Assiste.com
cr 01.01.1999 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Logiciels (logithèque) |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
VirusTotal le déclare en toutes lettres :
"Nous sommes évidemment intéressés par les logiciels malveillants. Si vous tombez sur un lien de téléchargement d'un fichier malveillant, n'hésitez pas à le faire analyser avec VTZilla pour Firefox, VTexplorer pour Internet Explorer ou VTchromizer pour Google Chrome. En outre, grâce aux outils d'analyses d'URL de VirusTotal, nous espérons que les utilisateurs seront prêts à nous envoyer des URL de sites de phishing et d'autres URL de sites liés à des fraudes et autres cybercriminalités. Pourquoi ? Parce que, si tout va bien, ces sites finiront par être identifiés par les outils d'analyse d'URL intégrés dans VirusTotal et amélioreront leur efficacité, et, par conséquent, la protection de l'utilisateur final."
VirusTotal Extension simplifie le processus d'analyse des ressources numériques sur le Web par les plus de 65 antivirus de VirusTotal.
VT4Browsers est un module additionnel aux navigateurs Web Firefox, Google Chrome et Internet Explorer, écrit par VirusTotal, qui permet, en deux clics, de demander à VirusTotal, avant de télécharger un fichier :
Quelle est la réputation du site à partir duquel le fichier est proposé au téléchargement - plus de 60 outils de Web-Réputation sont sollicités
Quelle est l'analyse antivirus du fichier que l'on envisage de télécharger - plus de 60 antivirus sont sollicités.
VT4Browsers s'implante dans la boîte de dialogue de téléchargement de Firefox, Google Chrome ou Internet Explorer et ajoute une simple option : « Analyser avec VirusTotal » (le bouton ).
Boites de dialogue de Firefox modifiées par VTZilla :
VTZilla donne un accès direct et permanent à VirusTotal pour le navigateur Firefox. C'est le premier module de ce type développé par VirusTotal et le plus simple.
VTZilla ne peut être porté sous les autres navigateurs à cause de certaines limitations de ces navigateurs dans l'accueil des extensions : interdiction de faire des ajustements dans les boîtes de dialogue, dont dans celles de téléchargement (qui comportent l'option folle d'exécution immédiate). Toutefois, VTZilla étant une extension tellement importante, tellement indispensable, des versions spécifiques ont été développées pour Internet Explorer et Google Chrome.
VTZilla est différent de VT Hash Check.
VTZilla est une extension du navigateur Firefox qui simplifie le processus d'analyse des ressources numériques sur l'Internet avec VirusTotal. VTZilla vous permet d'analyser les liens (y compris les cibles des liens vers des fichiers) directement avec l'application Web VirusTotal. VTZilla va permettre, d'un clic, de :
VTZilla s'intègre totalement dans :
Étant sous le navigateur Firefox, télécharger VTZilla .
Acceptez la demande de confirmation de Firefox - Un redémarrage de Firefox sera nécessaire à la fin de l'installation.
Désormais, vous pouvez faire un clic droit sur un lien de téléchargement et une option nouvelle apparaît dans le menu contextuel : " Scan with VirusTotal ". Faites désormais un clic sur cette option AVANT de télécharger un fichier. Vous serez dirigé sur le site de VirusTotal qui fera deux choses :
|
Depuis des années, depuis nos toutes premières pages de sécurité informatique, qui ont commencé en 1997, Assiste (qui ne s'appelait pas Assiste à l'époque) vous recommande de ne jamais ouvrir (exécuter, lire...) un fichier avant de l'avoir fait analyser par votre antivirus.
En 2004 apparaît publiquement le tout premier service d'agrégation de scanners antivirus, appelé VirusTotal. Il est développé par Julio Canto, au sein d'une société espagnole de sécurité informatique, Hispasec (Hispasec Sistemas). Aujourd'hui, c'est environ 60 antivirus qui sont mis en œuvre simultanément.
Rapidement, nous vous recommandons de soumettre vos fichiers téléchargés à ce service d'analyses multiantivirus avant de les ouvrir, quelle que soit la nature de ces fichiers, exécutables ou non (liste de types de fichiers potentiellement dangereux, dont il faut se méfier et qui doivent toujours être analysés).
L'intérêt des services multiantivirus est double :
Mais, jusque là, et dans tous les cas, il était nécessaire de :
Cela faisait beaucoup de temps perdu et d'utilisation inutile de la bande passante de la connexion Internet si, finalement, le fichier était piégé et vous n'en aviez donc pas besoin.
Puis, VirusTotal a introduit la possibilité, non plus de seulement désigner, dans l'ordinateur de l'utilisateur, le fichier à analyser, mais de le désigner par son URL de téléchargement sur le WEB, donc de l'analyser depuis le serveur de celui qui le propose en téléchargement, avant de le télécharger.
