Spécial sécurité : fraude au clic Google, on ne facture qu’aux riches

Nos confrère de CNIS Mag reviennent sur les problèmes cumulés par Google depuis le début de l’année : fraude au clic, feuilleton chinois, le moteur de recherche est au cœur de remous sécuritaires.

Sommaire :

Fraude au clic Google, on ne facture qu’aux riches

Et pour changer, un ZDE Microsoft

Breizh Entropy Congress : hacker en breton

Piratage Google : épilogue toujours…

 

Fraude au clic Google, on ne facture qu’aux riches

Ben Edelman publie, une fois de plus, une savoureuse  analyse de fraude à la réclame. Un scénario qui, cette fois, plonge directement ses racines dans le portefeuille des marchands en ligne qui ont fait confiance à la publicité Google.

Le coup des « automates à cliquer » qui font grimper en flèche les « hits » des publicités, çà eut payé. Mais çà paye plus. Car lorsque le taux de lecture perçu est disproportionné par rapport aux ventes sensées être générées par la publicité, l’on se doute bien qu’il y a fraude. Du coup, ne sont facturées au NetBoutiquier que les hits qui lui ont spécifiquement rapporté un véritable client.

Mais voilà, nous apprend Ben Edelman, que des spécialistes de l’escroquerie publicitaire ont trouvé une parade : il faut d’abord mettre en œuvre une longue chaine d’intermédiaires destinés à masquer l’origine de l’attaque. En bout de chaine, il suffit que la « publicité incitatrice » soit proposée à l’internaute au moment même où celui-ci pénètre sur le site marchand. En d’autres termes, c’est lorsqu’un acheteur décide d’acheter un bien dans telle ou telle vitrine située sur la toile, qu’une page Web incitatrice bondit sur le navigateur du chaland qui passe *. Comme ladite page semble provenir du site que l’acheteur en puissance est en train de visiter, cela n’attire aucune suspicion. Et puisque cette publicité a bel et bien été lue par un internaute, et que ce dernier a réellement acheté un bien, il est donc légitime que le marchand abandonne quelques menues monnaies au passage en rétribution du service rendu. Ce qui pourrait froisser le marchand, c’est que la publicité en question n’a à aucun moment joué dans la décision d’achat du client, et que publicité ou pas, la vente aurait été conclue.

Voilà pour la version courte, celle qui explique comment un cybermarchand est contraint de payer une publicité Google pour chaque client entrant dans son propre magasin. Mais la version longue donne plus de détails, et explique par quel miracle (et quelle infection de spyware) ledit internaute client en arrive à déclencher une chaine de 10 redirections successives et aussi transparentes les unes que les autres. Le tout sans voir ou cliquer sur la moindre publicité. La solution, explique Edelman, serait que Google cesse toute relation avec InfoSpace, la cheville ouvrière de tout ce montage, et que l’argent indument détourné soit reversé aux cybermarchands. Un remboursement qui sera probablement plus difficile à obtenir de la part de Google qu’un sursaut de conscience face à une censure asiatique.

NdlC Note de la Correctrice *« Au fil de l'eau point deee selments, Ceeeeeee n'est que sul telleu qu'on ment ! » chantait Lys Gauty en roulant les « R ».


Et pour changer, un ZDE Microsoft

Les mauvaises langues diront qu’il y a là un certain parfum de vengeance… Tavis Ormandy, sur le « Full Disclo », signale l’existence d’une faille dans le support 16 bits de Windows NT. Un trou qui remonte à la haute époque de Windows NT 3.10 (le tout premier du nom). Pour information, Tavis Ormandy est Information Security Engineer chez Google. Vous avez dit bizarre ? Comme c’est étrange ! Sa découverte aurait fait l’objet d’une première signalisation fin juin 2009 et serait demeurée sans correction depuis… Ce qui aurait motivé la publication spontanée de ce PoC à piquer sur l’une des ressources de l’auteur. Ah, si tout le réseau Google avait utilisé Chrome et Chrome OS…

La parade est simple, explique Sylvain Sarmejeanne sur le blog du Cert Lexsi, puisqu’il s’agit de désactiver le sous-système 16 bits. Une astuce également signalée par l’inventeur de la faille et l’équipe technique de Microsoft au fil d’une alerte publiée le 20 du mois. Les noyaux 64 bits, précise l’éditeur, ne seraient pas concernés. Toujours dans ce même communiqué, l’on peut lire la description pas à pas d’une modification de la ruche supprimant les exécutions en mode 16 bits. Voilà qui risque de poser quelques problème à d’antiques applications héritées de la période « Nantucket Clipper » et autres vieilleries, qui n’ont plus de possibilité de survie que dans le cadre étroit et ralenti d’une machine virtuelle sous Hyper-V ou Virtual PC.


