Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Rogue (informatique)

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
08.07.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mises à jour mineure

Rogue - Faux logiciels, trompeurs, constituant des escroqueries financières.

RogueRogue (informatique)Rogue

En informatique, un Rogue (de l'anglais « rogue » qui signifie « fripouille », « canaille », « sans scrupules », « indésirable ») est un logiciel commercial (payant) vendu, en trompant l'acheteur, par un éditeur sans aucun scrupule. Il s'agit de se faire de fric rapidement en trompant le maximum de personnes, le plus vite possible, tout en étant planqué dans un paradis où il est impossible de poursuivre, juridiquement, le cybercriminel.

Un Rogue est un faux logiciel de sécurité, d'une manière ou d'une autre (vol d'un logiciel existant, vol de bases de signatures, imitation de l'interface graphique, commercialisation de versions normalement gratuites de logiciels, coquille vide, etc. ...)

Si le terme Rogue, en informatique, peut s'appliquer à toutes les formes de logiciels crapuleux, c'est essentiellement dans le domaine des logiciels de sécurité informatique, domaine où, à cause de la technicité du métier, l'utilisateur normal n'a aucun moyen de vérifier quoi que ce soit, que le Rogues sévicent, par milliers, faisant des dizaines de millions de victimes. Voir, par exemple, l'article sur l'argent que rapporte un rogue.

Durant le premier semestre 2010, CA (Computer Associates) a fait des statistiques sur les découvertes de nouvelles menaces par ses antivirus. Les Rogues sont les premières plus nombreuses menaces découverts. Remarquez que les (vrais) virus n'existent quasiment plus.

Rogues (Rogue Security Softwares)
Rogues (Rogue Security Softwares)

Rogue - L'arrivée dans l'ordinateur de la victimeRogue première étape - L'arrivée du Rogue dans l'ordinateur de la victimeRogue - L'arrivée dans l'ordinateur de la victime

Dans un premier temps, le logiciel trompeur pénètre l'ordinateur de la victime par un moyen ou par un autre. Quelques unes des méthodes utilisées pour faire entrer un Rogue (Rogue Security Products) dans un ordinateur :

D'une manière générale, comment un Rogue, un Fake, un Scareware, un Crapware, une Barre d'outils, un PUP, etc. ... arrive à pénétrer mon ordinateur.

  • La malveillance peut avoir été téléchargée et installée par l'utilisateur lui-même car il l'a trouvé sur un site Internet après une recherche et a été convaincu par la présentation du produit. Les cybercriminels sont de bons informaticiens et savent obtenir une bonne indexation dans les moteurs de recherche. Des milliers de sites se font la guerre pour capturer les recherches et inciter les visiteurs à télécharger et installer leurs crapuleries.
  • L'utilisateur peut avoir cédé à la persuasion d'une Publicité trompeuse ou mensongère lui faisant croire qu'une faille de sécurité ou une malveillance, etc. ... a été détectée et qu'il convient de la corriger ou de poursuivre par une analyse complète de l'ordinateur, etc. ... L'internaute clique sur la publicité et installe, à son insu, la ou les malveillances. Lire et regarder les images de cet exemple d'une publicité trompeuse.
  • L'utilisateur peut avoir cédé à la persuasion d'une Publicité trompeuse ou mensongère lui faisant croire qu'une mise à jour d'un composant logiciel est disponible et qu'il est urgent de l'appliquer tout de suite. L'internaute clique sur la publicité et installe, à son insu, la ou les malveillances. Lire et regarder les images de cet exemple d'une publicité trompeuse. Typiquement :

    • Pseudo (fausse) mise à jour de la technologie Java
    • Pseudo (fausse) mise à jour de la technologie Flash (Flash Player, Shockwave Flash)
    • Pseudo (fausse) mise à jour de la technologie SilverLight
    • Pseudo (fausse) mise à jour de sécurité de Windows
    • Pseudo (fausse) mise à jour des navigateurs Internet (fausses mises à jour de Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...)
    • Pseudo (fausse) mise à jour de VLC
    • Pseudo (fausse) mise à jour d'Adobe Acrobat
    • Etc. ... avec, comme seule limite, celle de l'imagination (qui est illimitée)
  • L'utilisateur peut être victime de l'exploitation d'une faille de sécurité qui permet, par une action appelée « Drive-by Download », de télécharger et d'implanter une ou des malveillances. La recherche de failles de sécurité dans votre ordinateur à lieu :

