Logiciels espions et logiciels publicitaires - Mag

Transcription

Logiciels espions et logiciels publicitaires - Mag
Livre blanc | Août 2006
Livre blanc | Août 2006
Page 1
Logiciels espions et logiciels publicitaires :
les dessous financiers du Web
www.mcafee.com
Livre blanc | Août 2006
Page 2
Table des matières
Principaux faits
3
Introduction
3
La montée en force des logiciels espions et logiciels publicitaires
3
Des utilisateurs trompés
4
Sites et sociétés diffuseurs de logiciels publicitaires
5
Affilieurs et affiliés
5
Suivi
5
Paiement (publicités conventionnées)
7
Paiement (à l'installation d'un logiciel publicitaire)
8
Conclusion
9
www.mcafee.com
Livre blanc | Août 2006
Principaux faits
1.
La prévalence des logiciels publicitaires (adware) et
logiciels espions (spyware) augmente de manière
fulgurante. Entre 2000 et 2002, il n'existait qu'une
quarantaine de familles de logiciels publicitaires. Au
cours des trois années et demie qui ont suivi, celles-ci
ont connu une croissance exponentielle (plus de
1 000 %). En août 2006, on dénombrait 450 familles de
logiciels publicitaires, avec plus de 4 000 variantes.
(P. 3).
2.
Les internautes ne mesurent pas encore les risques liés
aux logiciels espions et aux logiciels publicitaires. Une
récente enquête menée par McAfee SiteAdvisor.com a
révélé que 97 % (!) des internautes ne savent pas faire la
différence entre un site sûr et un site à risque, ce qui
signifie que la très grande majorité d'entre eux sont
une proie facile pour les logiciels espions, logiciels
publicitaires et autres logiciels potentiellement
indésirables. (P. 4)
3.
Il ressort d'une étude réalisée par l'Université de
Washington que, contrairement aux idées reçues, les
plus gros diffuseurs de logiciels publicitaires sont les
sites de stars/célébrités, et non les sites
pornographiques et les pages de contenus pour
adultes. (P. 4)
4.
Le commerce des logiciels publicitaires est très lucratif.
L'acte d'accusation d'un « maître de robots » a ainsi
révélé que les sociétés de marketing avec lesquelles il
travaillait lui versaient quelque 0,15 dollar par
ordinateur infecté, soit 150 dollars pour mille unités.
(P. 7)
Page 3
Les logiciels publicitaires et logiciels espions appartiennent
à cette catégorie de menaces. Ils s'installent sur l'ordinateur
de l'internaute, souvent en échange d'un logiciel « gratuit »,
puis se mettent à collecter des données commerciales et à
diffuser des publicités ciblées. Avec l'émergence des
lucratifs modèles commerciaux d'affiliation en ligne et vu la
facilité avec laquelle il est possible de propager ces
menaces, les logiciels publicitaires et logiciels espions se
profilent de plus en plus comme deux des principaux
ennemis de l'internaute.
La montée en force des logiciels espions et
logiciels publicitaires
Si les termes « logiciel espion » (spyware) et « logiciel
publicitaire » (adware) ont été forgés à la fin des années 80,
la menace que ceux-ci représentent pour la sécurité
informatique n'est devenue bien réelle qu'en 2003 et 2004.
La figure 1 illustre la croissance rapide des deux familles
ainsi que de leurs variantes, depuis 2000.
Entre 2000 et 2002, il n'existait qu'une quarantaine de
familles de logiciels publicitaires. Celles-ci ont connu une
croissance exponentielle en 2003, enregistrant une hausse
de plus de 1 000 % en trois ans et demi. Ainsi, en août 2006,
on dénombrait 450 familles de logiciels publicitaires, avec
plus de 4 000 variantes.
Des chercheurs de l'Université de Washington ont étudié la
prévalence et la composition des logiciels publicitaires et
logiciels espions en 20051. Pour ce faire, ils ont directement
recherché les fichiers exécutables douteux sur Internet.
