Antivirus AZAMOS LA SECURITE C'est important Vous avez la parole

Fausses alertes d’infection : nos antivirus sont-ils efficaces ? par Azamos.

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? par Azamos.

Une cliente m'appelle hier car elle a eu une page lui indiquant que son PC est infecté, qu'il faut qu'elle appelle d'urgence un numéro de téléphone, et que sinon dans 5 minutes son ordinateur serait bloqué pour préserver leur propre réseau (celui des arnaqueurs). Bref, vous connaissez la chanson, c'est une arnaque dont on a parlé maintes fois sur SOSPC. 

Elle a quand même payée 399 € (!!!), mais heureusement, après opposition à sa banque elle a retrouvé son argent (ouf !).

Mais je suis venu ici pour vous entretenir d'une facette révélatrice : la détection de l'url de la page de fausse alerte par nos logiciels de protection que sont nos antivirus et autres antispywares (url = adresse d’une page Internet ; par exemple l’url d’SOSPC c’est https://sospc.name/  ;-) )

Fausse alerte d’infection

  1. RAPPELS SUR LA TECHNIQUE D’ARNAQUE

Pour ceux qui découvriraient ce type d’escroquerie, voici rapidement comment ils arrivent à vous faire appeler :

  • Vous naviguez sur un site, et d’un coup apparaît une page, accompagnée généralement d’un message vocal répétitif =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? Sospc.

  • Je vous mets en grand le message central, qui reprend point pour point le message bleu qu’il masque =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? Sospc.name.

J’ai encadré et souligné en rouge les passages « intéressants » : en clair, on vous met un ultimatum de 5 minutes, et si vous n’appelez pas on vous bloque votre ordinateur.

Bon, c’est bien entendu totalement faux ! Mais vu qu’en plus la page vous bloque en elle-même votre ordinateur (vous ne pouvez pas généralement la fermer et votre barre des tâches est rendue inaccessible), et bien c’est assez effrayant pour qui cela arrive pour la première fois.

Et si vous appelez, et bien on vous « dépannera » pour une somme comprise entre 140 € et 399 €…. !!!! Ils savent y faire et sont convaincants.

 

Voilà pour le rappel rapide. Pour celles et ceux qui voudraient en savoir plus, voici 2 articles d’SOSPC traitant de ce sujet :

***

  1. LA DETECTION PAR NOS LOGICIELS DE PROTECTION

« Et l’antivirus ou autre, ils ne détectent rien ? » 

Et bien ça dépend de l’antivirus, et aussi de l’url si elle est connue, ou non.

Dans le cas de ma cliente, elle avait Avast Free (= gratuit), et il n’a rien détecté…. Et donc rien bloqué. 

  • J’ai, dès que j’ai pu isoler la dite url, envoyé un mail à Christophe avec celle-ci : son Kaspersky Internet Security l’a bloqué direct !  :good:

Fausse alerte d’infection : nos antivirus sont-ils efficaces ?

J’ai donc voulu creuser un peu plus loin, et j’ai soumis cette adresse sur un PC équipé d’une référence en tant que antispyware : Malwarebytes Pro (la version complète et payante donc) : rien de rien, la page « vous êtes infecté » n’a pas été bloquée….  :-(

Bon, alors sortons l’artillerie lourde, je soumets l’url à VirusTotal.

« C’est quoi VirusTotal ? »

 

VirusTotal ( https://www.virustotal.com/fr/ ) est un site sur lequel on peut gratuitement soumettre un fichier ou une adresse internet suspect. Là-bas le fichier/lien sera soumis à un grand nombre de suites de protection (actuellement 67 logiciels), beaucoup étant des références dans le domaine. 

La première fois que j’ai posté le lien (il y a donc environ 32 heures au moment où j’écris ces lignes), seuls 3 logiciels m’ont signalé cette url comme étant infectieuse (Kaspersky + Bitdefender + Avira). Les 64 autres n’ont rien vu de suspect….  :-(

  • Maintenant à 2h15 du matin, se sont rajoutés 2 autres éditeurs (Fortinet et Sophos) =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? https://sospc.name.

Donc 5 sur 67 l’ont bien détectée à cette heure, mais ça laisse pas mal de « trous » quand même, et par conséquent plus de gens qui se feront avoir….  :-(

 

Notons quand même que ces 5 éditeurs là sont de grosses pointures dans le milieu des développeurs de logiciels de protection, un bon point supplémentaire pour eux  :good:

« Mais alors tous les autres sont nuls !?! »

 

Ne généralisons pas : sur l’url que j’ai soumis, 5 actuellement ont réagi ; sur une autre url, ce sera peut-être d’autres qui réagiront : c’est difficile d’être catégorique en l’état.