    • En consultant des sites hackés à l'insu de leurs webmasters. Un cybercriminel à trouvé une faille de sécurité sur le serveur d'un site et, depuis, toutes les pages de ce site contiennent des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'installer le Rogue.
    • En consultant des sites à contenus particuliers (pornographie, piraterie, hacking, cracking, etc. ...) développés spécialement par les cybercriminels pour attirer de nombreux visiteurs et les piéger. La moitié de la navigation sur le Web concerne ces contenus particuliers. Chaque page de ces sites contient des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'y pénétrer.
    • En étant analysé par un scanner de recherches de failles de sécurité. Sans pare-feu, vous avez moins de 4 minutes pour survivre.
    • Historiquement, les « Drive-by Download » ont énormément sévi grâce à des « Contrôles ActiveX » dans des pages piégées de sites Internet que vous visitez, mais c'est moins vrais depuis que Microsoft a pris conscience de la capacité de nuisance de sa technologie et a introduit tout un arsenal de certificats. Toutefois, désactivez « ActiveX ».

    Un site Internet sur 62 (selon une étude de 2006 dont la trace a disparue) est piégé. Ce taux de sites piégés semble en très nette augmentation depuis. Selon les statistiques de NetCraft, il y aurait, en mars 2015, 878 346 052 domaines (sites) dont 178 164 215 seraient réellement actifs (ces nombres ne tiennent pas compte des centaines de millions de sites existant en sous-domaine (typiquement, les hébergements gratuits de sites personnels).
    • Sites populaires développés spécialement pour piéger les visiteurs
    • Sites hackés à l'insu de leurs webmasters
  • Il a existé une exploitation d'une faille de sécurité de « Microsoft Internet Explorer » dans les « IFRAME » - Cette faille est corrigée. Mettez-vous toujours à jour avec « Windows Update » (le mécanisme Microsoft de mise à jour de Windows) (et n'utilisez jamais « Internet Explorer » mais « Firefox »).
  • Exploitation d'une vulnérabilité de la « Machine virtuelle JAVA » de Sun (Oracle). Cette technologie est indispensable et est partout, mais c'est une usine à gaz. Des failles de sécurité y sont découvertes sans cesse et corrigées immédiatement. Toujours appliquer immédiatement les « Mise à jour de Java » (ou, mieux, cliquez une à deux fois par jour sur Vérification et mise à jour de tous les plugins dans tous les navigateurs). Toujours installer Secunia PSI pour être alerté rapidement des évènements corrigeant des failles dans tous les composants logiciels installés.
  • Installeur piégé par Repack (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares). C'est l'internaute lui-même qui, en ne décochant pas quelques cases de l'installeur, choisi d'installer la malveillance.
  • Installeur piégé par Sponsoring (tactique de monétisation par les développeurs, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares). C'est l'internaute lui-même qui, en ne décochant pas quelques cases de l'installeur, choisi d'installer la malveillance.
  • Downloader (utilitaire de téléchargement inutile et imposé) piégé (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables Rogues, Fakes et Scarewares).
  • Cheval de Troie (logiciel, légitime (ou non - par exemple, logiciel qui prétend être obligatoire pour lire un document média à contenu particulier, comme une vidéo pornographique, etc. ..., localement ou en ligne) embarquant d'innombrables Rogues, Fakes et Scarewares).
  • Spam avec Ingénierie sociale dans le corps du message, arrivant à convaincre ou tromper l'internaute.
  • Spam avec pièce jointe piégée dont l'ouverture provoque l'implantation d'un parasite. Cette technique est exploitée par d'innombrables Rogues, Fakes et Scarewares. De véritables familles de parasites furieux et particulièrement hargneux, comme ZLob, Vundo, Virtumonde, VirtuMundo, etc. ... sont développés, particulièrement difficiles à éradiquer.
  • Par canaux IRC
  • Par Peer to Peer (P2P)
  • Par « Codec » piégés. La quasi totalité des « Codecs », exceptés ceux sur les sites officiels, sont des pièges.
  • Etc. ...

Dans tous les cas, le Rogue, le Fake ou le Scareware est installé et son lancement est automatisé par inscription dans la liste de démarrage de Windows, ou la modification du comportement du suffixe .exe dans le Registre Windows, ou la modification des raccourcis de lancement des applications, etc. ... Toutes ces modifications de vos réglages sont appelées des Hijack.

Rogue - L'arrivée dans l'ordinateur de la victimeRogue deuxième étape - L'analyse fictive du Rogue doit faire peur à la victimeRogue - L'arrivée dans l'ordinateur de la victime

Dans un second temps, le Rogue, inscrit dans la liste de démarrage de Windows, se lance systématiquement.