Introduction
Si les sociétés actives dans le domaine de la sécurité ont
récemment attiré l'attention sur la montée en puissance
des menaces ciblées visant à générer des profits, cette
tendance est en fait à l'œuvre depuis 2003, époque à
laquelle les logiciels publicitaires (adware) et logiciels
espions (spyware) ont commencé à se multiplier à une
vitesse alarmante. Les menaces qui ne sont pas liées à des
logiciels malveillants, mais dont la présence sur un
ordinateur a des implications claires en matière de sécurité
et de confidentialité des données sont collectivement
désignées par l'expression « programmes potentiellement
indésirables » (PUP). Leur conception et leur distribution
sont généralement le fait d'entreprises légitimes, qui les
utilisent à des fins spécifiques et bénéfiques. (Mais au
bénéfice de qui ? La question est posée...)
Source : McAfee Avert Labs
Figure 1 : Croissance des familles de logiciels publicitaires
2
et logiciels espions (stricto sensu) et de leurs
variantes entre 2000 et 2006
1
« A Crawler-based Study of Spyware on the Web » [Les logiciels espions sur le Web – une
étude reposant sur l'emploi d'un moteur de balayage],
http://www.cs.washington.edu/homes/gribble/papers/spycrawler.pdf
2
Stricto sensu, le terme « logiciel espion » (spyware) désigne un logiciel de suivi déployé sans
une information adéquate de l'utilisateur, sans le consentement de celui-ci et sans qu'il en
ait la maîtrise. Pour obtenir de plus amples informations, visitez le site du groupe AntiSpyware Coalition, à l'adresse
http://www.antispywarecoalition.org/documents/GlossaryJune292006.htm.
www.mcafee.com
Livre blanc | Août 2006
Page 4
En mai, puis en octobre, ils ont analysé quelque 20 millions
d'URL. 19 % des sites visités comportaient du code
exécutable, dont les chercheurs ont collecté plus de
20 000 échantillons. En octobre, 5,5 % de ces fichiers
(provenant de 4,4 % des 2 532 domaines passés au crible)
contenaient un programme douteux.
Cette étude a identifié moins de 90 programmes
indésirables différents (82 en mai et 89 en octobre). Comme
les virus, la plupart des PUP n'étaient soit pas détectés par
les utilisateurs, ou présents seulement en petites quantités
(voir tableau 1). Ceci est peut-être dû au fait que la plupart
des PUP visent des cibles bien spécifiques et font donc
l'objet d'un déploiement discret.
Programme
Mai 2005
Programme
Oct. 2005
WhenU
180Solutions
eZula
Marketscore
BroadCastPC
Claria
VX2
Favoriteman
Ebates
MoneyMaker
NavExcel
364
236
214
143
67
44
41
36
31
WhenU
Marketscore
Claria
BroadCastPC
Aurora
FOne
Zango
eZula
Web3000
340
47
41
37
36
35
34
33
32
24
180Solutions
25
Des utilisateurs trompés
En 2004 et 2005, AOL et la NCSA (National Cyber Security
Alliance) se sont penchés sur l'utilisation des mesures de
protection en ligne3. Après avoir interrogé un panel
d'internautes, les chercheurs ont examiné leurs disques
durs afin de déterminer dans quelle mesure leurs
perceptions correspondaient à la réalité.
Dans certains cas, ils ont constaté un écart considérable
entre la situation réelle des utilisateurs et leur sentiment
subjectif. Ainsi, en 2004, seuls 53 % des utilisateurs
pensaient que des PUP étaient présents sur leurs
ordinateurs. Une analyse des disques durs a révélé que le
chiffre exact était de 80 %. En 2005, 71 % des internautes
affirmaient mettre à jour leur logiciel antivirus tous les jours
ou toutes les semaines. Or, l'analyse des machines a montré
que 67 % des logiciels antivirus n'avaient pas été mis à jour
depuis une semaine ou plus longtemps.
Une récente étude menée par McAfee SiteAdvisor.com a
mis les internautes au défi, en leur demandant de détecter
quels sites, parmi plusieurs catégories populaires, étaient
exempts de logiciels publicitaires et de logiciels espions.
