Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Logo de Softonic
Logo de Softonic.com


Softonic est un site de téléchargement utilisant un downloader pour prendre en charge les téléchargements. Aucune information n'est donnée sur le comportement de ce downloader. Les antivirus ne l'aime pas.

Softonic - Downloader
Softonic - Downloader:

Leurs liens de téléchargement sont suspects de contenir des informations cryptées. Exemples de liens (ici en cherchant à télécharger AhnLab V3 Internet Security) ! :

  • Lien de téléchargement " normal " de Softonic, téléchargeant systématiquement le téléchargeur de Softonic
    https://gsf-cf.softonic.com/766/528/eeb43411939a3e9de57a58860956ae0f08/file?SD_used=0&channel=WEB&fdh=no&id_file=
    72805&instance=softonic_fr&type=PROGRAM&Expires=1431326202&Key-Pair-Id=APKAJUA62FNWTI37JTGQ&Signature=
    SzILlC7kVVRh2zdxa9siu4PqcHZoaIla6yGRmD5wEQo8fWbU0dlEWZtbh~UzuNk7VF-eIdnT-tlNDPbuJkxnTg5PzouXLwswCHJGeZz08Gs07O~
    frNF6vj26DHTyYqmoi~TkeDQTiGAo58SfFKktnP7OgItiuED5ig-Wjvd87Zs_&filename=AhnLabV3InternetSecurity_8.0_Softonic.exe

  • Lien de téléchargement alternatif censé permettre un téléchargement direct depuis le site de l'éditeur du logiciel, avec message faisant peur ("depuis un serveur externe (disponibilité non garantie)"), contenant une foule d'informations cryptées, et qui, de manière mensongère, conduit à un serveur de Softonic et non pas un serveur externe dont la disponibilité n'est pas garantie (mais sans le téléchargeur, ce qui doit beaucoup les chagriner) !
    ahnlab-v3-internet-security.softonic.fr/download-tracker?th=1%2F6CH9aeXedl4L8u%2BBHNJXWTW%2BLP1LFlnGQpxqjlxAMaPiaKHQJ2gMTKJjBcJvk0HD
    SBkHGw0zISI2g5pWVpO%2F04KvuB%2BwSE4R2DdJqL4tR1MaOqeE3aHUC%2Bzs9%2F
    Ju7PQsv%2BlLh4gX7eyKHMMRtWcRcqwP0N%2BHhsb%2Bh
    mjajbVdvNXYIjL%2BhcWq9AVH3dP1%2B9T4KLlkt4%2FuZeVOIOl2swvEPtVyFKo4FJGei%2F
    jfW%2BKKkVOCASHlhKfTWZbwlzb9Dyt0U13wfoz5nYBznbR
    F6j61I2lvpZkjmJ0a9kQzOUp%2FTDjfLbIeYv4IFy2DEmbujU9jIeLYczzH5Ov7ESnr6nJVWOx
    RDxE6n0sTiVM6atrUHmZo2uOlbXmo%2BNr9SX4oX5zIiiOTuSE
    n9gOTiKDbDVj60VU83QRDIX%2ByuEa%2BQMsel3%2BOqteaYNTSsFJGC2o9h0OC99YXcS
    ItxMFpNprbOKjnAw6NVuQ5TDbTRuHTGiDQ02VwWybS3LZf
    NcBQp56xoO0PTDQcxJHuFS6vmTMNpJ4WCmNgCMEI%2BhatlcrVuksBfaS0VHElMEU%2B
    2gyAf%2FrZedbiMmsZJrz4W9usEl4Gj7qOpEWP%2FCChOhz
    h3%2FiIGWb5YbBPK6uQDdrr0lWHmW3Y22MCOebGFTgCwyCP4MNAS%2B95Fywa9duDHOCN%2FuA7d8lbo%3D

20.05.2014 - Analyse de Downloader de Softonic
Authenticode signature block
Copyright
Copyright (C) 2014

Publisher Softonic International
Product Softonic Downloader
Original name SoftonicDownloader.exe
Internal name Softonic Downloader
File version 1.40.7.0
Description Softonic Downloader

