Antivirus : méfiez-vous des imitations, prévient Symantec

G Data avait lancé l’alerte début octobre ; Symantec en remet une couche : les faux antivirus pulluleraient sur Internet. Au total, l’éditeur affirme avoir recensé 43 millions de tentatives d’installation de logiciels malveillants de ce type. Pour lui, ce n’est plus un phénomène anecdotique, mais bien une menace significative.

Les internautes avertis le savent déjà : il ne faut pas faire confiance à ces fenêtres surgies de nulle part avertissant d’une vulnérabilité du poste client utilisé. Il sagit souvent d'un piège. Manifestement, un piège qui fonctionne. En tout cas, Symantec assure avoir isolé 43 millions de tentatives d’installation de faux antivirus – 250 modèles différents – entre le 1er juillet 2008 et le 30 juin 2009. Pour l’éditeur, la menace est sérieuse. D’autant plus que « ces arnaques sont hautement rentables et semblent être le fait de groupes organisés ou d’individus capables de maintenir un réseau de distribution efficace soutenu par des efforts marketing à plusieurs niveaux. » Le vice de l’histoire ? Ces faux antivirus – aux interfaces parfois copiées sur celles de véritables logiciels et aux sites Web complets – sont payants : de 30 à 100 $ la licence. Pour peu que le terme soit bien approprié.

Une menace aux facettes multiples

Des menaces toujours plus importantes sur les sites légitimes
Selon Websense, les sites légitimes sont de moins en moins le havre de paix que l’on pourrait imaginer : le nombre de sites Web légitimes infectés par du code malicieux aurait augmenté de 671 % au cours des 12 derniers mois. Au premier semestre dernier, 77 % des sites Web diffusant ce type de code étaient des sites totalement légitimes. Et, à 95 %, les commentaires déposés sur les blogs ou dans les forums seraient du spam.
Cliquez pour dérouler

Début octobre, l’éditeur allemand G Data avait précédé de peu son concurrent, tirant lui aussi la sonnette d’alarme sur ces logiciels baptisés notamment Smart Virus Eliminator, Fast AntiVirus 2009 ou encore WinAntiVirus Pro. Symantec en évoque d’autres : Virus Remover 2008 et AntiVirus Gold. Selon G Data, ces « faux logiciels de sécurité ont pour but de voler les coordonnées bancaires des internautes et d’infecter leur ordinateur. » Symantec confirme au moins partiellement, évoquant l’existence de faux moteurs de paiement en ligne utilisés en appui de ces logiciels pour capturer les données des cartes bancaires des victimes… Pour cet éditeur, ces logiciels risquent aussi d’induire en erreur l’utilisateur de l’ordinateur, « en lui faisant croire que l’application est bien sérieuse et que l’ordinateur est protégé contre les codes malveillants. » Voire en y installant du code effectivement malicieux.

Surtout, pour Symantec, la menace ne s’arrête pas au poste de travail : « en plus de la mauvaise presse » que peut générer la diffusion, par un site Web légitime, de publicités pour ces faux antivirus, il y a le risque, pour ces sites, de se voir « référencés comme suspects ou peu fréquentables par des services de gestion de la réputation Web » pour le filtrage d’URL.

Des réseaux organisés

Comme pour le reste des activités cybercriminelles, on retrouve là, selon Symantec, des réseaux bien organisés. Les auteurs des faux antivirus se donnent l’air d’avoir pignon sur rue, achetant des campagnes de publicité pouvant concerner des sites Web populaires parfaitement légitimes… Leurs campagnes de promotion seraient massivement industrialisées, s’appuyant sur des composants faciles à personnaliser et à réutiliser. Une façon de « réduire le temps de développement et de déploiement de nouvelles arnaques » et « d’externaliser certaines compétences comme la conception des maquettes graphiques » ou encore leur localisation pour différents marchés régionaux. L’Amérique du Nord serait la première victime avec 61 % des faux antivirus recensés par Symantec, devant l’Europe et le Moyen-Orient, à 31 %. S’ajouterait à cela des réseaux d’affiliation pour la diffusion de l’arnaque, avec des commissions de 0,01 $ à 0,55 $ par installation, selon le pays concerné.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close