Pas moins de 97 % (!) des internautes n'ont pas pu
distinguer les sites dangereux des autres, ce qui signifie que
la très grande majorité d'entre eux sont une proie facile
pour les logiciels espions, logiciels publicitaires et autres
logiciels potentiellement indésirables.
Tableau 1 : Résultats de l'étude sur les logiciels espions
réalisée par l'Université de Washington
Figure 2: Liens d'affiliation entre sites tels qu'identifiés par McAfee SiteAdvisor
3
2004 AOL/NCSA Online Safety Study [Enquête sur la sécurité en ligne réalisée par
AOL/NCSA (2004)] : http://www.staysafeonline.info/pdf/safety_study_v04.pdf
2005 AOL/NCSA Online Safety Study [Enquête sur la sécurité en ligne réalisée par
AOL/NCSA (2005)] : http://www.staysafeonline.info/pdf/safety_study_2005.pdf
www.mcafee.com
Livre blanc | Août 2006
Page 5
Lors d'une enquête réalisée en mai 2006, McAfee
SiteAdvisor.com a révélé que tous les grands moteurs de
recherche renvoient des sites à risque en réponse à des
requêtes basées sur des mots clés courants4. Le nombre de
sites potentiellement dangereux représentait d'ailleurs
jusqu'à 72 % des résultats de recherche avec certains mots
clés risqués tels que « économiseurs d'écran gratuits »,
« kazaa », « bearshare », « téléchargement de musique » et
« jeux gratuits ».
Sites et sociétés diffuseurs de logiciels
publicitaires
Pour la plupart des internautes, les pages proposant des
contenus pour adultes et les sites pornographiques sont les
coupables tout désignés de la diffusion des logiciels
publicitaires. Toutefois, l'étude de l'Université de
Washington révèle une réalité toute différente.
Il ressort de cette étude que les sites les plus dangereux sont
en fait les sites de stars/célébrités (16,3 % des fichiers
exécutables présents sur ces sites sont dangereux), suivis
des sites proposant des économiseurs d'écran (11,5 %) et
des sites pour adultes (11,4 %). De par leur nature même,
les sites de jeux contiennent de nombreux exécutables
(60 % des cas dans l'étude de l'Université de Washington).
Or, parmi ceux-ci, l'étude n'a identifié que 5,6 % de codes
dangereux.
L'étude de mai 2005 a révélé que 4,6 % des fichiers
exécutables disponibles au téléchargement sur un portail
bien connu contenaient des logiciels espions. Ce
pourcentage n'était plus que de 0,3 % en octobre,
apparemment grâce à la nouvelle politique d'analyse mise
en place par l'hébergeur.
Comme nous l'avons déjà souligné, la plupart des logiciels
espions et logiciels publicitaires sont édités par des
entreprises légitimes, à des fins de publicité et d'étude de
marché. Les chercheurs de l'Université de Washington ont
établi un classement des sites diffuseurs de logiciels
publicitaires en fonction du nombre d'exécutables infectés
qu'ils y ont trouvés. Le site web scenicreflections.com
contenait à lui seul 1 776 occurrences de TurboDownload
et 1 354 occurrences de WhenU. Ces données ont été
supprimées des résultats de l'étude cités dans le tableau 2,
afin de ne pas fausser les statistiques.
Beaucoup de sites sont, en fait, des agents doubles à la
solde des entreprises mentionnées à la rubrique
précédente. Certains sites changent régulièrement de nom
et beaucoup sont liés les uns aux autres par des accords
présentant des degrés de confidentialité divers. McAfee
5
SiteAdvisor.com propose une représentation graphique de
ces liens à la figure 2. Par ce jeu de renvois, des sites
légitimes (en vert) peuvent être reliés à des distributeurs de
logiciels publicitaires connus (en rouge), comme
adbureau.net, relié à mediapost.com, relié à
180solutions.com, relié à zangocash.com.
4
5
The Safety of Internet Search Engines [La sécurité des moteurs de recherche sur Internet] :
http://www.siteadvisor.com/studies/search_safety_may2006.html
Plug-ins SiteAdvisor pour Internet Explorer et Firefox : http://www.siteadvisor.com/preview/
www.mcafee.com
Site
Mai
2005
Site
Oct.
