Les pop-up profitent des connexions en réseau pour se multiplier

Par 28 mai 2010

L'université de Calgary met en garde contre un format de publiciels qui affiche des publicités à la chaîne sans nécessiter d'avoir été installé sur un ordinateur : il se propage à distance via les réseaux non encryptés.

Les publiciels, que l'utilisateur installe sur son ordinateur, fournissent à la fois un service et des réclames en pop up destinées à amortir les coûts de développement. Le problème, c'est qu'en plus d'être considérés comme intrusifs, certains agissent comme des logiciels espions, ou sont considérés comme des logiciels malveillants : cela quand ils n'indiquent pas à l'internaute que celui-ci recevra des réclames lors de son utilisation. Résultat : les antivirus sont de plus en plus nombreux à proposer de bloquer leur installation et leur usage. Mais pour une équipe de l'université de Calgary, il semble que des publiciels plus discrets et baptisés 'Typhoid adware" parviennent aujourd'hui à contourner l'action des antivirus. "A la différence des publiciels traditionnels qui nécessitent d'être embarqués dans un PC, celui-ci fonctionne à distance", indique John Aycock, l'un des chercheurs. Et d'ajouter : "Les typhoid adware sont spécialement conçus pour les espaces publics comme les cafés Internet où les gens partagent une connexion réseau non encryptée".  
 

Détourner les flux de communication d'un réseau
C'est pour la discrétion de son action et sa propagation rapide en réseau que ce programme à été baptisé du nom de cette maladie. En clair, il suffit qu'un seul ordinateur embarque à l'origine ce nouveau format d'adware. "Le propriétaire de l'ordinateur émetteur n'est pas conscient qu'il est infecté puisqu'aucune publicité n'apparaît sur son écran, alors qu'en même temps il contamine tout un réseau", précise le chercheur. Comme ils l'expliquent dans leur étude, lorsque l'ordinateur infecté se joint à un réseau sans fil, son publiciel va intercepter les connexions réseau de ses voisins pour venir ensuite altérer leur trafic et insérer des publicités sur le contenu des ordinateurs. Pour ce faire, le programme utilise la technique du "ARP Spoofing" : pour attaquer le réseau local, ce programme usurpe son identité auprès du protocole de résolution d'adresse ARP du réseau. Pour se faire passer auprès des ordinateurs comme la connexion par laquelle transitent les communications.
Prévenir les ordinateurs d'une intrusion
En détournant ce flux, le publiciel peut ainsi voir les données qui transitent dans le réseau et modifier les pages HTML ou de vidéos flash en y introduisant des pop-up. Pour empêcher l'action de ce programme malveillant, l'université de Calgary propose différentes mesures. "Il faudrait pouvoir prévenir les ordinateurs qui se connectent à un réseau, d'être plus méfiants des contacts avec les autres ordinateurs". Et d'ajouter : "les programmes d'antivirus devraient être créés pour empêcher les ordinateurs d'être induits en erreur et redirigés vers un autre ordinateur". Il faudrait également, selon les chercheurs, que les concepteurs de vidéo flash sécurisent mieux l'empreinte numérique – cFode de la vidéo -, de manière à garantir lors de leur téléchargement l'intégrité des données et de détecter leur altération.

Mentions légales © L’Atelier BNP Paribas