Avr 112012
 

ZeuS, ce n’est pas le dieu à la tête du panthéon grec. C’est un botnet (un réseau d’ordinateurs zombies aux ordres d’un ordinateur maître) qui fait rage en ce moment, et contre lequel la plupart des grands opérateurs de l’informatique (éditeurs de logiciels et de machines, spécialistes de la sécurité) ont déclaré la guerre.

ZeuS a fait une nouvelle victime, et de taille : assassinscreedfrance.fr, un site de fans français du jeu édité par Ubisoft (mais non affilié à Ubisoft directement), publié grâce au CMS WordPress, décidément de plus en plus populaire sur le web. Depuis 8 semaines, le site est infecté par un cheval de Troie, un code javascript qui redirige les visiteurs vers un site malicieux russe, qui les connecte directement au botnet ZeuS. Ce matin, lors de la rédaction de cet article, l’infection était toujours active :

Jusqu’ici, avast! a protégé plus de 180.000 utilisateurs sur ce site, en bloquant le javascript avant qu’il ne les envoie vers le réseau zombie. Et assassinscreedfrance.fr n’est qu’un des près de 1850 sites qui ont été infectés dans le monde par ce code javascript spécifique durant le mois de mars. Cette infection, malgré une récente décente de Microsoftt qui a saisi une dizaine de serveurs infectés, continue à se propager sur le web, et a déjà coûté plus de 100 millions de dollars aux petites et moyennes entreprises dans le monde.

L’infection sur le site assasinscreedfrance.fr est localisée dans le compte à rebours d’un script Javascript régulièrement utilisé dans WordPress.

WordPress, à jour et bien utilisé (avec des plugins de sécurité et hébergé chez un hébergeur sérieux), est tout à fait sûr. Mais sa facilité d’utilisation le rend très populaire, y compris auprès d’un public jusque là peu habitué à avoir la possibilité de créer facilement un site professionnel, ce qui le rend évidemment particulièrement vulnérable.

Comme nous ne le répéterons jamais assez sur ce blog, les pirates visent généralement les systèmes les plus répandus et leurs failles laissées ouvertes à n’importe quel robot infectieux, pour pouvoir toucher rapidement le plus de monde possible. Le meilleur moyen de s’en protéger ? Mettez régulièrement votre système et vos outils à jour, qu’ils soient sur votre ordinateur ou bien à distance comme votre infrastructure WordPress. En effet, le plugin Javascript infecté d’assassinscreedfrance.fr semble à jour, mais pas la version de WordPress utilisée par le site.

Et bien sûr, avoir un bon antivirus vous permet de bloquer les liens infectieux que vous rencontrerez lors de votre navigation, voire de détecter très tôt si l’un d’eux s’est glissé dans votre site et le supprimer tout de suite, avant que votre site soit blacklisté par la plupart des antivirus.

Déc 152011
 

Nous en avions parlé il y a quelques jours : les malwares commencent à toucher aussi les smartphones. C’est d’ailleurs pour cette raison qu’avast! a sorti son antivirus mobile pour Android, accompagné d’un module de protection des données personnelles.

L’équipe de Google et d’Android avait déclaré il y a quelques jours qu’il n’y avait aucune menace sur l’Android Market, et que les éditeurs d’antivirus cherchaient simplement à créer la paranoïa pour mieux vendre. Cependant, force est de constater que le risque est bien réel :

Il y a deux jours, l’équipe du VirusLab d’avast! a fait remonter à l’équipe de sécurité de Google l’existence de plusieurs applications infectées, qui ont été retirées par la suite du Market. Ces applications étaient aussi disponibles sur au moins cinq markets non-officiels. Comme le cheval de Troie dont nous avions parlé dans notre dernière Actualité de la Semaine, ces applications envoyaient des SMS surtaxés, alourdissant considérablement la facture téléphonique, et concernaient de nombreux pays. Nous pensons qu’il s’agit de la même personne (ou du même groupe de personnes) derrière ces deux vagues d’applications infectées, bien qu’elles apparaissent sur le Market sous deux noms différents.

Les applications publiées par Miriada Production ressemblent à des jeux Android bien connus (Angry Birds, Need for Speed, World of Goo…) et les utilisateurs peuvent facilement les confondre. Par exemple, si quelqu’un effectuait une recherche pour « Cut the Rope free », l’application frauduleuse apparaissait à la quatrième place dans les résultats de recherche.

Bien sûr, il y a de nombreux signes qui ne trompent pas, mais qui peuvent ne pas être remarqués par un utilisateur lambda : la taille de l’application (l’application frauduleuse ne pèse que 56Ko, alors qu’un jeu pèse souvent au moins 1Mo), les permissions demandées à l’installation (pourquoi un jeu gratuit aurait-il besoin d’envoyer des SMS ?)…

Quand un utilisateur installe l’application, elle commence alors à télécharger un package depuis un serveur distant. Ce package contient vraiment le jeu, mais aussi la fonction qui permet d’envoyer des SMS surtaxés. Ce qui est intéressant avec ce genre d’application, c’est qu’elle n’envoie pas ce SMS à l’étranger, mais bien sur un numéro national. En République Tchèque, par exemple, pays siège d’avast! et où se trouve le VirusLab qui a effectué les tests, chaque SMS surtaxé coûte 4€ à l’utilisateur. Les montants varient de pays en pays, mais cela reste sensiblement dans cet ordre de prix. Près de 20 pays étaient directement concernés par cette application, dont l’Allemagne et la France.

Le développeur justifie cette action en incluant un article dans ses Conditions Générale expliquant qu’en fait, l’application n’est pas gratuite, mais bel et bien payante, via ce SMS.

Les applications de ce développeur ont toutes été supprimées de l’Android Market, et le compte du développeur supprimé.

Cependant, cela nous rappelle que nous devons, comme sur un ordinateur, vérifier tout ce que nous installons : lisez bien les Conditions Générales des applications, et surtout les demandes d’autorisations au moment de l’installation. Si une application vous semble suspecte, dans le doute, arrêtez l’installation.

L'actualité de la semaine #5 : le phishing et Facebook, Android attaqué & pourquoi ne pas installer d'antivirus...

L’actualité de la semaine #5 : le phishing et Facebook, Android attaqué & pourquoi ne pas installer d’antivirus…

Chaque semaine, nous retrouvons ce qui a fait l’actu dans le monde des virus et antivirus, et de la sécurité informatique en général. Au sommaire de cette semaine : quelques études, Facebook, Android, phishing et les bonnes raisons pour lesquelles ne pas installer d’antivirus… Pour commencer, c’est sorti la semaine dernière, mais cela continue de Lire la suite…