Je garde quand même pour moi que ceux que je juge les plus efficaces dans les protections antivirales que sont Bitdefender et Kaspersky sont présents, ce qui me conforte dans mes certitudes.  :yes:

« On peut avoir le lien infectieux pour tester ? »

 

Ben, oui : mais gardez à l’esprit qu’il ne durera pas longtemps, ils ont une durée de vie très courte habituellement.

D’ailleurs, il ne sera peut-être plus valide au moment où cet article sera publié.  :unsure:

Avant de vous précipiter pour cliquer sur le lien que je mets plus bas :

  • sur Firefox, apparaît en premier la page d'avertissement ; si vous cliquez sur une zone quelconque de la page, elle se met en plein écran, vous bloquant pour accéder à votre barre des taches ou autre, affichant au passage une page quasi similaire mais dont on voit que c'est le navigateur Chrome, et masqué partiellement une adresse ressemblant à une adresse du support de Microsoft. Pour retrouver instantanément la barre des tâches et fermer la page "infectieuse", juste à appuyer sur votre touche "Windows" ;-)
  • sur Internet Explorer 11, la page internet change quand on clic sur une zone, MAIS on a toujours accès à la croix rouge de fermeture et aussi à la barre des tâches : donc au final on est pas bloqué du tout.
  • pour Chrome et Edge, je ne sais pas, n’utilisant pas Chrome (je suis pas fou moi) et ayant travaillé sur le sujet que sur 3 PC équipés de Windows 7, donc sans Edge. 
  • le lien en lui-même n’est pas infectieux : aucun programme ou autre bestiole ne se glissera sur votre PC : c’est juste une simple page internet que vous ne pouvez en apparence pas fermer.  ;-)

Voici le lien : http://scanner-7437.win/exception-c070229/#

… et en version non-cliquable pour ceux qui voudraient le copier-coller sur un autre navigateur ou sur VirusTotal => http://scanner-7437.win/exception-c070229/#

Je le redis, j'ignore combien de temps il sera encore actif :unsure:  

nos antivirus sont-ils efficaces ?

  1. CONCLUSION

Comme nous avons pu le constater, peu de suite de protection ont su détecter et protéger rapidement leurs utilisateurs. 

Au premier jour où j’ai soumis l’url, 3 très connus en France (Avira, Kaspersky et Bitdefender) ont répondu présent à l’appel.

2 autres moins connus du grand public (ils sont plus orientés « Pro ») on suivi quelques heures après.

Mais je le redis, sur un autre fichier/url, les noms et nombre de ces suites de protection ne seraient pas tous identiques.

Seule véritable arme, c’est de se tenir informé (et vous l’êtes maintenant  ;-) ), et je vous conseille à lire/relire les 2 autres articles que je vous ai mis en tout début de cet article, ils expliquent très bien (entre autre) comment débloquer votre ordinateur, car dans le cas ici présent c’était très facile de s’en sortir simplement, mais pas dans d’autres cas.

Je terminerais par ceci : ces 10 derniers jours j’ai eu 5 clients ( Edit, 2 de plus sont à ajouter à cette liste depuis la rédaction de cet article en moins de 12 heures) qui ont eu ce genre de message : tous, oui TOUS, ont appelé le numéro, pris dans la panique !!! 

4 d’entre eux ont laissé les « techniciens » prendre la main sur leur PC, et l’1 d’eux a payé (avant de se rétracter) et un autre des 4 m’a appelé juste avant de payer (199 €), dans un sursaut de bon sens. Il m’a dit après que s’il ne m’avait pas eu au bout du fil il aurait confirmé son paiement.

Alors faites passer l’information, distribuez à votre entourage le lien de cet article, ils vous en remercieront  ;-)

A très bientôt.

AZAMOS

Les autres articles d'AZAMOS :  

 

autres articles

***

écrire un article sur sospc.name

Vous avez envie comme Azamos de publier sur Sospc sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus si vous êtes intéressé.

Christophe, Administrateur.

 

Rejoignez la Communauté SOSPC et accédez  à des contenus et des avantages exclusifs à partir de 5 € !  Cliquez ICI pour consulter tous les abonnements disponibles. ;-)

Christophe. Administrateur.

S’abonner à cette discussion
Notifier de
49 Commentaires
Inline Feedbacks
View all comments
Darksky

:bye:

Petit retour, pour dire que DrWeb bloque bel et bien la page, mais lors de l'analyse sur VT, toujours rien…
Il y a donc un décalage réel entre le produit "en dur", et le site de VT.

