Une cliente m'appelle hier car elle a eu une page lui indiquant que son PC est infecté, qu'il faut qu'elle appelle d'urgence un numéro de téléphone, et que sinon dans 5 minutes son ordinateur serait bloqué pour préserver leur propre réseau (celui des arnaqueurs). Bref, vous connaissez la chanson, c'est une arnaque dont on a parlé maintes fois sur SOSPC.
Elle a quand même payée 399 € (!!!), mais heureusement, après opposition à sa banque elle a retrouvé son argent (ouf !).
Mais je suis venu ici pour vous entretenir d'une facette révélatrice : la détection de l'url de la page de fausse alerte par nos logiciels de protection que sont nos antivirus et autres antispywares (url = adresse d’une page Internet ; par exemple l’url d’SOSPC c’est https://sospc.name/ 
)
-
RAPPELS SUR LA TECHNIQUE D’ARNAQUE
Pour ceux qui découvriraient ce type d’escroquerie, voici rapidement comment ils arrivent à vous faire appeler :
- Vous naviguez sur un site, et d’un coup apparaît une page, accompagnée généralement d’un message vocal répétitif =>
- Je vous mets en grand le message central, qui reprend point pour point le message bleu qu’il masque =>
J’ai encadré et souligné en rouge les passages « intéressants » : en clair, on vous met un ultimatum de 5 minutes, et si vous n’appelez pas on vous bloque votre ordinateur.
Bon, c’est bien entendu totalement faux ! Mais vu qu’en plus la page vous bloque en elle-même votre ordinateur (vous ne pouvez pas généralement la fermer et votre barre des tâches est rendue inaccessible), et bien c’est assez effrayant pour qui cela arrive pour la première fois.
Et si vous appelez, et bien on vous « dépannera » pour une somme comprise entre 140 € et 399 €…. !!!! Ils savent y faire et sont convaincants.
Voilà pour le rappel rapide. Pour celles et ceux qui voudraient en savoir plus, voici 2 articles d’SOSPC traitant de ce sujet :
- https://sospc.name/enquete-mefiez-fausses-alertes-dinfection-affiche-navigateur/
- https://sospc.name/fausse-alerte-pc-infecte-cas-reel/
***
-
LA DETECTION PAR NOS LOGICIELS DE PROTECTION
« Et l’antivirus ou autre, ils ne détectent rien ? »
Et bien ça dépend de l’antivirus, et aussi de l’url si elle est connue, ou non.
Dans le cas de ma cliente, elle avait Avast Free (= gratuit), et il n’a rien détecté…. Et donc rien bloqué.
- J’ai, dès que j’ai pu isoler la dite url, envoyé un mail à Christophe avec celle-ci : son Kaspersky Internet Security l’a bloqué direct !
J’ai donc voulu creuser un peu plus loin, et j’ai soumis cette adresse sur un PC équipé d’une référence en tant que antispyware : Malwarebytes Pro (la version complète et payante donc) : rien de rien, la page « vous êtes infecté » n’a pas été bloquée…. 
Bon, alors sortons l’artillerie lourde, je soumets l’url à VirusTotal.
« C’est quoi VirusTotal ? »
VirusTotal ( https://www.virustotal.com/fr/ ) est un site sur lequel on peut gratuitement soumettre un fichier ou une adresse internet suspect. Là-bas le fichier/lien sera soumis à un grand nombre de suites de protection (actuellement 67 logiciels), beaucoup étant des références dans le domaine.
La première fois que j’ai posté le lien (il y a donc environ 32 heures au moment où j’écris ces lignes), seuls 3 logiciels m’ont signalé cette url comme étant infectieuse (Kaspersky + Bitdefender + Avira). Les 64 autres n’ont rien vu de suspect….
- Maintenant à 2h15 du matin, se sont rajoutés 2 autres éditeurs (Fortinet et Sophos) =>
Donc 5 sur 67 l’ont bien détectée à cette heure, mais ça laisse pas mal de « trous » quand même, et par conséquent plus de gens qui se feront avoir….
Notons quand même que ces 5 éditeurs là sont de grosses pointures dans le milieu des développeurs de logiciels de protection, un bon point supplémentaire pour eux
« Mais alors tous les autres sont nuls !?! »
Ne généralisons pas : sur l’url que j’ai soumis, 5 actuellement ont réagi ; sur une autre url, ce sera peut-être d’autres qui réagiront : c’est difficile d’être catégorique en l’état.
Je garde quand même pour moi que ceux que je juge les plus efficaces dans les protections antivirales que sont Bitdefender et Kaspersky sont présents, ce qui me conforte dans mes certitudes. 