2005
screensaver.com
celebrity-wallpaper.com
screensavershot.com
download.com
gamehouse.com
galttech.com
appzplanet.com
megspace.com
download-game.com
191
136
118
116
111
38
37
36
30
gamehouse.com
screensavershot.com
screensaver.com
hidownload.com
games.aol.com
appzplanet.com
dailymp3.com
free-to
galltech.com
164
137
107
50
30
27
27
27
23
Tableau 2 : Sites diffuseurs de logiciels publicitaires et
nombre d'exécutables infectés
Affilieurs et affiliés
L'affiliation est une structure de marketing orientée
performances qui relie un site commercial à ses
partenaires. Le commerçant, ou affilieur, met le système en
place et recrute des partenaires, ou affiliés, chargés
d'assurer la promotion de ses produits et services. Les
paiements s'effectuent sur la base du nombre de visiteurs,
de clients et de transactions que l'affilié rapporte au
commerçant.
Le contrat entre l'affilieur et ses affiliés prévoit des
conditions générales stipulant les commissions versées, le
type de rémunération et d'autres variables relatives aux
paiements, telles que leur périodicité et un montant
minimum. Les conditions de paiement sont généralement
définies sur la base d'un « paiement au clic » (pour chaque
visiteur) ou d'un « paiement au formulaire » (pour chaque
profil). Certains affilieurs offrent une commission au
pourcentage sur les ventes. Pour participer à un tel
programme, l'affilié ajoute sur son site un objet graphique à
caractère publicitaire (texte, bouton ou bannière) qui
assure le suivi et l'enregistrement des ventes ou des
6
opportunités commerciales au fil du temps .
En général, les utilisateurs qui visitent le site d'un affilié
peuvent choisir de se rendre ou non sur le site de l'affilieur
(donc du commerçant). Si un utilisateur décide de visiter le
site de ce dernier, un paramètre associé à l'URL du
commerçant identifie l'affilié ayant procuré la référence.
Par ailleurs, il est possible qu'un cookie soit placé sur
l'ordinateur de l'utilisateur, de manière à pouvoir suivre le
comportement de l'internaute et, par exemple, savoir s'il a
effectué un achat ou rempli un formulaire.
Suivi
Il existe quatre méthodes principales permettant
d'identifier les affiliés et donc de les payer : les URL avec
paramètres, les cookies, les renvois HTTP et les compteurs
de téléchargements et d'installations.
6
Par « opportunité commerciale », on entend un clic renvoyant à un commerçant référencé.
Livre blanc | Août 2006
Page 6
URL avec paramètres
Cookies
Il s'agit de la technique la plus courante. Elle peut être
utilisée dans le cadre d'un paiement au clic ou de
l'installation d'un logiciel publicitaire. Voyons à titre
d'exemple le site promotionnel relatif à un casino en ligne
présenté à la figure 3.
Les cookies sont principalement utilisés dans les
programmes de paiement au profil et de commissions sur
les ventes. Lorsqu'un affilié renvoie un visiteur vers le site
d'un commerçant, ce dernier lui est redevable pour la
publicité fournie pendant une période spécifiée (un mois,
le plus souvent).
En règle générale, les cookies se présentent sous la forme
« nomdelutilisateur@nomdusite ». Le nom de l'utilisateur
permet de différencier les uns des autres tous les profils
d'utilisateur définis sur une même machine. Quant au nom
du site, il correspond généralement à l'adresse du site qui a
placé le cookie. Les cookies peuvent également contenir
d'autres champs, dont les suivants :
1) Nom du cookie
2) Valeur du cookie
3) Hôte/chemin du serveur web qui a placé le cookie
4) Indicateurs
5) Date d'expiration
6) Heure d'expiration
7) Date de création
8) Heure de création
9) Délimiteur d'enregistrements (*)
Figure 3 : URL Casino-Partouche.com avec paramètres
Pour le site Casino Partouche, le lien figurant dans la barre
d'état d'Internet Explorer contient un paramètre
d'identification permettant à l'affilié d'être payé pour
chaque clic. Ici, il s'agit de « idaffiliation=1121 ».
