1 Incidents de la semaine

Faux antivirus

Si cette journée, le premier avril, est propice aux plaisanteries, les faux antivirus dépassent le cadre de la blague et sévissent toute l’année.



Cette semaine le CERTA a reçu plusieurs signalements dont le point commun est l’infection de postes de travail par de faux antivirus. La terminologie anglo-saxonne fréquente est fake AV ou rogue AV.

Les modes de propagation sont divers, mais reposent souvent sur la crédulité de l’internaute :

  • sites proposant gratuitement une analyse antivirale du poste ou des antivirus ;
  • invitation de réseaux sociaux piégées ;
  • courriels alarmistes sur l’état du poste et proposant un lien miracle ou une pièce jointe salvatrice…

Pour mieux tromper la victime potentielle, les noms présentés par ces programmes malveillants se rapprochent de ceux d’outils légitimes. Ainsi un MS Removal Tool tente de créer la confusion avec l’outil Microsoft Malicious Software Removal Tool.

La première étape du schéma consiste à inhiber les défenses présentes sur le poste (antivirus réel), à simuler une analyse du poste et à prétendre avoir trouvé des infections. En général, le blocage de l’ordinateur accompagne cette information toujours inquiétante.

La deuxième étape consiste à indiquer que la version gratuite ne permet pas l’éradication et à demander des informations bancaires pour permettre le téléchargement d’une version payante, prétendument capable d’éradiquer les virus présents. La captation des informations bancaires est quasi certaine tandis que la remise en état du poste reste très hypothétique.



Le CERTA recommande donc la plus grande méfiance à l’égard :

  • des sites qui proposent des analyses antivirales de l’ordinateur ;
  • des messages alarmistes sur l’état d’infection du poste, simples canulars (hoax) ou bien courriels avec pièce jointe ou lien malveillants ;
  • des fenêtres surgissantes indiquant une infection, en particulier si l’icône ou la présentation est différente (même légèrement) de celle du produit antiviral présent sur le poste. Parfois la ressemblance est forte. L’utilisateur pourra être systématiquement méfiant.

Pour l’utilisateur, le plus sage face à une alerte de cette nature est d’en référer sans délai à son support informatique ou à son RSSI. L’incident sera traité selon les procédures en vigueur.

Pour le gestionnaire d’un parc, il est primordial, lorsque la gestion de l’antivirus est centralisée, de regarder quotidiennement les journaux, voire en temps quasi-réel pour détecter les arrêts imprévus de l’antivirus installé sur le poste, signes d’une infection possible, et les alertes réelles, de manière à avertir l’utilisateur par un moyen que ce dernier peut reconnaitre comme fiable, un agent de support de proximité par exemple. L’utilisateur saura mieux être circonspect quand une fenêtre surgissante d’alerte virale apparaît et qu’il n’est pas informé par le canal fiable.

Par ailleurs, le téléchargement d’un produit de sécurité comme un antivirus doit se faire depuis le site de l’éditeur ou depuis un miroir officiel, c’est-à-dire mentionné par l’éditeur, et non depuis un site sans rapport avec l’éditeur, voire avec des noms de domaine aux extensions exotiques (.cc, .vu…).

2 Attaque via le User-Agent

La lecture des journaux peut parfois révéler des attaques étranges, basées sur des commandes UNIX stockées dans le champ User-Agent. Pour l’attaquant, la technique est simple : il lui suffit de modifier son propre User-Agent en le remplaçant par des commandes UNIX. Il navigue ensuite sur des sites Web, en limitant son activité au minimum (en général, une seule requête GET suffit). Ces actions sont donc théoriquement enregistrées dans les journaux d’accès du site Web, ce qui revient à réaliser une injection de code indirecte persistante.

Si un administrateur lit ses journaux avec un logiciel vulnérable, sa machine peut exécuter le code stocké dans le champ User-Agent.

Quelques mesures peuvent être mises en place pour se préserver de telles attaques :

  • mettre à jour les logiciels de lecture des journaux ;
  • consulter les journaux depuis des consoles soumises à du filtrage en sortie (pas le droit de se connecter sur l’Internet par exemple) ;
  • utiliser un compte non privilégié.

L’enregistrement du User-Agent reste pertinent car cette information peut être importante, notamment dans le cadre du traitement d’un incident.

3 Campagne d’hameçonnage contre le Ministère du Travail, de l’Emploi et de la Santé

Cette semaine, il a été signalé au CERTA qu’une campagne d’hameçonnage à l’encontre du site www.sante.gouv.fr était en cours. Le Ministère du Travail, de l’Emploi et de la Santé a d’ailleurs réagit rapidement en publiant sur son site un message d’alerte avertissant les visiteurs de l’existence de site usurpant l’original : http://www.sante.gouv.fr/carte-vitale-et-hameconnage-ou-phishing.html.

Sur le site contrefait, de façon très classique, l’aspect général du site légitime a été repris mais on y trouve en plus la présence d’un formulaire invitant les victimes à donner leurs coordonnées bancaires, leur numéro de carte vitale ainsi que leur numéro de carte d’identité.

Le CERTA rappelle donc que d’autres entités que les banques peuvent être la cible de campagnes de phishing. En particulier, les sites de télépaiement de l’administration peuvent être usurpés mais également les sites comme celui de la Caisse des Affaires Familiales ou bien encore celui du Ministère de la Santé.

Rappel des avis émis

Dans la période du 21 au 27 mars 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :