Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Rogue (informatique)

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
08.07.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mises à jour mineure

Rogue - Faux logiciels, essentiellement faux logiciels de sécurité informatique, trompeurs, vendus en arrivant à convaincre la victime de sa nécessité, et constituant des escroqueries financières.

RogueRogue (informatique)Rogue

En informatique, un Rogue (de l'anglais « rogue » qui signifie « fripouille », « canaille », « sans scrupules », « indésirable ») est un logiciel commercial (payant) vendu, en trompant l'acheteur, par un éditeur sans aucun scrupule. Il s'agit de se faire de fric rapidement en trompant le maximum de personnes, le plus vite possible, tout en étant planqué dans un paradis où il est impossible de poursuivre, juridiquement, le cybercriminel.

Un Rogue est un faux logiciel de sécurité fabriqué d'une manière ou d'une autre (vol d'un logiciel existant, vol de bases de signatures, imitation de l'interface graphique, commercialisation de versions normalement gratuites de logiciels, coquille vide, etc.)

Si le terme Rogue, en informatique, peut s'appliquer à toutes les formes de logiciels crapuleux, c'est essentiellement dans le domaine des logiciels de sécurité informatique, domaine où, à cause de la technicité du métier, l'utilisateur normal n'a aucun moyen de vérifier quoi que ce soit, que les Rogues sévicent, par milliers, faisant des dizaines de millions de victimes. Voir, par exemple, l'article sur l'argent que rapporte un rogue.

Durant le premier semestre 2010, CA (Computer Associates) a fait des statistiques sur les découvertes de nouvelles menaces par ses antivirus. Les Rogues sont les premières plus nombreuses menaces découverts. Remarquez que les (vrais) virus n'existent quasiment plus.

Rogues (Rogue Security Softwares)
Rogues (Rogue Security Softwares)

Rogue - L'arrivée dans l'ordinateur de la victimeRogue première étape - L'arrivée du Rogue dans l'ordinateur de la victimeRogue - L'arrivée dans l'ordinateur de la victime

Dans un premier temps, le logiciel trompeur pénètre l'ordinateur de la victime par un moyen ou par un autre. Quelques unes des méthodes utilisées pour faire entrer un Rogue (Rogue Security Products) dans un ordinateur :

Comment se fait-on avoir par des malveillances ?

Sauf dans l'une des formes d'exploitation des failles de sécurité venant de l'extérieur (1), comment une malveillance arrive à pénétrer et compromettre un ordinateur ?

  1. Scan de ports suivi d'un scan de failles, suivi d'un exploit, sans intervention de l'utilisateur. Ce serait plutôt l'inverse : probable absence d'intervention de l'utilisateur pour appliquer les derniers correctifs aux failles de sécurité, au jour le jour [liste ici], pour tous les logiciels et toutes les technologies installés qui ne relèvent pas des Windows update mensuels.

C'est de la faute de la victime elle-même !

Conseillé, répété, martelé sans cesse, par tous les intervenants en sécurité du monde, depuis le début du Web : « on réfléchit d'abord, on ne clique qu'après ».