Cette technique permet à des affiliés peu scrupuleux
d'utiliser des programmes appelés « AdClickers », qu'ils
diffusent par le biais de robots, de virus ou d'e-mails. Ces
programmes cliquent automatiquement et à répétition sur
certaines pages web, augmentant ainsi artificiellement les
revenus de l'affilié. L'institut SANS a fait état en mai 2006
7
d'un exemple récent d'utilisation d'AdClicker dans ce but .
La technique « URL avec paramètres » peut également être
utilisée lorsque des programmes publicitaires sont installés.
Dans certains cas, le site du commerçant envoie un code de
confirmation après l'installation et attend une confirmation
avant de finaliser la transaction et de créditer le compte de
l'affilié.
Dans l'exemple du Casino Partouche, un seul cookie est
généré. L'affilié perçoit vraisemblablement une
commission selon que l'internaute dépense ou non de
l'argent sur le site de l'affilieur. Il est possible de visualiser
(et de modifier) le cookie grâce à un éditeur de texte (voir
figure 4).
Figure 4 : Visualisation d'un cookie dans un éditeur de
texte
Les deux premières informations visibles sont le nom de la
variable (idaffiliation) et sa valeur alphanumérique (1121).
Une autre chaîne indique l'émetteur du cookie et l'URL à
laquelle correspond celui-ci (casinopartouche.com/new/fra). L'une des chaînes suivantes
8
contient la date d'expiration au format d'horodatage UNIX
(4032664576, soit le 22 février 2006).
8
7
CLICKbot : http://isc.sans.org/diary.php?storyid=1334
Vous trouverez des liens vers des convertisseurs d'horodatage UNIX sur le site suivant (en
français) : http://www.davidtouvet.com/blog/archives/2005/01/13/php-convertisseur-dedates-en-format-timestamp/.
www.mcafee.com
Livre blanc | Août 2006
Les cookies sont généralement peu volumineux, et il est
rare d'en rencontrer un qui contienne autant
d'informations que celui illustré à la figure 5, émis par le
site pour adultes Gammacash.
Page 7
Compteurs de téléchargements et d'installations
Cette dernière technique recense les installations de
logiciels publicitaires en comptabilisant les
téléchargements effectués depuis un site commercial. Son
principe est que l'affilieur fournit un nom de fichier
univoque pour chaque affilié ; le nombre de
téléchargements ou d'installations est enregistré pour
chaque nom de fichier, et l'affilié est rémunéré en
conséquence.
Paiement (publicités conventionnées)
Figure 5 : Exemple de cookie volumineux provenant de
Gammacash
Les cookies permettent d'identifier un ordinateur et un
profil d'utilisateur, mais pas nécessairement l'internaute
lui-même. Pour autant que les visiteurs ne fournissent
aucune information supplémentaire, leur anonymat est
préservé.
La plupart des navigateurs permettent aux utilisateurs de
désactiver tous les cookies ou certains d'entre eux. Ce
faisant, l'internaute échappe au contrôle du créateur de
cookies, et ses activités n'interviennent pas dans le calcul
de la rémunération de l'affilié. Toutefois, il arrive que
certaines fonctionnalités des sites web ne soient pas
disponibles lorsque tous les cookies sont désactivés,
comme l'enregistrement de cours boursiers récemment
consultés, par exemple. Si le navigateur le permet, un bon
compromis consiste à désactiver tous les cookies de tiers,
mais à autoriser les cookies du site d'origine. De cette
manière, un site web unique (le site d'origine) peut
consigner des informations relatives à l'ordinateur, mais
pas les partager avec d'autres sites.
Renvois HTTP
Lorsqu'un navigateur effectue une requête HTTP, il gère un
paramètre appelé « REFERER », qui correspond à la page
demandée. En pratique, cette information est contenue
dans la variable d'environnement $ENV{'HTTP_REFERER'}.
« HTTP_ » indique que cette variable d'environnement a été
envoyée par un navigateur et non générée par un serveur.
