Nous avons tendance à croire que pour être infecté avec un malware Internet, il faut visiter les bas fonds du Web : mais c’est faux. C’est pourquoi, quand vous annoncez à vos amis que votre ordinateur est infecté par un malware, l’un deux fera à coup sûr une blague sur le fait que vous passez trop de temps sur tel ou tel site pornographique. En réalité, les jours où les malwares se cachaient sur des sites pour adultes sont complètement révolus. Ces sites Web, contrairement à de nombreux autres, se font certainement de l’argent. Il leur incombe donc de s’assurer qu’ils ne sont pas infectés par un malware.
D’après mon expérience, la plupart des sites Web infectés par un malware sont ceux auxquels on s’attend le moins.
Avec n’importe quelle infection de malware, il existe deux types d’approche : le trawling et le spear-phishing. D’un côté, il est possible de jeter les filets les plus larges dans le but d’attraper le plus de poissons possible : il s’agit de la stratégie utilisée par les opérateurs de botnet et les créateurs de chevaux de Troie bancaires. D’un autre côté, il est également possible de choisir un poisson, de se rendre là où il vit, de lancer un hameçon avec le genre d’appâts qu’il apprécie et de l’attraper. De la même manière, vous pouvez également trouver une vulnérabilité sur un site célèbre et l’infecter avec un malware dans le but de toucher le plus de personnes possible. Ou vous pouvez trouver une vulnérabilité sur un site que la victime ciblée visitera. Cette seconde méthode a un nom : il s’agit d’une attaque dite de « watering hole », un nom inspiré par la nature, dans laquelle les prédateurs se cachent près des sources d’eau où ils savent que leur proie finira par se rendre pour s’hydrater. Ces prédateurs attendent que leur proie ait la tête baissée pour boire et ils attaquent. De la même manière, un pirate estimera quels sites sa cible a de grandes chances de visiter et cherchera des vulnérabilités dans ces derniers.
Le premier type d’attaque s’est manifesté la semaine dernière quand le célèbre site humoristique cracked[dot]com a été infecté par un malware. Les chercheurs de Barracuda Labs ont exprimé leur inquiétude quant au nombre d’infections provenant de cette attaque du fait que le site soit à la 289ème place des sites les plus visités aux États-Unis et à la 654ème place dans le monde, d’après la compagnie informatique, Alexa. De la même manière, le site PHP[dot]net, destiné aux développeurs de sites Web, aurait récemment été infecté d’après l’étude de Spiderlabs, tout comme ça a aussi été le cas pour d’autres sites bancaires Russes (vous devrez peut-être réviser votre russe pour lire cet article).
En outre, plus tôt cette année, le ministère du travail américain a également subit une avalanche d’attaques de « watering hole ». Dans ce cas, les cibles étaient certainement des individus ayant accès à des réseaux gouvernementaux sensibles. Plus récemment, les chercheurs de l’entreprise de sécurité FireEye, ont reporté une attaque contre le site d’une ONG américaine dont le nom reste inconnu.
De manière plus générale, mon argument est le suivant : qui pourrait penser que le site du ministère du travail américain contient un malware ? Mais c’est justement le but : infecter un site sur lequel les visiteurs prennent moins de précautions.
Une sécurité sans défaut n’existe pas. Vous ne savez jamais où un pirate choisira de cacher un malware. Ils utilisent des outils automatisés pour déterminer les sites qui contiennent des vulnérabilités exploitables. Si les administrateurs se comportent de la même façon que les utilisateurs, ils ne sont certainement pas très à cheval sur l’installation des patches. Néanmoins, les fournisseurs de logiciels sont bien plus efficaces qu’avant pour créer des patches mais il existe toujours un nombre alarmant d’entreprises qui ne programment pas la sortie de ces patchs.
À cause de tout cela, la manière la plus simple de se protéger des sites Web qui disposent de malwares est d’utiliser un logiciel antivirus. Faites attention aux avertissements de votre navigateur et tenez-vous au courant de l’actualité de la sécurité que vous utilisiez un PC, un Mac, une tablette ou un téléphone.