  • Un truc trouvé avec un moteur de recherche
    La malveillance (le malware) peut avoir été téléchargée et installée par la victime elle-même. Lors de votre moindre recherche sur le Web exprimant une application, un service, un fichier, un processus, un doute sécuritaire, etc. des milliers de sites Web, toujours les mêmes, apparaissent en premier dans les résultats de la recherche. Ces sites Web sont totalement optimisés en SEO (Search Engine Optimization - Optimisation du référencement dans les moteurs de recherche). Ils utilisent des trucs et astuces visant à maximiser le nombre de visiteurs en veillant à apparaître en haut de la liste des résultats renvoyés par les moteurs de recherche. Tous ces sites ne servent qu’à « pousser » quelques logiciels, au mieux totalement inutiles (type PUP, PUI, etc.), au pire franchement malveillants et dangereux (type Rogue, Crapware, Backdoor, etc. tous les types de malveillances), prétendant être des logiciels de sécurité.
  • , car elle l'a trouvée sur un site Web après une recherche, a été convaincue par la présentation du produit ou par la prétendue nécessité urgente de l'installer et l'exécuter, et ne l'a pas fait analyser avec des services multiantivirus gratuits en ligne comme VirusTotal AVANT de l'installer (et même AVANT de le télécharger). Les cybercriminels sont de bons informaticiens et savent obtenir une bonne indexation dans les moteurs de recherche. Des milliers de sites se font la guerre pour capturer les recherches et inciter les visiteurs à télécharger et installer leurs crapuleries.
  • La victime peut avoir cédé à la persuasion d'une publicité trompeuse ou mensongère lui faisant croire qu'une faille de sécurité ou une malveillance (malware), etc. a été détectée et qu'il convient de la corriger tout de suite ou de poursuivre par une analyse complète de l'ordinateur, etc. La victime clique sur la publicité trompeuse et installe, à son insu, la ou les malveillances. Lire et regarder les images de ces :

    ...avec, comme seule limite, celle de l'imagination des cybercriminels (qui est illimitée)

  • L'utilisateur peut être victime de l'exploitation d'une faille de sécurité qui permet, par une action appelée « Drive-by Download », de télécharger et d'implanter une ou des malveillances. La recherche de failles de sécurité dans votre ordinateur a lieu :
    • En consultant des sites hackés à l'insu de leurs webmasters. Un cybercriminel à trouvé une faille de sécurité sur le serveur d'un site et, depuis, toutes les pages de ce site contiennent des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'installer le rogue.
    • En consultant des sites à contenus particuliers (pornographie, piraterie, hacking, cracking, etc.) développés spécialement par les cybercriminels pour attirer de nombreux visiteurs et les piéger. La moitié de la navigation sur le Web concerne ces contenus particuliers. Chaque page de ces sites contient des scripts qui tentent de trouver et exploiter une faille de sécurité dans l'ordinateur du visiteur afin d'y pénétrer.
    • En étant analysé par un scanner de recherches de failles de sécurité. Sans pare-feu, vous avez moins de 4 minutes pour survivre.
    • Historiquement, les « Drive-by Download » ont énormément sévi grâce à des « Contrôles ActiveX » dans des pages piégées de sites Internet que vous visitez, mais c'est moins vrai depuis que Microsoft a pris conscience de la capacité de nuisance de sa technologie et a introduit tout un arsenal de certificats. Toutefois, désactivez « ActiveX » (avec le lancement de Windows 10, présenté le 30 septembre 2014 et disponible depuis le 29 juillet 2015, et du navigateur Web Edge, Microsoft abandonne enfin sa technologie scélérate « ActiveX »).
    Un site Internet sur 62 (selon une étude de 2006 dont la trace a disparu) est piégé. Ce taux de sites piégés semble en très nette augmentation depuis. Selon les statistiques de NetCraft, il y aurait, en mars 2015, 878 346 052 domaines (sites) dont 178 164 215 seraient réellement actifs (ces nombres ne tiennent pas compte des centaines de millions de sites existants en sous-domaine (typiquement, les hébergements gratuits de sites personnels).
    • Sites populaires développés spécialement pour piéger les visiteurs
    • Sites hackés à l'insu de leurs webmasters
  • Il a existé une exploitation d'une faille de sécurité de « Microsoft Internet Explorer » dans les « iFrame » - Cette faille est corrigée. Mettez-vous toujours à jour avec « Windows Update » (le mécanisme Microsoft de mise à jour de Windows) (et n'utilisez jamais « Internet Explorer », mais « Firefox »).
  • Exploitation d'une vulnérabilité de la « Machine virtuelle JAVA » de Sun (Oracle). Cette technologie est indispensable et est partout, mais c'est une usine à gaz. Des failles de sécurité y sont découvertes sans cesse et corrigées immédiatement. Toujours appliquer immédiatement les « Mise à jour de Java ».
  • Installeur piégé par Repack (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables rogues, fakes et scarewares). C'est la victime elle-même qui, en ne décochant pas quelques cases de l'installeur, choisit d'installer la malveillance.
  • Installeur piégé par Sponsoring (tactique de monétisation par les développeurs, conduisant à l'implantation d'innombrables rogues, fakes et scarewares). C'est la victime elle-même qui, en ne décochant pas quelques cases de l'installeur, choisit d'installer la malveillance.
  • Downloader (utilitaire de téléchargement inutile et imposé) piégé (tactique de monétisation par les grands sites, malveillants, de téléchargements, conduisant à l'implantation d'innombrables rogues, fakes et scarewares).
  • Cheval de Troie (logiciel, légitime (ou non - par exemple, logiciel qui prétend être obligatoire pour lire un document média à contenu particulier, comme une vidéo pornographique, etc., localement ou en ligne) embarquant d'innombrables rogues, fakes et scarewares).
  • Spam avec Ingénierie sociale dans le corps du message, arrivant à convaincre ou tromper la victime.
  • Spam avec pièce jointe piégée dont l'ouverture provoque l'implantation de l'attaque. Cette technique est exploitée par d'innombrables rogues, fakes et scarewares. De véritables familles de parasites furieux et particulièrement hargneux, comme ZLob, Vundo, Virtumonde, VirtuMundo, etc. sont développés, particulièrement difficiles à éradiquer.
  • Par canaux IRC
  • Par Peer to Peer (P2P)
  • Par « codecs » piégés. La quasi-totalité des « codecs », excepté ceux téléchargés depuis leurs sites officiels ou avec VLC, sont des malveillances.
  • Etc.

