PDA

Voir la version complète : 10% des résultats seraient infectieux sur Google


Thirga.ounevdhou
19/05/2007, 12h43
Selon une étude menée par Google himself, 10% des résultats renvoyés à l'issue d'une recherche mèneraient à des sites infectieux capables d'installer un code malicieux lors de leur visite.

Une étude menée pendant un an par une équipe de chercheurs de Google met en lumière l'ampleur prise par le côté obscur du web. En sélectionnant 4,5 millions de pages de son propre index, l'éditeur a observé que 450.000 d'entre elles tentaient d'installer "à la volée" un code malicieux sur l'ordinateur du visiteur. Et 700.000 autres, soit 15%, seraient considérées comme douteuses, probablement liées à des activités malicieuses.

Les pages ont été sélectionnées à l'issue d'une première analyse heuristique sur l'ensemble de l'index de Google, afin d'en identifier les plus suspectes. Les 4,5 millions d'entre elles arrivées en tête ont alors eu droit à une étude plus approfondie : des navigateurs automatisés, travaillant dans un environnement virtualisé, sont allés contrôler le comportement de la page web.

Dix pourcent d'entre elles ont donc, à cette occasion, clairement tenté d'installer un programme exécutable sur le PC virtuel. L'équipe aura au passage découvert 200.000 codes malicieux différents durant cette étude. L'un d'eux était distribué à l'identique par 3200 adresses web. Plus vicieux encore, certains sites changeaient l'apparence de leur code malicieux chaque heure afin d'échapper aux anti-virus.

Du côté des techniques d'infection, la majorité des attaques exploitent du code Javascript, souvent inclus depuis un autre site. L'étude cite ainsi le cas d'un compteur de visites gratuit qui a fonctionné correctement pendant quatre ans avant de se transformer en installateur de code malicieux pour les visiteurs de tous les sites qui l'utilisaient.

Bien entendu, les incontournable balises IFrame sont également de la partie, ainsi que les classiques attaques par injection sur des forums et autres lieux publics qui permettent aux internautes de partager du contenu.

Cette étude, bien que rigoureuse et passionnante, n'est cependant pas inédite. Avant elle, McAfee s'était déjà intéressé aux sites web distributeurs de malware, avec sont service SiteAdvisor (http://www.siteadvisor.com/). Son analyse, moins fouillée, avait indiqué que 5% des sites étudiés étaient dangereux.

L'écart statistique entre les deux études peut s'expliquer par le fait que celle menée par Google s'appuie sur une base de sites suspects pré-sélectionnés. L'étude de McAfee apporte un éclairage intéressant : la majorité des pages malicieuses apparaissent dans les liens publicitaires et non dans les résultats naturels (dits "organiques") fournis par les moteurs de recherche. Et oui, les pirates paient même pour vous infecter !

Enfin, l'analyse de dangerosité des sites web n'est pas une activité nouvelle. Elle est par exemple le fond de commerce d'un éditeur comme Websense (plusieurs milliards d'adresses analysées et de sites décortiqués). Trend Micro, de son côté, y vient également depuis peu avec un service de "réputation" des sites web. Google souhaite également se servir des résultats de ces travaux afin de signaler les sites dangereux aux internautes lors de l'affichage des résultats de leur recherche.

Pour les plus curieux, l'étude des chercheurs de Google (http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf) est cependant une lecture passionnante - et à jour - qui met en lumière les différentes techniques d'infections abondamment utilisées aujourd'hui sur le web pour piéger les internautes.
Merci à Abondance.com (http://www.abondance.com/) pour la veille !

Plus d'informations :

L'étude des chercheurs de Google (http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf) (en anglais).
L'étude de McAfee SiteAdvisor (http://www.siteadvisor.com/studies/search_safety_may2006.html) (en anglais)

darwish
19/05/2007, 16h10
Sans oublier le fait que les apprentis sorciers et autres développeurs de virus utilisent les liens sponsorisés de Google (les rajouts sur la droite de votre page Google) tout en profitant des failles dans le IE non patché, quoique IE patché ou pas, c'est toujours IE.

Keep clicking -- Virus writers and Google search engine (http://blog.washingtonpost.com/securityfix/2007/04/virus_writers_taint_google_ad.html)

Cookies