C'est mieux, mais ceci nécessite encore de copier le lien, d'aller sur le site de VirusTotal, de coller le lien et de lancer la demande d'analyse.
Des outils autour de VirusTotal sont alors apparus :
Pour des raisons assez obscures et profondément suspectes, Internet Explorer et Google Chrome :
Google, qui s'est approprié Chrome et a racheté le service VirusTotal le 07 septembre 2012, n'a toujours pas développé les APIs nécessaires aux ajustements des boîtes de dialogue, dont celle de téléchargement (vérifié le 22.11.2014, soit plus de deux ans après le rachat de VirusTotal).
|
Après installation de ce module additionnel, lorsque l'on fait un clic droit sur un lien de téléchargement, dans le navigateur Firefox, (ou sur tout autre lien, d'ailleurs), une nouvelle option apparaît dans le menu contextuel, toute simple : " Scan with VirusTotal ".
Si vous avez oublié de faire un clic droit, mais avez cliqué sur le lien lançant le téléchargement, la boîte de dialogue habituelle de téléchargement, dans Firefox, apparaît et comporte un nouveau bouton ! On est donc toujours dans l'accès à l'analyse par VirusTotal en 2 clics !
Même quelqu'un de totalement allergique à la langue de Shakespeare comprend.
Désormais, il est devenu très simple d'analyser un objet AVANT de le télécharger.
Note : VTZilla installe également une petite barre d'outils permettant de faire :
Comme cette barre d'outils n'est pas forcément utilisée en permanence et comme elle ne peut être déplacée pour être mise à côté d'autres barres de menu ou d'outils, on peut la masquer pour récupérer sa hauteur en zone d'affichage (clic droit dans la barre de menu et décocher « VirusTotal ToolBar »). Utilisez le lien suivant pour accéder aux outils gratuits en ligne de Web réputation - ceux au panel de VirusTotal et bien d'autres :
Tous les outils gratuits, en ligne, de Web Réputation (sites de confiance)
|
Limites de VirusTotal :
VirusTotal étant un vaste ensemble de services gratuits en ligne, il y a une limite à la taille des fichiers qui peuvent être envoyés à l'analyse : maximum de 64 MO sans disposer d'une clé API de VirusTotal (128 MO si on est identifié chez VirusTotal et que l'on dispose d'une clé API, gratuite et délivrée immédiatement ici). Donc il n'y a pas, dans la base de données de VirusTotal, de résultat d'analyse de fichiers de plus de 128 MO (un service de même nature, MetaDefender Cloud, a une limite à 140 MO).
Clé de l'API VirusTotal (VirusTotal API Key) :
Lorsque VirusTotal n'a pas encore analysé un contenu (il ne le connait pas, il n'y a pas de résultat d'analyse dans sa base de données), VT Hash Check permet de lancer l'envoie (l'upload) du fichier sur le serveur de VirusTotal pour analyse. Cette fonction de VT Hash Check utilise une API de VirusTotal pour laquelle vous devez, préalablement, disposer d'une clé d'accès (gratuite). Pour obtenir cette clé, il suffit d'aller sur le site de VirusTotal et de rejoindre la communauté VirusTotal (s'enregistrer et créer un compte) puis, sur leur site, de se connecter sous ce compte. Cliquez alors sur votre identifiant et une page s'ouvre affichant, entre autre, votre clé API (à conserver strictement confidentielle). Il faudra la donner à VT Hash Check.
Limite anti-DDoS (Denial of Service) :
Vous ne pouvez pas lancer plus de 4 consultations de la base de données de VirusTotal à la minute. Cette limite peut être supprimée pour certains utilisateurs, sur demande à l'équipe de VirusTotal.
|
Les cybercriminels qui tentent d'implanter une malveillance connaissent les applications Web comme VirusTotal et savent les tromper.
Une fois votre vigilance endormie, vous croyez lancer l'exécution du programme « propre » que vous croyez venir de faire analyser et de télécharger. En réalité vous activez le downloader (téléchargeur) :
|
|
Les cybercriminels qui tentent d'implanter une malveillance connaissent les applications Web comme VirusTotal et savent les tromper.
Une fois votre vigilance endormie, vous croyez lancer l'exécution du programme « propre » que vous croyez venir de faire analyser et de télécharger. En réalité vous activez le downloader (téléchargeur) :
|
Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc. ...). Ce sont des sites de monétisation.
