Google : Des liens sponsorisés malicieux

Parmi l'une des source de revenus les plus importantes de Google, les liens sponsorisés se taillent la part du lion. Souscrire à ce type de service est un moyen efficace de générer du trafic sur votre site, et par conséquence d'en augmenter les revenus.
Cela n'est pas tombé dans l'oreille d'un sourd. Les pirates savent utiliser ce moyen d'attirer à eux les victimes innocentes pour infecter leur machine via des chevaux de troie ou autres logiciels malodorants du même type (DailyTech, Google Offers Text Ads Linked to Malware Site, 14 Nov 2008)

Rappelez-vous, dans mon bulletin "Auto-inoculation d’un malware : La méthode de l’antivirus, Octobre 2008", je décryptais comment un pirate procédait afin qu'un utilisateur installe lui-même un logiciel vérolé sur sa machine : Tout commençait via un résultat de recherche depuis Google.

Ici, c'est à peu près la même chose : L'attaque commence via un lien sponsorisé (AdWords) d'une page de résultats et non plus via un résultat de la recherche.

Pourquoi cela est-il autant, voir encore plus dangereux qu'une attaque démarrant via un résultat ?

Dans le cadre des liens sponsorisés Google :
- En dehors de grandes entreprises, les systèmes de filtrage d'URL ne sont que très rarement utilisés : l'utilisateur va donc être "exposé" au risque.
- Si c'est un lien proposé par Google, il bénéficie d'un apriori "positif" de facto. C'est en cela que l'attaque est encore plus dangereuse !

Autre variante : L'attaque qui débute via un spam  (Ici en défense nous sommes mieux lotis) :
- Les filtres anti-spam offrent un premier niveau de protection.
- Les utilisateurs commencent (mais encore pas assez) à se méfier.

Quels moyens utiliser pour protéger son parc utilisateur ?

Les systèmes de filtrage d'URLs, assortis d'un service de mise à jour, permettent de protéger assez efficacement de ce type d'attaque. Leur coût reste leur grand défaut. De plus, comme ils fonctionnent sur le principe d'une liste noire (liste des sites connus comme étant malicieux), ils sont faillibles.

Enlever la publicité : Si aucun lien sponsorisés n'est affiché, il ne sera pas possible de cliquer... L'extension Firefox "CustomizeGoogle" fait cela très bien (entre autres). Cela étant, on enlève potentiellement du contenu intéressant (quoi que non...mais c'est mon appréciation personnelle).

En conclusion
Contre les attaques visant à attirer des utilisateurs via des liens sponsorisés (ou non), pas de solutions miracles (classique) mais plutôt quelques recommandations, qui ensembles, offriront un niveau de sécurité satisfaisant.
Dans un tel contexte, le nouveau slogan "Moins de publicité pour plus de sécurité !" ne serait-il pas adapté ?

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens