Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Friday 25 February 2005
0 comment(s) | Subnetwork France

Des blogs hébergés par le service Google Blogspot sont devenus les derniers distributeurs de spyware à la mode. Des entreprises sans scrupule recrutent en effet leurs auteurs afin qu'ils placent une "publicité" en tête de leur blog. Ils reçoivent en échange, par exemple, de la musique gratuite à télécharger. Mais la publicité contient en réalité un code javascript chargé d'installer un spyware sur l'ordinateur des visiteurs du blog. Bien sûr, comme il est difficile d'installer un code malicieux sur un PC correctement tenu à jour, le code d'installation du spyware a besoin de l'accord de l'utilisateur avant d'y déposer son cadeau empoisonné. Il utilise pour cela un procédé écoeurant qui exploite le manque de connaissance technique de la majorité des internautes. Ainsi la toute première fenêtre qui surgit est celle d'installation du spyware proprement dit. Ce dernier est proposé sous la forme d'un contrôle ActiveX signé très officiellement par un certificat numérique fournis par Verisign. Seulement voilà, à la place du nom du fichier infecté, la fenêtre indique "votre navigateur n'est pas à jour, ce qui peut vous rendre vulnérable aux virus, spam et spywares. Pour éviter cela, cliquez sur OUI maintenant". Bien sûr, en cliquant oui, l'internaute est immédiatement infecté. L'installation du spyware exige l'accord de l'utilisateur. Mais même s'il n'accepte pas et clique sur "Non", l'utilisateur n'est pas au bout de ses peines pour autant. Une seconde fenêtre apparaît alors et elle est cette fois encore plus explicite : "Cliquez sur OUI pour mettre votre Internet Explorer à jour". Il n'y a de toute façon guère le choix : contrairement à la précédente (que les auteurs du spyware ne maîtrisent pas car elle est générée par Windows), cette fenêtre là ne compte qu'un seul bouton, celui qui permet d'accepter l'installation. Les utilisateurs qui auraient refusés une première fois se verraient lourdement encourragés à accepter l'installation du spyware. Et ce n'est pas terminé. Fermer cette seconde fenêtre de force provoque l'affichage d'une nouvelle popup encore plus explicite : "Nous vous recommandons FORTEMENT de mettre votre Internet Explorer à jour. Cliquez sur OUI maintenant". Là aussi, il n'y a qu'un seul bouton, impossible de refuser à moins de fermer à nouveau la fenêtre de force. Ce n'est qu'à ce moment que l'internaute échappera enfin au spyware, après avoir été contraint de refuser par trois fois et de fermer deux fenêtres par la force. Une troisième fenêtre pour ceux qui n'auraient pas compris. Cette tendance a été révélée par le chasseur de spyware Benjamin Edelman, dont le site a récemment fait l'objet d'une importante attaque par déni de service, probablement orchestrée par des éditeurs de spywares dont il a dévoilé les méthodes et les revenus. Dans l'exemple cité ci-dessus, le spyware est installé pour le compte de la société iWebTunes.com et serait fournis par Enternet Media. Ce dernier est l'éditeur notamment de la délicieuse Koolbar, dont la lecture de la licence d'utilisation est un pur régal (l'éditeur "se réserve le droit de collecter les adresse web complètes et le contenu de toutes les pages que vous visitez"). Bref, il n'y a pas de doute, nous sommes bien dans le domaine du spyware le plus sordide. Mais que vient faire Google dans cette histoire ? Et surtout comment pourrait-il éviter que la tendance ne s'installe ? Google est l'éditeur du service Blogspot. Il offre donc ces journaux en ligne et il en gère l'infrastructure technique. Déjà conscient du risque que posent les codes javascripts, Google a bien interdit leur utilisation dans les commentaires ajoutés par les visiteurs aux articles publiés. Mais il en permet toujours l'utilisation par son auteur dans les pages du blog lui-même. Et c'est cet oubli qu'exploitent désormais les distributeurs de spywares. Il suffirait donc à Google de bloquer le javascript sur l'ensemble de ses blogs, et non plus simplement dans les commentaires, pour régler le problème. Selon Benjamin Edelman, Google est prévenu... mais n'a encore rien fait.