Lorsqu'un internaute visite un site, celui-ci peut récupérer
9
le paramètre REFERER à l'aide d'un script CGI , ce qui lui
permet d'identifier l'affilié dans le but de le payer.
Le site web « Affiliation-Marketing10 », créé par Rémi Calmel
(France), n'est malheureusement plus accessible.
Néanmoins, en janvier 2006, il fournissait des informations
sur les revenus que peut espérer un affilié selon le type de
programme d'affiliation auquel il participe.
• Programmes de paiement à l'affichage
Les affiliés sont payés sur la base d'un tarif au « coût
par mille » (CPM), en fonction du nombre
d'internautes qui consultent une publicité. Les prix du
marché varient entre 18 et 25 dollars par mille unités.
• Programme de paiement au clic
Les affiliés sont payés sur la base d'un tarif unitaire. Les
affiliés directs peuvent obtenir quelque 0,30 dollar par
clic. Si l'on se base sur un taux de clic compris entre
0,5 et 1 %, cela signifie qu'ils perçoivent entre 1,50 et
3 dollars pour mille unités. Les affiliés de deuxième et
de troisième rangs voient ces recettes divisées par 2 ou
par 3.
• Programme de paiement au profil
Ces programmes ne sont en fait qu'une variante de la
rémunération à l'unité. Les adresses e-mail soumises
dans un formulaire web peuvent rapporter entre 0,40
et 0,70 dollar pièce. Un formulaire de taille moyenne
rempli correctement se négocie entre 1,20 et 2 dollars ;
un formulaire plus long, entre 2 et 4,5 dollars. Ces
programmes exigeant une forte participation de
l'internaute, ils sont très peu lucratifs et rapportent
moins d'un dollar par mille unités.
• Programmes de commissions sur les ventes
En 2000, un grand constructeur d'ordinateurs
personnels a mis sur pied un programme de
commissions sur les ventes qui rapportait aux affiliés
entre 3 et 5 % des recettes enregistrées. Ce pourcentage
peu élevé s'explique principalement par la faible
marge dont disposent les constructeurs informatiques.
A l'autre extrême, et surtout aux Etats-Unis, les
programmes des grandes plates-formes actives dans ce
domaine (telles que Commission Junction et BeFree)
peuvent rapporter 30 à 50 % du montant des ventes,
voire jusqu'à 75 % dans certains cas. Toutefois, le CPM
calculé par Rémi Calmel est très faible (moins de
0,70 dollar).
10
9
CGI (Common Gateway Interface) : technologie permettant d'exécuter des programmes sur
des serveurs web afin qu'ils traitent les requêtes d'internautes et affichent des pages HTML
en réponse à celles-ci. Les scripts CGI sont souvent rédigés en langage PERL, C++ ou Java.
ASP est une solution concurrente.
www.mcafee.com
http://www.affiliation-marketing.com/dossiers/reussir/01.php
Cette URL et ce domaine sont désormais inaccessibles, mais la page concernée est
disponible à l'adresse :
http://web.archive.org/web/20030209233551/http://www.affiliationmarketing.com/reussir/01.htm.
Livre blanc | Août 2006
Page 8
Le tableau 3 ci-dessous résume les recettes que peut
espérer obtenir un affilié en fonction du programme de
marketing auquel il participe.
Programme
CPM (pour 1 000 visites sur le site
de l'affilieur)
Paiement à
l'affichage
< 25 USD
Paiement au clic
< 3 USD
Paiement au profil
< 1 USD
A la commission
< 0,7 USD
Son acte d'accusation détaille les coûts de location de ses
réseaux de robots ainsi que les commissions qui lui ont été
versées par Gammacash Entertainment, Inc (Québec) et
par LOUDcash (qui appartient aujourd'hui au groupe
ZangoCash). La figure 6 propose des extraits des pages 46 et
47 de l'acte d'accusation montrant ce que percevait J. J.
Ancheta pour le recours à ses réseaux de robots.