Greg

Salut !
Dommage que Web Of Trust n'est pas très sûr au niveau vie privée. L'extension permet d'avoir un aperçu de la salubrité du site avant même de cliquer dessus.
A‑t-on un équivalent ?

Sude

Merci Azamos pour cet article
A noter que GDATA à immédiatement bloqué cette page

Boyinton2

Salut la communauté .
Merci à tous pour les avis et commentaires.
…heureusement que sospc existe, car
Pour beaucoup d'entre-nous, non experts, C'est une culture permanente.…
Et une remise en cause de notre manière d'utiliser le web.
A chaque vol on doit se remettre en cause.…
Merci Chris.…Azamos et vous tous.
Jean marie.

joseph

ESET ( NOD32)- Smart security me bloque bien la page .… sur Firefox, sur Chrome ;pour le moment . Sur Edge, j'obtiens une page toute rouge.…de peur ! Bravo les gars tg

Merci encore .

didier

Bonsoir
Je viens de tester le lien sous Linux : à l'apparition de la page "maudite" , si on clic, elle se met donc en plein écran : en appuyant sur la touche Echapp/ESC, la barre des taches réapparait, et on peut fermer le navigateur

pour info VT le nombre est passé a 7

bon 14 juillet ! :yahoo:

ermo

Salut tout le monde, Pour info Windows Defender ne défend rien du tout : le message frauduleux passe sans encombre. Je suis étonné du nombre de personnes qui se font piéger. Même si on suppose la clientèle d'Azamos gigantesque, ça reste un échantillon limité dans l'absolu . L'arnaque doit être sacrément lucrative. Cela dit je comprends qu'on puisse paniquer quand on n'y connaît rien, cas d'une majorité d'utilisateurs qui se retrouvent telle une poule devant une paire de ciseaux au moindre comportement inhabituel de leur ordi. On perd vite de vue quand on tatouille un minimun que tout cela est extrêmement complexe.… Lire la suite »

tedg62

c'est ce que j'ai dit plus haut, il est intégré gratuitement de plus en plus discrètement donc il faut pas trop se faire d'illusions

Yves B

Salut ! :bye:

Excellent article ! :good: :good: :good:

Je viens de tester avec Kasperky et, la page est bien bloquée :good: m’indiquant qu’il s’agit d’un lien malveillant.
En cas de blocage d’une page, si vous êtes protégé par Kaspersky, il suffit de taper la combinaison de touches suivante : Ctrl + Alt + Maj. + F4 , pour fermer le “ransomware”.

Merci ! :good: :good: :good:
A+ :bye:

Yves B

Bonne Fête Nationale à vous tous !!! :yahoo: :yahoo: :yahoo:

Thierry

Bonjour à tous, Excellent l'article AZAMOS. Je viens de regarder sur Edge, il est bloqué avec une belle page rouge. Je rappel tout de même qu'un Antivirus est là pour une infection sa principal fonction et donc l'intérêt d'une suite sécurité prendra son importance. Bien souvent url légitime (sans code) l'antivirus passera outre et c'est normal. Après si l'url renvoie sur un site arnaque ou par exemple cours une infection, l'Antivirus prendra le relai. L'exemple fut clair avec Avira qui dans sa version gratuite d'y il y a une 10 années ne prenait pas en charge la détection en temps réel un… Lire la suite »

tedg62

bjr,
la science fiction serai qu'un hacker puissent nous pirater juste via une url ;)
sinon vos propos sont contradictoire, vous terminer bien par ", son utilisation nous impose des contraintes que nous ne devons pas ignorer" c'est exactement ce que j'ai dit.

pas besoin de formation en sécurité, juste grosso modo comment fonctionne le web etc juste pour comprendre qu'un popup ne peux pas bloquer un pc et surtout le fameux ctrl+alt+suppr c'est la base. il y a 20 ans TOUT les utilisateurs connaissait, avec la double manip qui rebooter le pc ;)

Darksky

En sans échec pas testé, mais je l'ai fait sur le Windows 7 de madame avec mse en antivirus et pareil, page blanche. 

J'ai même essayé sur mon smartphone ( B-) ) avec Firefox toujours et pas blanche.

Testé en 4g aussi, au cas où me box bloquerait un truc, idem. Page blanche.

Mais je rejoins ton avis : vt est génial, mais pas toujours représentatif.

49
0
Seuls les abonnés Premium peuvent déposer un commentaire.x