« On peut avoir le lien infectieux pour tester ? »
Ben, oui : mais gardez à l’esprit qu’il ne durera pas longtemps, ils ont une durée de vie très courte habituellement.
D’ailleurs, il ne sera peut-être plus valide au moment où cet article sera publié. 
Avant de vous précipiter pour cliquer sur le lien que je mets plus bas :
- sur Firefox, apparaît en premier la page d'avertissement ; si vous cliquez sur une zone quelconque de la page, elle se met en plein écran, vous bloquant pour accéder à votre barre des taches ou autre, affichant au passage une page quasi similaire mais dont on voit que c'est le navigateur Chrome, et masqué partiellement une adresse ressemblant à une adresse du support de Microsoft. Pour retrouver instantanément la barre des tâches et fermer la page "infectieuse", juste à appuyer sur votre touche "Windows"
- sur Internet Explorer 11, la page internet change quand on clic sur une zone, MAIS on a toujours accès à la croix rouge de fermeture et aussi à la barre des tâches : donc au final on est pas bloqué du tout.
- pour Chrome et Edge, je ne sais pas, n’utilisant pas Chrome (je suis pas fou moi) et ayant travaillé sur le sujet que sur 3 PC équipés de Windows 7, donc sans Edge.
- le lien en lui-même n’est pas infectieux : aucun programme ou autre bestiole ne se glissera sur votre PC : c’est juste une simple page internet que vous ne pouvez en apparence pas fermer.
Voici le lien : http://scanner-7437.win/exception-c070229/#
… et en version non-cliquable pour ceux qui voudraient le copier-coller sur un autre navigateur ou sur VirusTotal => http://scanner-7437.win/exception-c070229/#
Je le redis, j'ignore combien de temps il sera encore actif
-
CONCLUSION
Comme nous avons pu le constater, peu de suite de protection ont su détecter et protéger rapidement leurs utilisateurs.
Au premier jour où j’ai soumis l’url, 3 très connus en France (Avira, Kaspersky et Bitdefender) ont répondu présent à l’appel.
2 autres moins connus du grand public (ils sont plus orientés « Pro ») on suivi quelques heures après.
Mais je le redis, sur un autre fichier/url, les noms et nombre de ces suites de protection ne seraient pas tous identiques.
Seule véritable arme, c’est de se tenir informé (et vous l’êtes maintenant ), et je vous conseille à lire/relire les 2 autres articles que je vous ai mis en tout début de cet article, ils expliquent très bien (entre autre) comment débloquer votre ordinateur, car dans le cas ici présent c’était très facile de s’en sortir simplement, mais pas dans d’autres cas.
Je terminerais par ceci : ces 10 derniers jours j’ai eu 5 clients ( Edit, 2 de plus sont à ajouter à cette liste depuis la rédaction de cet article en moins de 12 heures) qui ont eu ce genre de message : tous, oui TOUS, ont appelé le numéro, pris dans la panique !!!
4 d’entre eux ont laissé les « techniciens » prendre la main sur leur PC, et l’1 d’eux a payé (avant de se rétracter) et un autre des 4 m’a appelé juste avant de payer (199 €), dans un sursaut de bon sens. Il m’a dit après que s’il ne m’avait pas eu au bout du fil il aurait confirmé son paiement.
Alors faites passer l’information, distribuez à votre entourage le lien de cet article, ils vous en remercieront
A très bientôt.
AZAMOS
Les autres articles d'AZAMOS :
***
Vous avez envie comme Azamos de publier sur Sospc sur un sujet qui vous passionne ?
Je vous propose de vous rendre ICI pour en savoir plus si vous êtes intéressé.
Christophe, Administrateur.
Rejoignez la Communauté d'SOSPC, et profitez d'avantages exclusifs à partir d'1,70 € par mois ! Plus d'infos en cliquant ICI.
Christophe. Administrateur.
Hmmmm… Même désactivé, page blanche. Du coup j'ai aussi désactivé uBlock, au cas où. Pareil.
J'ai testé sur Windows et Linux, avec Firefox, Edge, et IE11: page blanche.
Est-ce que tu aurais le site d'origine, qui a envoyé tes clients sur l'url? Peut-être est-ce "personnalisé" en fonction de certains paramètres.
Ou alors, j'ai une protection quelque part que je ne connais pas encore ^^
Peut-être Windows Defender ? Ou bien un addon de Dr Web sur tes navigateurs ? En "mode sans échec" ça donne quoi ? Je te repasse le lien, au cas où : http://scanner-7437.win/exception-c070229/#
En tout cas il semble que certains AV bloquent quand même l'url malgré que VirusTotal dise le contraire…
Moi ce matin Eset a bloqué l'URL alors que sur Virus Total il ne le bloque pas ?
