Antivirus AZAMOS LA SECURITE C'est important Vous avez la parole

Fausses alertes d’infection : nos antivirus sont-ils efficaces ? par Azamos.

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? par Azamos.

Une cliente m'appelle hier car elle a eu une page lui indiquant que son PC est infecté, qu'il faut qu'elle appelle d'urgence un numéro de téléphone, et que sinon dans 5 minutes son ordinateur serait bloqué pour préserver leur propre réseau (celui des arnaqueurs). Bref, vous connaissez la chanson, c'est une arnaque dont on a parlé maintes fois sur SOSPC. 

Elle a quand même payée 399 € (!!!), mais heureusement, après opposition à sa banque elle a retrouvé son argent (ouf !).

Mais je suis venu ici pour vous entretenir d'une facette révélatrice : la détection de l'url de la page de fausse alerte par nos logiciels de protection que sont nos antivirus et autres antispywares (url = adresse d’une page Internet ; par exemple l’url d’SOSPC c’est https://sospc.name/  ;-) )

Fausse alerte d’infection

  1. RAPPELS SUR LA TECHNIQUE D’ARNAQUE

Pour ceux qui découvriraient ce type d’escroquerie, voici rapidement comment ils arrivent à vous faire appeler :

  • Vous naviguez sur un site, et d’un coup apparaît une page, accompagnée généralement d’un message vocal répétitif =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? Sospc.

  • Je vous mets en grand le message central, qui reprend point pour point le message bleu qu’il masque =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? Sospc.name.

J’ai encadré et souligné en rouge les passages « intéressants » : en clair, on vous met un ultimatum de 5 minutes, et si vous n’appelez pas on vous bloque votre ordinateur.

Bon, c’est bien entendu totalement faux ! Mais vu qu’en plus la page vous bloque en elle-même votre ordinateur (vous ne pouvez pas généralement la fermer et votre barre des tâches est rendue inaccessible), et bien c’est assez effrayant pour qui cela arrive pour la première fois.

Et si vous appelez, et bien on vous « dépannera » pour une somme comprise entre 140 € et 399 €…. !!!! Ils savent y faire et sont convaincants.

 

Voilà pour le rappel rapide. Pour celles et ceux qui voudraient en savoir plus, voici 2 articles d’SOSPC traitant de ce sujet :

***

  1. LA DETECTION PAR NOS LOGICIELS DE PROTECTION

« Et l’antivirus ou autre, ils ne détectent rien ? » 

Et bien ça dépend de l’antivirus, et aussi de l’url si elle est connue, ou non.

Dans le cas de ma cliente, elle avait Avast Free (= gratuit), et il n’a rien détecté…. Et donc rien bloqué. 

  • J’ai, dès que j’ai pu isoler la dite url, envoyé un mail à Christophe avec celle-ci : son Kaspersky Internet Security l’a bloqué direct !  :good:

Fausse alerte d’infection : nos antivirus sont-ils efficaces ?

J’ai donc voulu creuser un peu plus loin, et j’ai soumis cette adresse sur un PC équipé d’une référence en tant que antispyware : Malwarebytes Pro (la version complète et payante donc) : rien de rien, la page « vous êtes infecté » n’a pas été bloquée….  :-(

Bon, alors sortons l’artillerie lourde, je soumets l’url à VirusTotal.

« C’est quoi VirusTotal ? »

 

VirusTotal ( https://www.virustotal.com/fr/ ) est un site sur lequel on peut gratuitement soumettre un fichier ou une adresse internet suspect. Là-bas le fichier/lien sera soumis à un grand nombre de suites de protection (actuellement 67 logiciels), beaucoup étant des références dans le domaine. 

La première fois que j’ai posté le lien (il y a donc environ 32 heures au moment où j’écris ces lignes), seuls 3 logiciels m’ont signalé cette url comme étant infectieuse (Kaspersky + Bitdefender + Avira). Les 64 autres n’ont rien vu de suspect….  :-(

  • Maintenant à 2h15 du matin, se sont rajoutés 2 autres éditeurs (Fortinet et Sophos) =>

Fausse alerte d’infection : nos antivirus sont-ils efficaces ? https://sospc.name.

Donc 5 sur 67 l’ont bien détectée à cette heure, mais ça laisse pas mal de « trous » quand même, et par conséquent plus de gens qui se feront avoir….  :-(

 

Notons quand même que ces 5 éditeurs là sont de grosses pointures dans le milieu des développeurs de logiciels de protection, un bon point supplémentaire pour eux  :good:

« Mais alors tous les autres sont nuls !?! »

 

Ne généralisons pas : sur l’url que j’ai soumis, 5 actuellement ont réagi ; sur une autre url, ce sera peut-être d’autres qui réagiront : c’est difficile d’être catégorique en l’état.

Je garde quand même pour moi que ceux que je juge les plus efficaces dans les protections antivirales que sont Bitdefender et Kaspersky sont présents, ce qui me conforte dans mes certitudes.  :yes:

« On peut avoir le lien infectieux pour tester ? »

 

Ben, oui : mais gardez à l’esprit qu’il ne durera pas longtemps, ils ont une durée de vie très courte habituellement.

D’ailleurs, il ne sera peut-être plus valide au moment où cet article sera publié.  :unsure:

Avant de vous précipiter pour cliquer sur le lien que je mets plus bas :

  • sur Firefox, apparaît en premier la page d'avertissement ; si vous cliquez sur une zone quelconque de la page, elle se met en plein écran, vous bloquant pour accéder à votre barre des taches ou autre, affichant au passage une page quasi similaire mais dont on voit que c'est le navigateur Chrome, et masqué partiellement une adresse ressemblant à une adresse du support de Microsoft. Pour retrouver instantanément la barre des tâches et fermer la page "infectieuse", juste à appuyer sur votre touche "Windows" ;-)
  • sur Internet Explorer 11, la page internet change quand on clic sur une zone, MAIS on a toujours accès à la croix rouge de fermeture et aussi à la barre des tâches : donc au final on est pas bloqué du tout.
  • pour Chrome et Edge, je ne sais pas, n’utilisant pas Chrome (je suis pas fou moi) et ayant travaillé sur le sujet que sur 3 PC équipés de Windows 7, donc sans Edge. 
  • le lien en lui-même n’est pas infectieux : aucun programme ou autre bestiole ne se glissera sur votre PC : c’est juste une simple page internet que vous ne pouvez en apparence pas fermer.  ;-)

Voici le lien : http://scanner-7437.win/exception-c070229/#

… et en version non-cliquable pour ceux qui voudraient le copier-coller sur un autre navigateur ou sur VirusTotal => http://scanner-7437.win/exception-c070229/#

Je le redis, j'ignore combien de temps il sera encore actif :unsure:  

nos antivirus sont-ils efficaces ?

  1. CONCLUSION

Comme nous avons pu le constater, peu de suite de protection ont su détecter et protéger rapidement leurs utilisateurs. 

Au premier jour où j’ai soumis l’url, 3 très connus en France (Avira, Kaspersky et Bitdefender) ont répondu présent à l’appel.

2 autres moins connus du grand public (ils sont plus orientés « Pro ») on suivi quelques heures après.

Mais je le redis, sur un autre fichier/url, les noms et nombre de ces suites de protection ne seraient pas tous identiques.

Seule véritable arme, c’est de se tenir informé (et vous l’êtes maintenant  ;-) ), et je vous conseille à lire/relire les 2 autres articles que je vous ai mis en tout début de cet article, ils expliquent très bien (entre autre) comment débloquer votre ordinateur, car dans le cas ici présent c’était très facile de s’en sortir simplement, mais pas dans d’autres cas.

Je terminerais par ceci : ces 10 derniers jours j’ai eu 5 clients ( Edit, 2 de plus sont à ajouter à cette liste depuis la rédaction de cet article en moins de 12 heures) qui ont eu ce genre de message : tous, oui TOUS, ont appelé le numéro, pris dans la panique !!! 

4 d’entre eux ont laissé les « techniciens » prendre la main sur leur PC, et l’1 d’eux a payé (avant de se rétracter) et un autre des 4 m’a appelé juste avant de payer (199 €), dans un sursaut de bon sens. Il m’a dit après que s’il ne m’avait pas eu au bout du fil il aurait confirmé son paiement.