DÉCOMPTE
Tableau 3 : Synthèse des rémunérations d'affiliation
selon les types de programmes
Paiement (à l'installation d'un logiciel publicitaire)
Les logiciels publicitaires offrent aux affiliés un puissant
outil pour accroître leurs recettes. En concevant des
programmes qui visitent automatiquement et de manière
répétée les sites des affilieurs, un affilié en possession de
logiciels publicitaires peut considérablement influencer les
mesures de performances sur la base desquelles sa
rémunération est calculée.
Le cas de Jeanson James Ancheta est particulièrement
instructif à cet égard. Ce pirate informatique de 21 ans a
créé de nouvelles variantes de la famille de robots « rxbot »
sous le pseudonyme « BOTZ4SALE11 ». Il a distribué ces
variantes et mis en place plusieurs réseaux de robots, qu'il a
ensuite loués à d'autres internautes. Ces réseaux de robots
ont alors été utilisés pour lancer des attaques par déni de
service distribué et envoyer des e-mails publicitaires non
sollicités (en d'autres mots, du spam).
Mais bien que ses activités fussent florissantes, J. J. Ancheta
s'est rapidement rendu compte qu'il était beaucoup plus
lucratif et moins risqué de diffuser des logiciels d'un
affilieur. Avec l'aide d'un ami, il s'est affilié à plusieurs sites
commerciaux et a modifié les logiciels publicitaires de
manière à pouvoir les installer via ses réseaux de robots. Ce
système de distribution est devenu bien vite pleinement
opérationnel et, entre novembre 2004 et avril 2005, les
rentrées financières étaient aussi régulières que
confortables. Malheureusement pour J. J. Ancheta,
cependant, les autorités ont eu vent de ses activités et l'ont
arrêté en novembre 2005. En mai de la même année, il
plaidait coupable aux chefs d'accusation de complot de
fraude informatique, de violation de la loi Can-Spam (sur
les e-mails non sollicités), de dommages causés aux
ordinateurs employés par le gouvernement américain en
matière de défense nationale et d'accès illégal à des
ordinateurs protégés dans le but de commettre des
12
fraudes . Il a été condamné à 57 mois de prison pour
13
l'administration de ses réseaux de robots .
11
Robot : programme malveillant utilisé pour prendre le contrôle de machines vulnérables à
distance, dans le but de constituer un réseau d'attaque clandestin (ou « réseau de
robots »).
12
« Computer virus broker arrested for selling armies of infected computers to hackers and
spammers » [Un fournisseur de virus informatiques arrêté pour avoir vendu des armées
d'ordinateurs infectés à des pirates informatiques et à des spammeurs], voir
NOMBRE
APPROXIMATIF
D'ORDINATEURS
PROTÉGÉS AYANT
FAIT L'OBJET D'UN
ACCÈS NON
DATES
PAIEMENTS
AUTORISÉ
APPROXIMATIVES
APPROXIMATIFS
SEPT
01/11/2004
au
19/11/2004
26 975
4 044,26 USD
de
Gammacash
HUIT
16/11/2004
au
07/12/2004
8 744
1 306,52 USD
de
LOUDcash
NEUF
15/01/2005
au
07/02/2005
19 934
2 988,11 USD
de
Gammacash
DIX
01/03/2005
au
22/03/2005
53 321
7 996,10 USD
de
Gammacash
ONZE
01/04/2005
au
22/04/2005
28 066
4 010,81 USD
de
Gammacash
Figure 6 : Paiements versés par Gammacash et LOUDcash
pour les services des réseaux de robots
Si l'on fait la moyenne des paiements reçus et du nombre
d'ordinateurs infectés, on peut en conclure qu'Ancheta
percevait, pour la distribution de logiciels publicitaires,
environ 0,15 dollar par ordinateur, soit quelque 150 dollars
par mille unités. Largement plus que ne propose aucun des
programmes d'affiliation légitimes décrits ci-dessus.
Ce chiffre semble réaliste si l'on s'en réfère à la bannière
publicitaire de ZangoCash, qui promet une rémunération
14
allant jusqu'à 0,40 dollar par installation (voir figure 7) .