Merci pour l'info Dan
Oui, VirusTotal ne semble pas au final indiquer une liste exhaustive des AV/protections qui bloquent l'url : possible que sa base de détection ne se mettent pas à jour en permanence et qu'il y ait un décalage entre la mise en ligne chez l'éditeur et l'actualisation chez VT.… ou bien l'analyse depuis VT est incomplète
En tout les cas, au moins les membres d'SOSPC peuvent tester en toute sécurité leur protection propre, ce qui au final est le but de cet article
Merci beaucoup pour l'info. J'ai essayé de tester l'url, mais elle semble déjà inactive (page blanche). J'ai voulu la tester car sur VT, DrWeb ne semble pas réagir, mais j'ai déjà remarqué plus d'une fois qu'il ne réagit pas sur VT alors qu'en conditions réelles, il fait son boulot (vérifié tant sur des url qu'avec des programmes style ransomware). Visiblement c'est le comportement à l'exécution qu'il analyse et qui le fait réagir. Il est d'ailleurs l'un des plus chiant et restrictif niveau blocage de site, il fait parfois de l'excès de zèle. Si jamais une autre url vous tombe dans les… Lire la suite »
Hello Darksky,
L'url est toujours fonctionnelle : ton AV doit la bloquer
Ah
Ça me rassure, et me conforte, alors: VT aussi peut se tromper ^^ Enfin, pas lui directement, mais la façon dont il fait "fonctionner" les AV pour ses détections.
Parce que j'ai vraiment une page blanche, quel que soit le navigateur utilisé.
DrWeb fait donc le job, même si sur VT, il semble ne pas réagir. C'est peut-être pour ça qu'ils ne veulent vraiment plus participer aux test AVComparatives et autres, alors. Ça expliquerait mieux leur décision.
Tu pourrais faire un essai en désactivant ton AV pour voir ?
Bonjour,
cela m'est déjà arrivé, le truc c'est de ne pas cliquer sur la page web, mais, comme cela a été dit plus haut, d'ouvrir le gestionnaire des tâches et de désactiver le navigateur.
Depuis l'ai installé un tout petit logiciel portable gratuit du joli nom de "urlblocker".
Son nom veut tout dire.
Je n'ai pas encore eu l'occasion de m'en servir et je ne connais donc pas son efficacité.
Christian
Salut Christian,
URL Blocker sert à interdire l'accès à certains sites depuis ton ordinateur : par exemple si tu veux interdire l'accès à Facebook, ou bien à un site X.
C'est toi qui remplis la liste des url à bloquer, et donc il ne pourra rien malheureusement contre le genre d'attaque dont traite l'article
Bonjour Hier j'ai eu également cette petite visite (Pas exactement la même, là Firefox*** (Copié à la perfection ) voulait m'imposer une mise à jour URGENTE) Comme j'avais lu avec attention les précédents articles sur le sujet, j'ai fait immédiatement CTRL+Alt+Suppr (Windows 7) pour appeler le gestionnaire de tâche (Qui avec gentillesse est sorti d'un long sommeil pour venir me donner un coup de main) Sélection de la ligne en question : La fameuse mise à jour et fin de tâche. Un petit tour avec Ccleanner et adieu mise à jour .…… Bon, je suis sous Bitdefender Total Security 2018 à jour, mais il… Lire la suite »
Hello Visio3,
Merci pour le retour d'expérience
Oui en effet quel que soit l'antivirus, ils ne sont pas infaillibles, seul l'utilisateur est la barrière ultime face à ces fenêtres intempestives et avoir les bons réflexes comme tu l'as fait
Bonjour Azamos
Je viens juste d'avoir une nouvelle "attaque" et immédiatement Bitdefender s'est réveillé :
Bon .….. j'ai fait un peu exprès
J'ai été cherché vers un endroit où il faut sortir "couvert" : Un site de téléchargement de films 
et hop une page infectée 
Pour info : le nombre de logiciels ayant détecté l'url comme étant infectieuse sur VirusTotal est passé à 6
Bonjour à tous
j'ai eu ce pb une seule fois, ma méthode : étant en ethernet, enlever le cable RJ pour couper net la connexion, Ctrl/Shift/Esc pour dégager les connexions internet "louches", redemarrer le PC, arrivé sur le bureau, remettre le cable RJ, REVÉRIFIER dans le gestionnaire des taches si tout est OK
pur moi, ça a fonctionné.……
BON WE
Didier
Salut Fred
je confirme.….…
et pour ceux que ça interesse : https://sospc.name/doute-piece-jointe-utilisez-virustotal-didier/
à tantot
Ha zut Didier, j'avais pas vu cet article parlant de VirusTotal.…
