Fausses alertes d’infection : nos antivirus sont-ils efficaces ? par Azamos.

Une cliente m'appelle hier car elle a eu une page lui indiquant que son PC est infecté, qu'il faut qu'elle appelle d'urgence un numéro de téléphone, et que sinon dans 5 minutes son ordinateur serait bloqué pour préserver leur propre réseau (celui des arnaqueurs). Bref, vous connaissez la chanson, c'est une arnaque dont on a parlé maintes fois sur SOSPC. 

Elle a quand même payée 399 € (!!!), mais heureusement, après opposition à sa banque elle a retrouvé son argent (ouf !).

Mais je suis venu ici pour vous entretenir d'une facette révélatrice : la détection de l'url de la page de fausse alerte par nos logiciels de protection que sont nos antivirus et autres antispywares (url = adresse d’une page Internet ; par exemple l’url d’SOSPC c’est https://sospc.name/  )

1. RAPPELS SUR LA TECHNIQUE D’ARNAQUE

Pour ceux qui découvriraient ce type d’escroquerie, voici rapidement comment ils arrivent à vous faire appeler :

• Vous naviguez sur un site, et d’un coup apparaît une page, accompagnée généralement d’un message vocal répétitif =>

• Je vous mets en grand le message central, qui reprend point pour point le message bleu qu’il masque =>

J’ai encadré et souligné en rouge les passages « intéressants » : en clair, on vous met un ultimatum de 5 minutes, et si vous n’appelez pas on vous bloque votre ordinateur.

Bon, c’est bien entendu totalement faux ! Mais vu qu’en plus la page vous bloque en elle-même votre ordinateur (vous ne pouvez pas généralement la fermer et votre barre des tâches est rendue inaccessible), et bien c’est assez effrayant pour qui cela arrive pour la première fois.

Et si vous appelez, et bien on vous « dépannera » pour une somme comprise entre 140 € et 399 €…. !!!! Ils savent y faire et sont convaincants.

 

Voilà pour le rappel rapide. Pour celles et ceux qui voudraient en savoir plus, voici 2 articles d’SOSPC traitant de ce sujet :

• https://sospc.name/enquete-mefiez-fausses-alertes-dinfection-affiche-navigateur/
• https://sospc.name/fausse-alerte-pc-infecte-cas-reel/

***

2. LA DETECTION PAR NOS LOGICIELS DE PROTECTION

« Et l’antivirus ou autre, ils ne détectent rien ? » 

Et bien ça dépend de l’antivirus, et aussi de l’url si elle est connue, ou non.

Dans le cas de ma cliente, elle avait Avast Free (= gratuit), et il n’a rien détecté…. Et donc rien bloqué. 

• J’ai, dès que j’ai pu isoler la dite url, envoyé un mail à Christophe avec celle-ci : son Kaspersky Internet Security l’a bloqué direct ! 

J’ai donc voulu creuser un peu plus loin, et j’ai soumis cette adresse sur un PC équipé d’une référence en tant que antispyware : Malwarebytes Pro (la version complète et payante donc) : rien de rien, la page « vous êtes infecté » n’a pas été bloquée…. 

Bon, alors sortons l’artillerie lourde, je soumets l’url à VirusTotal.

« C’est quoi VirusTotal ? »

 

VirusTotal ( https://www.virustotal.com/fr/ ) est un site sur lequel on peut gratuitement soumettre un fichier ou une adresse internet suspect. Là-bas le fichier/lien sera soumis à un grand nombre de suites de protection (actuellement 67 logiciels), beaucoup étant des références dans le domaine. 

La première fois que j’ai posté le lien (il y a donc environ 32 heures au moment où j’écris ces lignes), seuls 3 logiciels m’ont signalé cette url comme étant infectieuse (Kaspersky + Bitdefender + Avira). Les 64 autres n’ont rien vu de suspect…. 

• Maintenant à 2h15 du matin, se sont rajoutés 2 autres éditeurs (Fortinet et Sophos) =>

Donc 5 sur 67 l’ont bien détectée à cette heure, mais ça laisse pas mal de « trous » quand même, et par conséquent plus de gens qui se feront avoir…. 