Le Rogue trompe l'internaute en affichant des résultats d'analyse trompeurs, totalement imaginaires et fictifs, dans le domaine dans lequel il prétend agir. Exemple de classe revendiquée :

  • Antivirus
  • Anti-adwares
  • Anti-malwares
  • Anti-barres d'outils
  • Recherches d'erreurs dans le Registre Windows
  • Recherches de fichiers inutiles et/ou temporaires à détruire pour gagner de la place
  • Recherches de failles de sécurité
  • Effacement des traces de données privées
  • Etc. ...

Une pseudo analyse, à base de simple image animée, ou utilisant l'interface graphique du Rogue, affiche quelque chose de trompeur dans l'esprit de cette animation.

Démarche typique d'un rogue de type Scareware tentant de vous vendre son escroquerie
Démarche typique d'un rogue de type Scareware tentant de vous vendre son escroquerie

Rogue - L'arrivée dans l'ordinateur de la victimeRogue troisième étape - Faire passer la victime à l'acte d'achatRogue - L'arrivée dans l'ordinateur de la victime

Maintenant que l'utilisateur, qui n'y connaît strictement rien et pense, en toute confiance, que le Web et un outil fantastique qui lui rend des services, est inquiet, a peur, voire est totalement affolé, le Rogue l'invite à cliquer sur un bouton ou un lien pour passer de la phase de détection à la phase de suppression des pseudos menaces ou de correction des pseudos erreurs, etc. ... Le Rogue affiche alors l'invitation à acquérir la version complète (la clé de licence) du Rogue afin de décontaminer / réparer immédiatement son ordinateur, le tout entouré de messages alarmants.

L'internaute, effrayé, paye et, en trois coups de cuillère à pot, le Rogue efface toutes ses élucubrations et ne trouve plus aucune menace. Il est probable, en plus, que, si vous installez une véritable menace, il ne la verra jamais car le Rogue est une coquille vide ou, parfois, un faux logiciel (copie pirate d'un vieux logiciel périmé, abandonné, ou volé (code et bases de signatures), dont la charte graphique a été légèrement modifiée pour ne pas être immédiatement reconnu, appartenant à une classe de malveillances appelées Fake).

L'internaute vient de se faire avoir par un cynercriminel et, simultanément, l'internaute vient de donner ses identifiants de paiement en ligne à un cybercriminel.

Rogue - L'arrivée dans l'ordinateur de la victimeFabrications de Rogue - Voler le travail des autres, ou faire semblant, ou développer réellement un RogueRogue - L'arrivée dans l'ordinateur de la victime

  1. Voler le travail des autres : les Fakes

    La fabrication du logiciel trompeur (Rogue) peut être une copie volée d'un logiciel légitime dont l'apparence (mise en page de son affichage, charte graphique, charte des couleurs, etc. ...) est changée pour le présenter comme un nouveau logiciel. Une violente campagne de spam ou d'insertions publicitaires pousse à des ventes massives d'un logiciel qui n'a rien coûté en développement et se sera jamais maintenu. Ces faux logiciels, crapuleux (Rogue), appartenant à une sous classe dee malveillances de type Rogue, appelées Fake.

  2. Faire semblant : les coquilles vides

    La fabrication du logiciel trompeur (Rogue) peut être une coquille vide faisant semblant de faire une analyse d'un ordinateur et affichant des alertes imaginaires affolantes, provoquant, chez le gogo, l'achat compulsif de la version complète pour éliminer les pseudos problèmes. La version " complète " fait alors semblant d'analyser l'ordinateur sans plus trouver les alertes imaginaires affolantes, laissant croire qu'il a fait quelque chose. Ce sous-type de Rogue, faisant peur, est appelé " scareware ".

  3. Développer de toutes pièces un Rogue

    Un archétype des scarewares est donné avec l'analyse approfondie de Simplitec Power Suite (avec indication des solutions et des fonctions natives de Windows, gratuites, auxquelles le scareware Simplitec Power Suite tente de se substituer, en vous faisant peur, et pour un coût exorbitant renouvelable tous les ans par abonnement automatique ! Les logiciels Simplitec ont été développés de toute pièce et leur vente repose sur la peur (ce sont des scarewares)..

