ACTUALITES

Une étude menée pendant un an par une équipe de chercheurs de Google met en lumière l'ampleur prise par le côté obscur du web. En sélectionnant 4,5 millions de pages de son propre index, l'éditeur a observé que 450 000 d'entre elles tentaient d'installer "à la volée" un code malicieux sur l'ordinateur du visiteur. Et 700 000 autres, soit 15 %, seraient considérées comme douteuses, probablement liées à des activités malicieuses. Les pages ont été sélectionnées à l'issue d'une première analyse heuristique sur l'ensemble de l'index de Google, afin d'en identifier les plus suspectes. Les 4,5 millions d'entre elles arrivées en tête ont alors eu droit à une étude plus approfondie : des navigateurs automatisés, travaillant dans un environnement virtualisé, sont allés contrôler le comportement de la page web.

10 % de ces pages ont donc, à cette occasion, clairement tenté d'installer un programme exécutable sur le PC virtuel. L'équipe aura au passage découvert plus de 200 000 codes malicieux différents durant cette étude. L'un d'eux était distribué à l'identique par 3 200 adresses web. Plus vicieux encore, certains sites changeaient l'apparence de leur code malicieux chaque heure afin d'échapper aux anti-virus. Du côté des techniques d'infection, la majorité des attaques exploitent du code Javascript, souvent inclus depuis un autre site. L'étude cite ainsi le cas d'un compteur de visites gratuit qui a fonctionné correctement pendant quatre ans avant de se transformer en installateur de code malicieux pour les visiteurs de tous les sites qui l'utilisaient.

Bien entendu, les incontournables balises IFrame sont également de la partie, ainsi que les classiques attaques par injection sur des forums et autres lieux publics qui permettent aux internautes de partager du contenu. Cette étude, bien que rigoureuse et passionnante, n'est cependant pas inédite. Avant elle, McAfee s'était déjà intéressé aux sites web distributeurs de malware, avec son service SiteAdvisor. Son analyse, moins fouillée, avait indiqué que 5 % des sites étudiés étaient dangereux. L'écart statistique entre les deux études peut s'expliquer par le fait que celle menée par Google s'appuie sur une base de sites suspects présélectionnés. L'étude de McAfee apporte un éclairage intéressant : la majorité des pages malicieuses apparaissent dans les liens publicitaires et non dans les résultats naturels (dits "organiques") fournis par les moteurs de recherche. Et oui, les pirates paient même pour vous infecter !

Enfin, l'analyse de dangerosité des sites web n'est pas une activité nouvelle. Elle est par exemple le fonds de commerce d'un éditeur comme Websense (plusieurs milliards d'adresses analysées et de sites décortiqués). Trend Micro, de son côté, y vient également depuis peu avec un service de "réputation" des sites web. Google souhaite également se servir des résultats de ces travaux afin de signaler les sites dangereux aux internautes lors de l'affichage des résultats de leur recherche. Pour les plus curieux, l'étude des chercheurs de Google est cependant une lecture passionnante - et à jour - qui met en lumière les différentes techniques d'infection abondamment utilisées aujourd'hui sur le web pour piéger les internautes.

Plus d'informations :

L'étude des chercheurs de Google (en anglais).

L'étude de McAfee SiteAdvisor (en anglais).

Un article résumant les méthodes historiquement mises en oeuvre par Google afin de déceler les adresses web dangereuses (en anglais).