détecté par les solutions antivirales (en date de la découverte du site), comme l’indique VirusTotal :

http://www.virustotal.com/fr/analisis/46dd26a3f58a6fc22d453ac85f8ae659

Exemple 3 : « avast »

URL de recherche Google : http://www.google.fr/search?hl=fr&q=avast&meta=

Il apparaît notamment (toujours dans les liens commerciaux Google) :

- http://www-AvastHome.com : on pourra noter la syntaxe non standard de l’URL : pas de « www. » dans l’URL, pourtant un standard du W3C.

- http://eoRezo.com/Logiciels_Gratuits : idem que précédemment pour le site EoRezo.

Il semble intéressant de remarquer qu’il y a davantage de liens commerciaux Google pour le téléchargement AVAST, que pour les autres exemples cités dans cet article. Peut-être parce qu’AVAST est relativement bien connu sur Internet (sa gratuité et sa francisation jouent certainement beaucoup).

Ces sites de téléchargement d’AVAST affichent l’étiquette « revendeur AVAST autorisé », et semblent affiliés à www.interactivebrands.com (site inaccessible en date du 16/12/2008).

Qui penserait que des liens de téléchargement de logiciels antiviraux pourraient être eux-mêmes viraux ? C’est certainement l’un des principes derrière la profusion actuelle des « rogues antivirus », ces antivirus contrefaits et/ou décelant des infections jamais décelées… Mais avec bien souvent, au final, une sollicitation de la carte bleue (pour l’achat du fameux antivirus) qui est elle, bien réelle.

Exemple 4 : « PDF »

L’URL de recherche Google est la suivante : http://www.google.fr/search?ie=UTF-8&q=pdf

Les liens suivants apparaissent en « liens commerciaux » Google :

-www.Easy-PDF-9.com le téléchargement semble vouloir se faire via www.interactivebrands.com, mais le lien est actuellement cassé.

- eoRezo.com/pdf : cette fois-ci, aucune détection antivirale pour le fichier proposé en téléchargement : http://www.virustotal.com/fr/analisis/0ec5365b7cd7fe2d6ede9da0fa6262a0

- Download-PDF-9.com : qui pointe ensuite sur secure.signupsecurity.com pour le téléchargement. On remarquera le titre associé au site « Acrobat PDF 9.0 – Gratuit » , ce qui est troublant dans la mesure où Adobe Acrobat est un logiciel payant.

Vu la popularité du format Adobe PDF, il semble que cette cible  » pdf » ait été soigneusement étudiée, tout comme « messenger » , afin de maximiser les chances de réussite de l’opération.

CONCLUSION :

Tout d’abord et compte tenu des éléments détaillés ci-dessus, il semble primordial de rappeler aux utilisateurs le principe suivant : ce n’est pas parce qu’un site sort dans les premiers résultats d’un moteur de recherche, qu’il est forcément digne de confiance, sécurisé, éprouvé.

Le classement des sites au sein des moteurs de recherche, pour une requête donnée, est susceptible d’évoluer tous les jours ou presque (pour Google, en moyenne 6 modifications hebdomadaires des signaux de classement des sites, en 2007). La bataille du référencement est donc perpétuelle ou presque.

De plus, il peut être également important de souligner à nouveau la nécessité d’un filtrage Internet sur URL (à minima), et éventuellement sur contenu, ainsi qu’un panaché de solutions antivirales. L’emploi d’une technologie de filtrage antivirus pour la navigation, et une autre déployée sur le parc, semble être une complémentarité minimum pour assurer la protection antivirale du SI.

En outre, dans tous les cas, le 100% de filtrage (antivirus, sites, etc) n’existe pas. En conséquence, l’une des dernières barrières de protection du SI reste la sensibilisation des utilisateurs. On pourra notamment rappeler les adages tels que : « ne pas cliquer sur tout ce qui est beau et clignote », ou « ne pas télécharger depuis des sources non sûres ». D’autant plus que la liste d’exemples fournis ici est, encore une fois, loin d’être exhaustive.

Le fait que ces exemples ne semblent pas si isolés est justement un point crucial de la sensibilisation aux risques SSI liés à Internet, que cet article tente de lancer.

Enfin, il est vrai que les exemples donnés dans cet article concernent uniquement Google, le moteur de recherche le plus utilisé au monde. Mais il est bien évident que le principe de sécurité SI énoncé plus haut s’applique aux autres moteurs de recherche Internet.

POUR ALLER PLUS LOIN :

On peut remarquer que tous les sites, cités dans cet article, intègrent tout ou partie du nom du logiciel associé (ciblé) dans leur URL. Exemples : vvinrar-full.info pour WinRAR, iexplorer-full.info pour Internet Explorer, flash-player-full.info pour Flash Player, vlc-full.info pour VLC, etc.

Or, l’utilisation sans autorisation préalable, d’un nom de logiciel déposé, est par défaut interdite. Cela tombe dans le périmètre de la contrefaçon.

Par ailleurs, ce qui est réellement frappant, c’est l’efficience de l’indexation Google de ces sites douteux, voire malveillants… ils passent en effet souvent avant les propres sites des éditeurs, dans l’ordre de classement proposé par Google !

Une explication possible est l’utilisation par ces sites douteux du nom (en partie ou complet) du logiciel ciblé. Google classe très haut les sites dont l’URL comporte le mot clef recherché par les utilisateurs. Encore une fois, sans l’accord des entités propriétaires des logiciels, ceci est illégal.