Compilation timestamp 2014-04-08 07:52:01

AntivirusRésultatMise à jour
Agnitum PUA.Softonic! 20140519
Baidu-International Adware.Win32.SoftonicDownloader.F 20140519
ESET-NOD32 a variant of Win32/SoftonicDownloader.F 20140519
F-Prot W32/Softonic.C.gen!Eldorado 20140520
Fortinet Riskware/Softonicdownloader 20140520
K7AntiVirus Unwanted-Program ( 0040f81d1 ) 20140519
K7GW Unwanted-Program ( 0040f81d1 ) 20140519
Malwarebytes PUP.Optional.Softonic.A 20140520
Rising PE:Malware.Obscure/Heur!1.9E03 20140519
TrendMicro-HouseCall TROJ_GEN.F47V0423 20140520
VIPRE Softonic Downloader (fs) 20140520
AVG 20140520
Ad-Aware 20140520
AhnLab-V3 20140519
AntiVir 20140520
Antiy-AVL 20140520
Avast 20140520
BitDefender 20140520
Bkav 20140517
ByteHero 20140227
CAT-QuickHeal 20140520
CMC 20140519
ClamAV 20140520
Commtouch 20140520
DrWeb 20140520
Emsisoft 20140520
F-Secure 20140519
GData 20140520
Ikarus 20140520
Jiangmin 20140520
Kaspersky 20140520
Kingsoft 20140520
McAfee 20140520
McAfee-GW-Edition 20140519
MicroWorld-eScan 20140520
Microsoft 20140520
NANO-Antivirus 20140520
Norman 20140520
Panda 20140519
Qihoo-360 20140520
SUPERAntiSpyware 20140519
Sophos 20140520
Symantec 20140520
Tencent 20140520
TheHacker 20140519
TotalDefense 20140519
TrendMicro 20140520
VBA32 20140519
ViRobot 20140520
nProtect 20140519

07 juillet 2014 - CERT du Carnegie Mellon University - Bundled Software and Attack Surface (avec mise en cause de Softonic) (Anglais)

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :



Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc.). Ce sont des sites de monétisation.

  • Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !

  • Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

Le gratuit, ça n'a pas de prix, mais ça a un coût :

     Si le produit est gratuit, c'est que vous êtes le produit.
     Si le service est gratuit, c'est que vous êtes le service.


D'autre part, ils offrent rarement, voire jamais, une procédure de téléchargement direct. Il est donc largement préférable de télécharger depuis l'éditeur originel de l'objet à télécharger que de passer par un site de téléchargement qui n'est qu'un intermédiaire (payé par les éditeurs commerciaux) et qui, souvent :

  • Demande une identification (et donc une capturent de données personnelles).
  • Demande une inscription à leur site (et donc une capturent de données personnelles).
  • Implante dans nos appareils un logiciel dit « téléchargeur » sous divers prétextes dont :
    • Vérifier le bon téléchargement (ce qui est totalement inutile puisque le protocole HTTPS, obligatoire universellement, s'en charge).
    • Accélérer le téléchargement.
  • Téléchargeur qui embarque on ne sait quoi d'autre, agissent en cheval de Troie.

Sous la pression de la migration des internautes vers les éditeurs eux-mêmes (ou les un ou deux sites de téléchargement transparents [honnêtes] ayant toujours proposé du direct), propose désormais un lien de téléchargement direct dont l'expression tarabiscotée de la fonction et l'emplacement sur leurs pages Web les rendent totalement invisibles ou incompréhensibles.



Il n’est pas dit que Softonic utilise (exploite) cette technique d’attaque (cette exploitation d’une faille de sécurité) appelée XSS – « Cross-Site Scripting », mais autant savoir qu’elle existe et comment s’en prémunir d’une manière générale. Il s'agit d'une attaque menée par d'innombrables sites Web du monde, dont tous ceux qui sont border-line (téléchargements de hack, crack, P2P, piratages, copyrights cassés, en dessous de la ceinture, etc.). C'est une attaque menée contre les navigateurs Web, dont celui que vous utilisez. Mais une astuce existe :

Lire notre article : Qu'est-ce que l'attaque XSS ?

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :



  1. Lorsqu'il s'agit de télécharger un logiciel, toujours rechercher ce téléchargement sur/depuis le site officiel de l'auteur/éditeur de ce logiciel et nulle part ailleurs.

  2. Lorsque vous croyez avoir téléchargé un code exécutable (application, programme, utilitaire, script...), même après l'avoir fait analyser par un ou plusieurs antivirus monomoteurs gratuits en ligne ou un antivirus multimoteur gratuit en ligne, regardez (dans l'explorateur de Windows propriétés du fichier téléchargé) la taille de ce fichier avant d'en lancer l'exécution. Un antivirus, par exemple, pèse au minimum 40 à 100 MO (méga-octets). Si votre téléchargement ne pèse qu'environ 1 à 2 MO, ce que vous avez téléchargé n'est qu'un téléchargeur (downloader), en aucun cas ce qui est recherché.

  3. Téléchargements depuis Assiste.com. Ne passez jamais par un intermédiaire. Tous les téléchargements, sur Assiste.com, pointent vers les sites des éditeurs originaux ou les miroirs officiels indiqués par les éditeurs. Lorsque les téléchargements de logiciels qui retiennent notre attention ne sont officiellement disponibles que sur des sites aux pratiques suspectes, ou ne sont pas/plus disponibles, nous assurons nous-mêmes un miroir propre (téléchargement depuis Assiste.com).



  • Softonic - Site de téléchargement