Dans tous les cas, le rogue, le fake ou le scareware est installé et son lancement automatique, au démarrage du système d'exploitation, est assuré par son inscription dans la liste de démarrage du système, ou la modification du comportement du suffixe .exe dans le Registre Windows, ou la modification des raccourcis de lancement des applications, etc. Toutes ces modifications de vos réglages sont appelées des hijacks.

Rogue - L'arrivée dans l'ordinateur de la victimeRogue deuxième étape - L'analyse fictive du Rogue doit faire peur à la victimeRogue - L'arrivée dans l'ordinateur de la victime

Dans un second temps, le Rogue, inscrit dans la liste de démarrage de Windows, se lance systématiquement.

Le Rogue trompe l'internaute en affichant des résultats d'analyse trompeurs, totalement imaginaires et fictifs, dans le domaine dans lequel il prétend agir. Exemple de classe revendiquée :

  • Antivirus
  • Anti-adwares
  • Anti-malwares
  • Anti-barres d'outils
  • Recherches d'erreurs dans le Registre Windows
  • Recherches de fichiers inutiles et/ou temporaires à détruire pour gagner de la place
  • Recherches de failles de sécurité
  • Effacement des traces de données privées
  • Etc. ...

Une pseudo analyse, à base de simple image animée, ou utilisant l'interface graphique du Rogue, affiche quelque chose de trompeur dans l'esprit de cette animation.

Démarche typique d'un rogue de type Scareware tentant de vous vendre son escroquerie
Démarche typique d'un rogue de type Scareware tentant de vous vendre son escroquerie

Rogue - L'arrivée dans l'ordinateur de la victimeRogue troisième étape - Faire passer la victime à l'acte d'achatRogue - L'arrivée dans l'ordinateur de la victime

Maintenant que l'utilisateur, qui n'y connaît strictement rien et pense, en toute confiance, que le Web et un outil fantastique qui lui rend des services, est inquiet, a peur, voire est totalement affolé, le Rogue l'invite à cliquer sur un bouton ou un lien pour passer de la phase de détection à la phase de suppression des pseudos menaces ou de correction des pseudos erreurs, etc. ... Le Rogue affiche alors l'invitation à acquérir la version complète (la clé de licence) du Rogue afin de décontaminer / réparer immédiatement son ordinateur, le tout entouré de messages alarmants.