 

Notons quand même que ces 5 éditeurs là sont de grosses pointures dans le milieu des développeurs de logiciels de protection, un bon point supplémentaire pour eux 

« Mais alors tous les autres sont nuls !?! »

 

Ne généralisons pas : sur l’url que j’ai soumis, 5 actuellement ont réagi ; sur une autre url, ce sera peut-être d’autres qui réagiront : c’est difficile d’être catégorique en l’état.

Je garde quand même pour moi que ceux que je juge les plus efficaces dans les protections antivirales que sont Bitdefender et Kaspersky sont présents, ce qui me conforte dans mes certitudes. 

« On peut avoir le lien infectieux pour tester ? »

 

Ben, oui : mais gardez à l’esprit qu’il ne durera pas longtemps, ils ont une durée de vie très courte habituellement.

D’ailleurs, il ne sera peut-être plus valide au moment où cet article sera publié. 

Avant de vous précipiter pour cliquer sur le lien que je mets plus bas :

• sur Firefox, apparaît en premier la page d'avertissement ; si vous cliquez sur une zone quelconque de la page, elle se met en plein écran, vous bloquant pour accéder à votre barre des taches ou autre, affichant au passage une page quasi similaire mais dont on voit que c'est le navigateur Chrome, et masqué partiellement une adresse ressemblant à une adresse du support de Microsoft. Pour retrouver instantanément la barre des tâches et fermer la page "infectieuse", juste à appuyer sur votre touche "Windows"
• sur Internet Explorer 11, la page internet change quand on clic sur une zone, MAIS on a toujours accès à la croix rouge de fermeture et aussi à la barre des tâches : donc au final on est pas bloqué du tout.
• pour Chrome et Edge, je ne sais pas, n’utilisant pas Chrome (je suis pas fou moi) et ayant travaillé sur le sujet que sur 3 PC équipés de Windows 7, donc sans Edge. 
• le lien en lui-même n’est pas infectieux : aucun programme ou autre bestiole ne se glissera sur votre PC : c’est juste une simple page internet que vous ne pouvez en apparence pas fermer. 

Voici le lien : http://scanner-7437.win/exception-c070229/#

… et en version non-cliquable pour ceux qui voudraient le copier-coller sur un autre navigateur ou sur VirusTotal => http://scanner-7437.win/exception-c070229/#

Je le redis, j'ignore combien de temps il sera encore actif  

3. CONCLUSION

Comme nous avons pu le constater, peu de suite de protection ont su détecter et protéger rapidement leurs utilisateurs. 

Au premier jour où j’ai soumis l’url, 3 très connus en France (Avira, Kaspersky et Bitdefender) ont répondu présent à l’appel.

2 autres moins connus du grand public (ils sont plus orientés « Pro ») on suivi quelques heures après.

Mais je le redis, sur un autre fichier/url, les noms et nombre de ces suites de protection ne seraient pas tous identiques.

Seule véritable arme, c’est de se tenir informé (et vous l’êtes maintenant  ), et je vous conseille à lire/relire les 2 autres articles que je vous ai mis en tout début de cet article, ils expliquent très bien (entre autre) comment débloquer votre ordinateur, car dans le cas ici présent c’était très facile de s’en sortir simplement, mais pas dans d’autres cas.

Je terminerais par ceci : ces 10 derniers jours j’ai eu 5 clients ( Edit, 2 de plus sont à ajouter à cette liste depuis la rédaction de cet article en moins de 12 heures) qui ont eu ce genre de message : tous, oui TOUS, ont appelé le numéro, pris dans la panique !!! 

4 d’entre eux ont laissé les « techniciens » prendre la main sur leur PC, et l’1 d’eux a payé (avant de se rétracter) et un autre des 4 m’a appelé juste avant de payer (199 €), dans un sursaut de bon sens. Il m’a dit après que s’il ne m’avait pas eu au bout du fil il aurait confirmé son paiement.

Alors faites passer l’information, distribuez à votre entourage le lien de cet article, ils vous en remercieront 

A très bientôt.

AZAMOS

Les autres articles d'AZAMOS :  

 

***

Vous avez envie comme Azamos de publier sur Sospc sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus si vous êtes intéressé.

Christophe, Administrateur.