Figure 7 : Offre d'affiliation ZangoCA$H
http://www.usdoj.gov/usao/cac/pr2005/149.html et
http://www.usdoj.gov/usao/cac/pr2005/Botnet_Indictment.pdf.
« 'Botherder' dealt record prison sentence for selling and spreading malicious computer
code » [Un « maître de robots » écope d'une peine de prison pour avoir vendu et diffusé
un code informatique malveillant] : http://www.usdoj.gov/usao/cac/pr2006/051.html.
14
http://www.zangocash.com/programs/
13
www.mcafee.com
Livre blanc | Août 2006
Un autre pirate, connu sous le pseudonyme de « 0x80 »
(prononcé « X-eighty »), a récemment levé un coin du voile
sur ses activités illégales impliquant des réseaux de robots.
Dans une interview accordée au Washington Post15, il
affirme que, comme beaucoup de « maîtres de robots », il
gagne de l'argent en distribuant clandestinement des
logiciels publicitaires. 0x80 affirme contrôler plus de
13 000 ordinateurs dans plus de 20 pays, ce qui lui rapporte,
en moyenne, quelque 6 800 dollars par mois, avec un
revenu mensuel total pouvant atteindre les 10 000 dollars.
Majy, un ami de 0x80, a lui aussi fait l'article de ses exploits.
Il affirme recevoir, pour chaque installation, 0,20 dollar aux
Etats-Unis et 0,05 dollar dans 16 autres pays, dont la
France, l'Allemagne et le Royaume-Uni. Majy perçoit des
recettes d'une myriade de sociétés affilieuses, dont
TopConverting, Gammacash et LOUDCash.
Page 9
Avec au moins douze millions d'ordinateurs dans le monde
compromis par des réseaux de robots, des sommes
considérables sont collectées frauduleusement par des
cybercriminels. Un tel enjeu financier ne peut qu'accélérer
la multiplication et la diversification des menaces. Une
meilleure détection des fraudes et une plus grande
responsabilité de la part des sociétés affilieuses constituent
sans aucun doute des solutions efficaces pour endiguer les
flux financiers au profit des criminels. Toutefois, rien ne
pourra remplacer la vigilance de l'utilisateur final, à qui il
incombe de protéger ses informations confidentielles et
d'empêcher les « maîtres de robots » d'étendre leurs
réseaux de drones.
Conclusion
La prévalence des logiciels publicitaires (adware) et
logiciels espions (spyware) augmente de manière
fulgurante. S'ils peuvent être utilisés en toute légalité pour
accroître les revenus générés par un programme
d'affiliation commerciale, ils constituent également un
outil idéal pour les cybercriminels à l'affût d'une
escroquerie. Dans les cas évoqués ci-dessus, J. J. Ancheta a
admis avoir engrangé plus de 107 000 dollars en
transactions d'affiliation, en téléchargeant des logiciels
publicitaires sur plus de 400 000 ordinateurs auxquels il a
accédé de manière frauduleuse. Il a pu échapper aux
systèmes de détection des fraudes mis en place par ses
affilieurs en faisant varier les délais de téléchargement et le
nombre d'installations de logiciels publicitaires, mais aussi
en redirigeant les ordinateurs infectés entre différents
serveurs. Les affilieurs n'y ont vu que du feu et l'ont payé
pour chaque installation.
La coexistence d'activités criminelles et légitimes dans le
cadre de l'affiliation commerciale sème la confusion tant
chez les commerçants que chez les consommateurs. Ainsi,
il devient de plus en plus difficile de faire la part des choses
entre programmes malveillants indésirables et logiciels
conviviaux. Par ailleurs, beaucoup de logiciels espions sont
présentés comme étant des « logiciels de protection », ce
qui ne fait que compliquer les choses.
McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com
McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis
et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques
commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2006 McAfee, Inc. Tous droits réservés.
15
Brian Krebs, « Invasion of the Computer Snatchers » [L'invasion des profanateurs
d'ordinateurs], Washington Post, 19 février 2006, page W10,
http://www.washingtonpost.com/wpdyn/content/article/2006/02/14/AR2006021401342.html.
www.mcafee.com