Alors faites passer l’information, distribuez à votre entourage le lien de cet article, ils vous en remercieront  ;-)

A très bientôt.

AZAMOS

Les autres articles d'AZAMOS :  

 

autres articles

***

écrire un article sur sospc.name

Vous avez envie comme Azamos de publier sur Sospc sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus si vous êtes intéressé.

Christophe, Administrateur.

 

Rejoignez la Communauté d'SOSPC, et profitez d'avantages exclusifs à partir d'1,70 € par mois ! Plus d'infos en cliquant ICI.

Christophe. Administrateur.

0
S’abonner à cette discussion
Notifier de
49 Commentaires
Inline Feedbacks
View all comments
Darksky

Hmmmm… Même désactivé, page blanche. Du coup j'ai aussi désactivé uBlock, au cas où. Pareil.
J'ai testé sur Windows et Linux, avec Firefox, Edge, et IE11: page blanche.

Est-ce que tu aurais le site d'origine, qui a envoyé tes clients sur l'url? Peut-être est-ce "personnalisé" en fonction de certains paramètres.

Ou alors, j'ai une protection quelque part que je ne connais pas encore ^^

Dan

Moi ce matin Eset a bloqué l'URL alors que sur Virus Total il ne le bloque pas ?

Darksky

Merci beaucoup pour l'info. J'ai essayé de tester l'url, mais elle semble déjà inactive (page blanche). J'ai voulu la tester car sur VT, DrWeb ne semble pas réagir, mais j'ai déjà remarqué plus d'une fois qu'il ne réagit pas sur VT alors qu'en conditions réelles, il fait son boulot (vérifié tant sur des url qu'avec des programmes style ransomware). Visiblement c'est le comportement à l'exécution qu'il analyse et qui le fait réagir. Il est d'ailleurs l'un des plus chiant et restrictif niveau blocage de site, il fait parfois de l'excès de zèle. Si jamais une autre url vous tombe dans les… Lire la suite »

Darksky

Ah :whistle:

Ça me rassure, et me conforte, alors: VT aussi peut se tromper ^^ Enfin, pas lui directement, mais la façon dont il fait "fonctionner" les AV pour ses détections.

Parce que j'ai vraiment une page blanche, quel que soit le navigateur utilisé.
DrWeb fait donc le job, même si sur VT, il semble ne pas réagir. C'est peut-être pour ça qu'ils ne veulent vraiment plus participer aux test AVComparatives et autres, alors. Ça expliquerait mieux leur décision.

Christian

Bonjour,
cela m'est déjà arrivé, le truc c'est de ne pas cliquer sur la page web, mais, comme cela a été dit plus haut, d'ouvrir le gestionnaire des tâches et de désactiver le navigateur.
Depuis l'ai installé un tout petit logiciel portable gratuit du joli nom de "urlblocker".
Son nom veut tout dire.
Je n'ai pas encore eu l'occasion de m'en servir et je ne connais donc pas son efficacité.
Christian

Visio3

Bonjour Hier j'ai eu également cette petite visite (Pas exactement la même, là Firefox*** (Copié à la perfection ) voulait m'imposer une mise à jour URGENTE) Comme j'avais lu avec attention les précédents articles sur le sujet, j'ai fait immédiatement CTRL+Alt+Suppr (Windows 7) pour appeler le gestionnaire de tâche (Qui avec gentillesse est sorti d'un long sommeil pour venir me donner un coup de main)  Sélection de la ligne en question : La fameuse mise à jour et fin de tâche. Un petit tour avec Ccleanner et adieu mise à jour .…… Bon, je suis sous Bitdefender Total Security 2018 à jour, mais il… Lire la suite »

Visio3

Bonjour Azamos :bye:

Je viens juste d'avoir une nouvelle "attaque" et immédiatement Bitdefender s'est réveillé :

commentaire visioIII url suspecte bloquée bitdefender

Bon .….. j'ai fait un peu exprès :whistle: J'ai été cherché vers un endroit où il faut sortir "couvert" : Un site de téléchargement de films B-) et hop une page infectée :-)

didier

Bonjour à tous

j'ai eu ce pb une seule fois, ma méthode : étant en ethernet, enlever le cable RJ pour couper net la connexion, Ctrl/Shift/Esc pour dégager les connexions internet "louches", redemarrer le PC, arrivé sur le bureau, remettre le cable RJ, REVÉRIFIER dans le gestionnaire des taches si tout est OK
pur moi, ça a fonctionné.……

BON WE

Didier B-) B-)

didier

Salut Fred

je confirme.….…
et pour ceux que ça interesse : https://sospc.name/doute-piece-jointe-utilisez-virustotal-didier/
à tantot

Kiseki

Bonjour, Merci pour le retour d'expérience. De mon côté Kaspersky Free avec l'extension Web pour Firefox bloque bien le site. Si j'ai le choix je prends la meilleure option, pourquoi je m'embêterai avec un antivirus modeste alors que d'autres sont globalement plus intéressants et pas forcément plus cher ? @tedg62 Mon interprétation de tes propos me laisse croire que tu dis en gros "Si les gens sont pas capable de comprendre un minimum le fonctionnement d'un ordinateur ne devrait pas s'en servir". C'est quand même excessif, d'une manière à présenter la chose : une personne qui n'a d'autre choix pour rester informée et… Lire la suite »

tedg62

non mais j'entend bien. mais parfois un minimum de bon sens, la vrai vie n'est pas un film. même dans d'autres domaine parfois je regarde un film et je dit "le scénario et tiré par les cheveux" heureusement qu'un hacker ne peut pas bloqué un PC via un simple popup, en plus selon le site fréquenter il faut bien se doutait que si il y avait ce genre de hack quelqu'un aurai prit les choses en main non ? c'est comme les popup qui te donne ton adresse ip… whaa bravo :D je pensait que seul hadopi en etait capable lol. je… Lire la suite »

joseph

Bonjour cher Azamos, Ce "problème " m'est arrivé plus d'une fois, et c'est surtout le cas en allant sur des sites comme Majax31.cc ( Christophe, si j'ai pas droit à citer, supprime-le ) ou des sites un peu…xx . Une voix me dit que " attention, votre pc est infecté, appeler de suite Microsoooft " ( oui avec accent). Je panique pas, il suffit simplement de faire CTRL ALT DEL ( gestionnaire des tâches ) et de fermer Firefox ou autre.… Des fois, ça marche pas, alors suffit de fermer son pc " à l'arrache ", c à d en poussant… Lire la suite »

tedg62

bjr, désolé de le dire mais un pc reste un outils, exactement comme un bricoleurs du dimanche utilisé un outils sans savoir le faire est dangereux, bon en fait j'ai essayer d'être sympa dans mes propos mais en fait j'ai juste envie de dire qu'ils sont juste stupide ! ce n'est rien d'autre qu'un popup incessant ! j'arrive même a quitté sans fermé chrome en allant trés vite, bien évidemment avec un coucou en guise de pc c'est un peu plus compliqué. comment une simple page web pourrait réellement bloqué notre pc ? a part dans un film au scénario… Lire la suite »

tedg62

salut azamos. bah maintenant je ne me prend plus la téte et utilise avira, en gratuit il a fallu faire une manipulation .reg sinon il faut installer des extensions donc pas certains a 100% que tous posséde cet outils. windows defender je ne pense pas par exemple  reste l'anti pub, mais parfois certains sont bien conçu et arrive a passer au travers. maintenant il y a longtemps que je n'ai plus rencontrer ce popup, est-ce a cause des mes protections ? bonne question ? je n'ai plus reçu de plainte des mes proches mais une fois avoir était gentillement moqué… Lire la suite »

tedg62

oui c'est ce genre de site qui le propose :D et c'est cool, sinon installer une barre, car j'ai dit des bêtises, c'est une barre qu'il faut installer pour pouvoir avoir l'extensions (de souvenirs) moi j'ai mit le .reg

49
0
Seuls les abonnés Premium peuvent déposer un commentaire.x