Pour se faire de l'argent, les sites de téléchargement ont deux moyens essentiels (outre la publicité dont sont couvertes les pages de leurs sites Internet) :
Ils agissent dans trois domaines principaux leur rapportant de l'argent :
Ce qu'ils font :
Les downloaders comme les installeurs sont du code qui s'exécute dans votre ordinateur. S'ils peuvent faire tout ce qui est décrit ci-dessus, ils peuvent faire n'importe quoi d'autre. Le pire est qu'ils le font à votre demande ! Et, de temps en temps, c'est tout autre chose qui est implanté à votre insu, comme des spywares, des backdoors, des outils de tracking, de zombification ou n'importe quoi de malveillant.
Les downloaders comme les installeurs communiquent avec un serveur, par la force des choses. De l'information remonte vers les serveurs, sans que l'internaute n'en soit informé, sans qu'il sache quelles informations sont volées, collectées et envoyées, et sans qu'il puisse s'y opposer.
Un downloader, comme un installeur, camoufle totalement à l'utilisateur les actions exécutées durant la phase de téléchargement et installation.
Les sites suivants, au moins, utilisent à plus ou moins grande échelle des téléchargeurs piégés (trapped downloader) et malveillants (en outre, transformés en adwares), et/ou des installeurs piégés (trapped installer) et malveillants (en outre, transformés également en adwares). Ces sites utilisent les bundle, repack, sponsoring, etc. et nous obligent à utiliser des downloader inutiles transformés en outre, en adwares, pour se faire de l'argent, beaucoup d'argent, peu importe ce que cela induit dans les ordinateurs de leurs visiteurs. Le fait qu'ils couvrent leurs sites de sceaux de confiance farfelus, inexistants, invérifiables, etc. les rend encore plus douteux. Ces sites (et tous ceux de même nature) ne doivent jamais être utilisés. Il faut toujours rechercher un téléchargement depuis le site de son auteur et uniquement depuis le site de son auteur. Personne n'a besoin des sites de téléchargement, auxquels nous n'avons rien demandé, et qui nous le font payer (au prétexte de la " monétisation de leur service ". Ils sont payés par les éditeurs de malveillances, de barres d'outils, de hijackers (usurpateurs de vos réglages), de moteurs de recherches trompeurs ou menteurs, de logiciels inconnus et inutiles, de PUPs, etc. ... chaque fois qu'ils arrivent à vous convaincre d'en installer un ! ) :
L'utilisation d'un Téléchargeur (Downloader) piégé est très proche, dans l'esprit, de l'utilisation d'un installeur piégé (Repack). Les sites de téléchargement ne se privent d'ailleurs pas d'utiliser les deux, Téléchargeur (Downloader) piégé puis Installeur piégé (Repack).
En 2011 / 2012, suite essentiellement au scandale du C|Net (Download.com), les internautes ont fait pression sur les éditeurs. Les éditeurs, comme s'ils n'étaient pas informés, ont alors brassé de l'air et se sont offusqués, à grands coups d'articles cherchant à se dédouaner et se blanchir, de l'usage, par les grands sites de téléchargement qu'ils utilisent, non seulement d'un Téléchargeur (Downloader), sans prévenir leurs utilisateurs, mais, également, de la modification de leurs logiciels par l'usage d'un installeur autre que le leur (technique du Repacking), à leur insu, truffé d'adwares, de barres d'outils (toolbar), de Hijackers, d'inscriptions de Moteurs de recherches menteurs, etc. ...
Résultat des courses : les grands sites de téléchargement font un bras d'honneur aux internautes et aux éditeurs de logiciels ! Ils continuent à utiliser un Téléchargeur (Downloader), sous leurs gros boutons " Télécharger ", bien visible et sur lequel tout le monde se précipite. Quelques-uns ont simplement ajouté, très discrètement, très petit, quasiment invisible et sans explication sur sa présence, un lien appelé " Lien direct " ou " Direct Download Link ", etc. ... qui ne veux rien dire à personne et disparaît petit à petit, jusqu'au prochain gros scandale.
|
Certains liens de téléchargement ne pointent pas vers le fichier à télécharger mais vers une page qui, elle même, va lancer le téléchargement tandis que de la publicité ou d'autres choses sont affichées. Le fait de cliquer sur " Scan with VirusTotal " va alors analyser la page du site, dans une fonction de VirusTotal similaire aux outils de " Web e confiance ". Le résultat n'a rien à voir avec l'analyse du fichier en lui-même. Un lien, sur la page de résultat de VirusTotal, permet de poursuivre vers l'analyse du fichier à télécharger.
Dans un premier temps, VTZilla rapporte ce que pensent une trentaine d'éditeurs de solution de sécurité du site d'où provient le téléchargement envisagé. Est-ce un site de confiance (quelle est sa Web-Réputation) ?
Collection de dossiers : Les logithèques |
---|