Bonjour, Merci pour le retour d'expérience. De mon côté Kaspersky Free avec l'extension Web pour Firefox bloque bien le site. Si j'ai le choix je prends la meilleure option, pourquoi je m'embêterai avec un antivirus modeste alors que d'autres sont globalement plus intéressants et pas forcément plus cher ? @tedg62 Mon interprétation de tes propos me laisse croire que tu dis en gros "Si les gens sont pas capable de comprendre un minimum le fonctionnement d'un ordinateur ne devrait pas s'en servir". C'est quand même excessif, d'une manière à présenter la chose : une personne qui n'a d'autre choix pour rester informée et… Lire la suite »
Bonjour Kiseki, Oui, c'est bien ça : nous ne sommes pas tous égaux devant un ordinateur. Ce serait l'idéal c'est sûr, mais c'est comme tout, chacun à ses propres limites et connaissance. Et puis on est tous passé par une phase d'apprentissage, de débutant complet dans nos premiers jours d'utilisation d'un ordinateur à un niveau plus élevé, chacun suivant ses besoins et investissement en atteignant un correspondant au final à ses propres besoins. Le but de cet article (et des autres mis en lien), c'est d'informer ceux qui ne savent pas, et que ceux qui savent en parle autour d'eux… Lire la suite »
non mais j'entend bien. mais parfois un minimum de bon sens, la vrai vie n'est pas un film. même dans d'autres domaine parfois je regarde un film et je dit "le scénario et tiré par les cheveux" heureusement qu'un hacker ne peut pas bloqué un PC via un simple popup, en plus selon le site fréquenter il faut bien se doutait que si il y avait ce genre de hack quelqu'un aurai prit les choses en main non ? c'est comme les popup qui te donne ton adresse ip… whaa bravo :D je pensait que seul hadopi en etait capable lol. je… Lire la suite »
Bonjour cher Azamos, Ce "problème " m'est arrivé plus d'une fois, et c'est surtout le cas en allant sur des sites comme Majax31.cc ( Christophe, si j'ai pas droit à citer, supprime-le ) ou des sites un peu…xx . Une voix me dit que " attention, votre pc est infecté, appeler de suite Microsoooft " ( oui avec accent). Je panique pas, il suffit simplement de faire CTRL ALT DEL ( gestionnaire des tâches ) et de fermer Firefox ou autre.… Des fois, ça marche pas, alors suffit de fermer son pc " à l'arrache ", c à d en poussant… Lire la suite »
bjr, désolé de le dire mais un pc reste un outils, exactement comme un bricoleurs du dimanche utilisé un outils sans savoir le faire est dangereux, bon en fait j'ai essayer d'être sympa dans mes propos mais en fait j'ai juste envie de dire qu'ils sont juste stupide ! ce n'est rien d'autre qu'un popup incessant ! j'arrive même a quitté sans fermé chrome en allant trés vite, bien évidemment avec un coucou en guise de pc c'est un peu plus compliqué. comment une simple page web pourrait réellement bloqué notre pc ? a part dans un film au scénario… Lire la suite »
Bonjour tedg62, Oui, comme tu le dis si bien en ayant un peu de connaissance et de raisonnement on comprend vite que tout cela n'est pas réaliste. Mais les faits sont là : une partie panique et appel le numéro, surtout quand au contraire de la page dont je parle ici elle n'est n'est pas refermable (en apparence tout du moins). Quand à la non-détection par les antivirus, sans dire de bêtise je pense, ils ont tous une extension de protection Web/navigateur (en tout cas c'est ce qu'ils annoncent). Après force est de constater ici qu'ils ne sont pas tous réactif.… Lire la suite »
salut azamos. bah maintenant je ne me prend plus la téte et utilise avira, en gratuit il a fallu faire une manipulation .reg sinon il faut installer des extensions donc pas certains a 100% que tous posséde cet outils. windows defender je ne pense pas par exemple reste l'anti pub, mais parfois certains sont bien conçu et arrive a passer au travers. maintenant il y a longtemps que je n'ai plus rencontrer ce popup, est-ce a cause des mes protections ? bonne question ? je n'ai plus reçu de plainte des mes proches mais une fois avoir était gentillement moqué… Lire la suite »
re tedg62,
La manip des .reg c'est pas à la porté de tous
Niveau d'Avira, il a une protection Web même dans sa version gratuite, je suppose limitée mais normalement suffisante face à ces fenêtres pop-up.
Bien vu le partage de l'information auprès de tes contacts, c'est la bonne façon de faire pour que cela n'arrive pas/plus à nos proches
oui c'est ce genre de site qui le propose :D et c'est cool, sinon installer une barre, car j'ai dit des bêtises, c'est une barre qu'il faut installer pour pouvoir avoir l'extensions (de souvenirs) moi j'ai mit le .reg