On peut remarquer que tous les sites, cités dans cet article, intègrent tout ou partie du nom du logiciel associé (ciblé) dans leur URL. Exemples : vvinrar-full.info pour WinRAR, iexplorer-full.info pour Internet Explorer, flash-player-full.info pour Flash Player, vlc-full.info pour VLC, etc.
Or, l’utilisation sans autorisation préalable, d’un nom de logiciel déposé, est par défaut interdite. Cela tombe dans le périmètre de la contrefaçon.

Par ailleurs, ce qui est réellement frappant, c’est l’efficience de l’indexation Google de ces sites douteux, voire malveillants… ils passent en effet souvent avant les propres sites des éditeurs, dans l’ordre de classement proposé par Google !
Une explication possible est l’utilisation par ces sites douteux du nom (en partie ou complet) du logiciel ciblé. Google classe très haut les sites dont l’URL comporte le mot clef recherché par les utilisateurs. Encore une fois, sans l’accord des entités propriétaires des logiciels, ceci est illégal.

Autres éléments notables :

Le Whois de ces noms de domaine renvoie des informations assez troublantes : « Domains by Proxy, Inc. ». Est-ce une société écran ? Il s’agit par contre visiblement d’un système d’hébergement anonymisé (cf. section Références). Le service en question tente de faire bonne figure : on remarquera la certification « Truste » affichée en page d’accueil.
La situation géographique de l’hébergeur « Domains By Proxy » est aux USA, donc hors juridiction française (selon le principe de la loi du sol)
Les sites douteux en question sont traduits en Français, mais ce de façon approximative (traces d’espagnol dans certains liens par exemple). Cette méthode reste malgré tout un excellent moyen d’attirer l’internaute français (entre autres) qui n’est pas anglophone. Ce principe se retrouve également au niveau de certains codes malveillants, qui adaptent leurs messages selon leur cible (cf. section Références)
On peut remarquer une reproduction de la charte graphique des logiciels cibles et/ou du site officiel les distribuant, pour être crédibles. Sans accord préalable de la société éditrice du logiciel ciblé, ceci constitue une contrefaçon (Code de Propriété intellectuelle)

-> Cas particulier : eorezo.com

Ce site est connu pour être lié à plusieurs logiciels douteux, si ce n’est publicitaires à tendance espions. On peut noter d’ailleurs que diverses technologies de classification des sites Internet l’associent à des catégories sans équivoque :
- McAfee SiteAdvisor : classé à risque : http://www.siteadvisor.com/sites/eorezo.com/
- MalwareNET : classé en « rogue » : http://www.malwarebytes.org/malwarenet.php?name=Rogue.Eorezo

Comme indiqué plus haut, le propriétaire de ce domaine est en France : hébergé chez Gandi, le propriétaire a indiqué un numéro de portable français ainsi qu’une adresse française.
En raison d’une procédure judiciaire en cours, cet article ne présentera pas d’autres détails sur le site www.eorezo.com. Des compléments sont en prévision dans un proche futur.

REFERENCES ET REMERCIEMENTS :

Informations complémentaires sur Google :

- Politique de sécurité de la société : http://www.google.fr/corporate/security.html
- Programme Google SafeBrowing : http://googleonlinesecurity.blogspot.com/2008/05/safe-browsing-diagnostic-to-rescue.html
- Détails sur le fonctionnement internet du moteur : http://www.nytimes.com/2007/06/03/business/yourmoney/03google.html?_r=1
- Service Google Insight for Search, exemple de statistiques : http://www.google.com/insights/search/#cat=32?o=FR&date=today%2012-m&cmpt=q

 

Informations relatives aux sites douteux cités dans l’article :

- WhoIs site WinZip : http://www.domaincrawler.com/domains/view/winzip-full.info
- Mentions légales pour le site concernant Internet Explorer : http://www.iexplorer-full.info/fr/termes_juridiques.html
- WhoIs site Internet explorer : http://www.domaincrawler.com/domains/view/iexplorer-full.info/fr/
- WhoIs site WinRar : http://www.domaincrawler.com/domains/view/vvinrar.info
- Enregistrement anonyme de noms de domaines : Domain By Proxy, dont le site officiel est : http://www.domainsbyproxy.com/
- Cas particulier du site « mesengermsn.net » : http://www.domaincrawler.com/domains/view/mesengermsn.net/

 

Informations sur le logiciel VideoLan Client, incluant la licence GPL : http://www.videolan.org/

Documentation sur les standards et réflexions concernant les nomenclatures URI / URL : http://www.w3.org/Addressing/#rfc3986

Problématiques liées à la virologie :

- Un code malveillant peut être polyglotte : http://www.sophos.fr/pressoffice/news/articles/2002/03/pr_20020314fbound.html et même utiliser le français : http://www.zdnet.fr/actualites/telecoms/0,39040748,39150104,00.htm
- Script de suppression de GAIN Gator, intégré dans des paquetages d’installation de DivX, par JC Bellamy : http://www.bellamyjc.org/download/vbs/killgator.vbs
- Scan antiviral en ligne, multi-moteur : www.virustotal.com

Agence de Protection des Programmes : http://app.legalis.net/defendre.php3?id_article=19

Informations complémentaires sur le service de WhoIs : http://www.afnic.fr/outils/whois

Je tiens à remercier le CERTA pour avoir pris en compte mon signalement initial de ce type de sites douteux, ainsi que pour leur aimable relecture du présent article.