 Breizh Entropy Congress : hacker en breton

La région de Rennes est une terre propice à l’inventivité et au « pure hack ». Si tout le monde a au moins entendu parler des SSTIC, plus rares sont ceux qui connaissent l’existence du BEC, ou Breizh Entropy Congress qui se déroulera du 15 au 17 avril prochain sur le campus de Beaulieu et/ou au Jardin Moderne (lieux à confirmer). Toute proposition de communication est à envoyer à cfp @ breizh-entropy . org, en Français et Anglais si possible.

Qu’est-ce que BEC ? Un creuset d’idées dans le droit fil de ce qu’est le Hacker’s Festival de Paris, une série de conférences, d’exposés, de démonstrations, de partages d’expériences personnelles ou collectives, toutes inspirées par l’esprit du « libre » et de la recherche. L’on y parlera bien sûr de développement Open Source, mais également d’Open Hardware, notamment dans le domaine des radios logicielles (ou SDR), des « imprimantes-outils » tridimensionnelles (rep-rap), des interfaces et protocoles de liaison entre ordinateurs et appareils libres etc.

Les champs de recherche logicielle sont, quant à eux, plus classiques : pentesting, I.A. et réseaux neuronaux, outils de traitement graphique et audio temps réel (avec très probablement la présentation d’une plateforme spécifique étonnante à base de FPGA…). D’autres thèmes plus généraux seront consacrés à l’art, aux libertés individuelles, au développement de ces visions alternatives, sujets déjà longuement débattus dans le cadre des rencontres faites au sein des hackerspaces européens.
L’entrée sera libre et gratuite, les frais d’hébergement et de restauration étant assurés par les participants.


Piratage Google : épilogue toujours…


Il va sortir… il est sur le point de sortir… Il sort ! Il, c’est le correctif « out of band » que nous annonce en grandes pompes et sans surprise Microsoft, par le truchement d’une note sur le blog du MSRC et d’une notification de rustines hors calendrier.

L’on sait que cette faille est activement exploitée, que les exploits sont publiquement et officiellement disponibles dans le monde entier (France mise à part, où ce genre d’outil est interdit et où les pires truands respectent la Lopsi). Il sera intéressant de noter la vitesse à laquelle les grands comptes appliqueront ce correctif. Souhaitons leur une transmission synaptique plus rapide qu’avant l’attaque Conficker. Tant dans le secteur privé que du côté de la Royale.

Deux experts Français publient –enfin !- leurs avis sur Aurora : Cedric « Sid » Blancher et  Nicolas « Newsoft » Ruff. Tous deux, d’ailleurs, parmi milles propos forts sages, font remarquer la subtile différence sémiologique qui existe entre l’expression « interdire l’usage d’Internet Explorer» et « utiliser momentanément un navigateur alternatif ». Si l’on exclut quelques « power users », geeks, spécialistes du close-combat binaire et experts en programmation humaine multicouche-multithread-multiusages, l’usage d’un logiciel alternatif se traduit généralement par l’abandon du logiciel originel. En informatique grand public, les habitudes sont généralement très tranchées : c’est fromage OU dessert, et les litotes des uns ne peuvent se traduire par un respect à la lettre desdites recommandations.
Fort heureusement, seuls les « power users », geeks, spécialistes du close-combat binaire et experts en programmation humaine multicouche-multithread-multiusages lisent et comprennent les avis du CertA.

NewS0ft fait également remarquer que l’attaque Aurora contre Google est plus probablement le fait d’un « insider » Pékinois que d’un Skud viral. En d’autres termes, le virus est arrivé à pied par la Chine et non via le câble ou la fibre. Si la chose est fortement probable pour ce qui concerne Google, elle ne l’est nettement moins à propos des autres entreprises –dont Adobe et Juniper- qui auraient été frappées du même mal. Les membres de l’Avert reviennent eux aussi sur le sujet en analysant le code d’Aurora : un programme longuement mûri, et dont la diffusion dépend d’une coordination digne des précédentes cyberattaques Chinoises telles que Titan Rain.

L’on pourrait donc ajouter un « Fail #5 » à l’article de News0ft : l’incapacité des principales sources d’information (les Cert, Sans, laboratoires privés etc) de n’avoir pas clairement su différencier deux informations distinctes : d’un côté la volonté de Google de sur-médiatiser une attaque pour mieux masquer un désengagement de Chine, et d’autre part une véritable opération de guerre numérique « non orchestrée » par un gouvernement qui « ne possède aucun pouvoir » pour limiter l’agissement d’éléments isolés et incontrôlables. Il faut croire que certaines clarifications n’étaient pas forcément appréciées par tout le monde. A la simple lecture des dénégations du Gouvernement Chinois, les spécialistes américains qui ont mis en place une grande partie des outils de traçage et de censure du réseau « .cn » ont dû s’étouffer dans leur barbe.

 

Pour approfondir sur Menaces, Ransomwares, DDoS