L'internaute, effrayé, paye et, en trois coups de cuillère à pot, le Rogue efface toutes ses élucubrations et ne trouve plus aucune menace. Il est probable, en plus, que, si vous installez une véritable menace, il ne la verra jamais car le Rogue est une coquille vide ou, parfois, un faux logiciel (copie pirate d'un vieux logiciel périmé, abandonné, ou volé (code et bases de signatures), dont la charte graphique a été légèrement modifiée pour ne pas être immédiatement reconnu, appartenant à une classe de malveillances appelées Fake).

L'internaute vient de se faire avoir par un cynercriminel et, simultanément, l'internaute vient de donner ses identifiants de paiement en ligne à un cybercriminel.

Rogue - L'arrivée dans l'ordinateur de la victimeFabrications de Rogue - Voler le travail des autres, ou faire semblant, ou développer réellement un RogueRogue - L'arrivée dans l'ordinateur de la victime

  1. Voler le travail des autres : les Fakes

    La fabrication du logiciel trompeur (Rogue) peut être une copie volée d'un logiciel légitime dont l'apparence (mise en page de son affichage, charte graphique, charte des couleurs, etc. ...) est changée pour le présenter comme un nouveau logiciel. Une violente campagne de spam ou d'insertions publicitaires pousse à des ventes massives d'un logiciel qui n'a rien coûté en développement et se sera jamais maintenu. Ces faux logiciels, crapuleux (Rogue), appartenant à une sous classe dee malveillances de type Rogue, appelées Fake.

  2. Faire semblant : les coquilles vides

    La fabrication du logiciel trompeur (Rogue) peut être une coquille vide faisant semblant de faire une analyse d'un ordinateur et affichant des alertes imaginaires affolantes, provoquant, chez le gogo, l'achat compulsif de la version complète pour éliminer les pseudos problèmes. La version " complète " fait alors semblant d'analyser l'ordinateur sans plus trouver les alertes imaginaires affolantes, laissant croire qu'il a fait quelque chose. Ce sous-type de Rogue, faisant peur, est appelé " scareware ".

  3. Développer de toutes pièces un Rogue

    Un archétype des scarewares est donné avec l'analyse approfondie de Simplitec Power Suite (avec indication des solutions et des fonctions natives de Windows, gratuites, auxquelles le scareware Simplitec Power Suite tente de se substituer, en vous faisant peur, et pour un coût exorbitant renouvelable tous les ans par abonnement automatique ! Les logiciels Simplitec ont été développés de toute pièce et leur vente repose sur la peur (ce sont des scarewares)..

Rogue - L'arrivée dans l'ordinateur de la victimeL'argent que rapportent les RoguesRogue - L'arrivée dans l'ordinateur de la victime

Il est rare d'attraper les éditeurs de Rogues qui savent parfaitement se dissimuler sur le Web, voire résident et / ou font résider leurs serveurs dans des zones totalement hors des circuits policiers et judiciaires quelconques, par exemple sur une île du Pacifique, etc. ... Le cas de la clique Winfixer (ErrorSafe), totalement analysé dans notre article " Winfixer ", donne une idée du nombre de victimes touchées par un Rogue et de l'argent que rapporte un Rogue :

La FTC (Federal Trade Commission) estime à 1.000.000 (un million) de clients trompés par les crapwares et scarewares de cette clique, dont WinFixer, WinAntivirus, DriveCleaner, ErrorSafe, et XP Antivirus, ce qui représente un revenu d'environ 40 millions d'US$ par an (puisque le principe est celui d'un abonnement annuel), le produit étant annoncé à environ 40 US$ mais la facturation étant arbitrairement de 60 US$ sous prétexte d'un second produit livré en bundle et d'autres explications incompréhensibles. La FTC (Federal Trade Commission) estime le revenu total de cette mafia à 163 millions US$.