Rogue - L'arrivée dans l'ordinateur de la victimeL'argent que rapportent les RoguesRogue - L'arrivée dans l'ordinateur de la victime

Il est rare d'attraper les éditeurs de Rogues qui savent parfaitement se dissimuler sur le Web, voire résident et / ou font résider leurs serveurs dans des zones totalement hors des circuits policiers et judiciaires quelconques, par exemple sur une île du Pacifique, etc. ... Le cas de la clique Winfixer (ErrorSafe), totalement analysé dans notre article " Winfixer ", donne une idée du nombre de victimes touchées par un Rogue et de l'argent que rapporte un Rogue :

La FTC (Federal Trade Commission) estime à 1.000.000 (un million) de clients trompés par les crapwares et scarewares de cette clique, dont WinFixer, WinAntivirus, DriveCleaner, ErrorSafe, et XP Antivirus, ce qui représente un revenu d'environ 40 millions d'US$ par an (puisque le principe est celui d'un abonnement annuel), le produit étant annoncé à environ 40 US$ mais la facturation étant arbitrairement de 60 US$ sous prétexte d'un second produit livré en bundle et d'autres explications incompréhensibles. La FTC (Federal Trade Commission) estime le revenu total de cette mafia à 163 millions US$.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

  • Contre-mesures préventives (Avant, pour empêcher que cela n'arrive)

    En amont, avant de vous faire avoir, il n'y a normalement besoin d'aucun outil. Il y a besoin de votre seul bon sens.

    • On ne clique pas n'importe où.
    • On décoche les cases des inutilitaires qui tentent de s'installer en même temps (en Bundle) que vous installez un logiciel.
    • On se méfie de tout ce qui prétend améliorer, accélérer, réorganiser, optimiser, compresser, défragmenter, nettoyer et tout autre bidule au mieux inutiles, au pire dangereux, voire destructeurs. On regarde si ce n'est pas présent dans la Crapthèque (liste de logiciels crapuleux).
    • Un virus bien connu est souvent la cause de l'arrivée d'un PUP dans un ordinateur.

    Pour vous aider, toujours en amont, et empêcher ces escroqueries de pénétrer dans votre machine :

    • Bloquez complètement la totalité des mécanismes publicitaires - ils servent de vecteurs de diverses formes d'attaques
    • Installez Unchecky.
    • N'ouvrez jamais aucune pièce jointe d'un e-Mail, même d'un interlocuteur connu (enregistrez la pièce jointe, puis faites-la analyser avec VirusTotal ou VT Hash Check, et seulement enfin, si tout va bien (et encore...), vous pouvez l'ouvrir.
    • Méfiez-vous de TOUS les codecs (presque tous sont piégés) et de TOUS les lecteurs de média (presque tous sont piégés sauf VLC). En particulier, les lecteurs de média prétendument spécifiques que l'on vous oblige à installer pour lire des documents média à contenus spécifiques, tels que les vidéo pornographiques, etc. ..., sont tous des pièges. A ce stade, l'extension de fichier n'a plus aucune signification et un fichier .avi pour lequel on vous oblige à utiliser un lecteur spécifique, sera un programme malveillant exécuté et non pas un document média lu. Vous pouvez d'ailleurs utiliser TrID pour vérifier, AVANT de l'ouvrir, quel est le type réel d'un fichier, sans tenir compte de son extension. Une fois ces chevaux de Troie introduits, ils lâchent leurs charges actives qui prennent en charge, silencieusement, le transport et l'installation de logiciels non sollicités dont les Rogue et les Fake.
    • Ayez un excellent antivirus en version complète (fonctionnant en temps réel). En particulier, les antivirus n'aiment pas du tout les Fake antivirus et Fake antispywares qui détournent leurs clients. Ils les détectent très bien.
    • Utilisez la version professionnelle de Malwarebytes anti-malware, en accompagnement (pas en remplacement !) de votre vigilance.
    • Respectez les recommandations du SafeCex - Safe Computer Exploitation
    • Activez l'antivirus PEBCAK
    • Ayez une machine toujours à jour, en particulier par application des derniers correctifs connus aux failles de sécurité.
    • Accessoirement, utilisez MalwareDomains.
  • Contre-mesures curatives (Après, pour réparer, lorsque c'est arrivé)

    Lorsque qu’une malveillances (un crapware ou scareware ou rogue ou fake, etc. ...) c'est installée, il est généralement impossible de la désinstaller par les voies normales. L'escroquerie s'accroche, gène le fonctionnement de votre ordinateur jusqu'à vous pousser à bout de nerfs et vous faire acheter la pseudo " version complète " de l'escroquerie qui va enfin cesser de vous importuner. C'est assez proche d'une demande de rançon !

    Décontaminez :
    Utiliser la procédure de décontamination anti-malwares qui contient, entre autre, l'exécution de :

    Cherchez ce qui c'est passé en amont et prenez les précautions nécessaires pour ce qui risque de se passer en aval :
    Safe Attitude - Agir dans 3 directions

  • Risque juridique du propriétaire d'une machine mal protégée

    Vous courrez un risque juridique de condamnation pour complicité passive si votre machine, mal protégée et / ou mal mise à jour, est pénétrée par un cybercriminel et est utilisée pour lancer des attaques.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "