Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Thiefware - Logiciel voleur de revenus d'un site

Thiefware désigne les parasites dont l'activité conduit au détournement du trafic d'un site au profit d'un autre, principalement, le détournement du trafic procurant un revenu.

01.04.2012 - Révision 21.08.2020 - Révision mineure 18.02.2021. Auteur : Pierre Pinard.

Action rapide - Pas le temps de lire

La « Publicité intrusive » est le fruit d'un mécanisme parasitaire, crapuleux, implanté dans un ordinateur ou sur un serveur, et détournant les visiteurs ou la clientèle ou la notoriété ou les revenus d'un site au profit d'un cybercriminel, spoliant l'éditeur du site.

Thiefware est un terme de l'industrie informatique.

Thiefware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « thief » (« voleur » ou « cambrioleur » ou « larron » ou « pirate ») et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

« Thiefware » se traduit par « Logiciel parasite » (Littéralement : « Saloperie de logiciel parasitant mes revenus »). C'est la même classe que le terme français moins imagé de « Publicité intrusive ».

Le terme de « Parasitware » recouvre les parasites, quelles que soient leurs classes, dont l'activité conduit finalement au détournement de tout ou partie du trafic d'un site au profit d'un autre site et, principalement, le détournement du trafic procurant un revenu (Détournement des revenus publicitaires).

Les termes d'Adwares intrusifs ou Publicités intrusives ou Scumwares ou Thiefwares ou Parasitewares ou Stealwares ou Foistwares ou Piratewares sont plus ou moins interchangeables et plus ou moins synonymes. Ils recouvrent les mêmes parasites, incrustés dans les machines compromises des internautes, et entrant, par violation, en concurrence déloyale avec les mécanismes légitimes mis en place par les propriétaires des sites, dans le but de détourner les revenus (publicitaires ou autres) de ces sites.

Les sites Internet non directement commerciaux (les sites de contenu), qui représentent la quasi-totalité des sites sur le Web, vivent avec :

  • Des revenus publicitaires
  • Des commissions (un % sur les ventes) en tant qu'apporteurs d'affaires à d'autres sites (indicateurs d'affaires - affiliations)
La mise en place de tels sites et l'attente de la notoriété se comptent en années de travail, les efforts en développements se comptent en milliers, dizaines de milliers d'heures et les investissements sont, parfois, très lourds. En sus, pour faire un bon site dans un domaine donné il faut être un professionnel de la chose (connaître la chose dont on parle). Avec du temps, beaucoup de temps et des efforts, beaucoup d'efforts, un Webmaster peut envisager de tirer quelques subsides de son site ou de très gros revenus lorsque l'on s'appelle Google.com, Amazon.com, eBay.com, Fnac.com, 01Net.com, etc. ...

Pour les crapules du Web, une méthode est apparue beaucoup plus simple pour gagner de l'argent : détourner les revenus de ces sites à leur profit !

Ces pratiques maffieuses sont connues sous divers noms plus ou moins interchangeables et sont essentiellement des attaques des formes publicitaires ou des affiliations "légitimes" d'un site pour faire en sorte que le bénéficiaire soit la crapule et non le propriétaire légitime du site.

Autres :

On est en pleine concurrence déloyale, ce qui est, juridiquement, condamné. Voir :

Thiefware - Comment un thiefware pénètre un ordinateur (poste de travail)

Les méthodes de pénétration habituelles des ordinateurs (postes de travail) sont utilisées.

  1. Installateurs muets
    La procédure d'installation d'un programme installe d'une manière transparente une application additionnelle (ou plusieurs) : des "adwares" ou des applications quelconques, à l'insu de l'utilisateur de l'ordinateur, comme cela est le cas dans des paquetages (bundles) de logiciels (lire : Sponsoring).

  2. Installateurs trompeurs
    La procédure d'installation d'un programme signale l'installation d'un produit additionnel mais ne l'identifie pas clairement ou donne sur son utilité des arguments biaisés de manière à tromper l'utilisateur ou, en tout cas, à éviter qu'il ait une connaissance éclairée de ce qui s'installe (lire : installateurs piégés).

  3. Sites piégés (trapped)
    Le parasite est installé à l'insu de l'utilisateur à partir de sites piégés (les serveurs sont compromis) visités, grâce à une technique appelée « drive-by download » (téléchargements automatiques par l'intermédiaire de moyens cachés) usuellement par l'intermédiaire de contrôles ActiveX en naviguant sur le Web avec Internet Explorer ou à des boîtes de dialogue trompeuses (publicités mensongères, etc. ...). Voir notre liste noire de sites piégés dont le furieux groupe CoolWebSearch.

  4. Failles de sécurité, zombies et botnets
    Le parasite est installé à partir de l'exploitation d'une faille de sécurité dans votre ordinateur et votre ordinateur devient un zombie dans un botnet. Il passe sous le contrôle d'un cybercriminel, à votre insu. Le cybercriminel gère son botnet, qui peut compter des millions d'ordinateurs zombies, depuis des machines compromises réparties dans le monde et appelées C&C (Command and Control).

  5. Navigation faussée
    Votre navigation, en particulier vos recherches sur le Web, sont trompées par l'usurpation / la modification (hijacking) de vos outils de recherches ou de votre navigateur, en particulier avec l'implantation de BHOs et de barres d'outils dans les navigateurs (Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...).

  6. Recherches faussées
    Vos recherches sont trompées par le viol des moteurs de recherches (spamdexing, cybersquatting, spam des forums de discussion, spam des blogs, spam des groupes de discussion, etc. ...)

  7. Résistance à l'éradication
    Lorsque vous décidez de désinstaller (par une procédure de désinstallation " normale ") ou d'éradiquer (par un outil de décontamination) ou d'ôter manuellement le parasite, il se réinstalle silencieusement. Ceci est conduit par un autre composant caché ailleurs dans votre ordinateur, probablement grace à l'usage de RootKits ou de hooker, AppInit_dll, moniteurs de surveillance, etc. ...

Thiefware - Comment un thiefware pénètre un ordinateur (poste de travail)
  • Insérer des liens contextuels (Smart Links, Smart Tags, dans le genre IntelliTXT) dans les contenus vus (les pages que vous visitez) afin de pratiquer, sous forme agressive, de la publicité intrusive à l'insu des propriétaires des sites visités et en contradiction / remplacement de leurs choix. Il s'agit d'exploiter les sites Web des autres pour en faire des véhicules à publicités rémunératrices, à l'insu de leurs auteurs.

  • Insérer des bannières publicitaires et des pop-ups ou recouvrir celles existantes, toujours à l'insu des auteurs des sites, afin de promouvoir un produit ou service à la place d'un concurrent, en contradiction / remplacement des annonceurs et des régies publicitaires avec lesquels le webmaster à passé des contrats, pour les mêmes raison que ci-dessus. Un programme, installé en cachette sur nos ordinateurs (comme les spywares et autres logiciels espions), fait apparaître des fenêtres publicitaires et offres promotionnelles dès qu'il détecte un mot-clé donné (parmi une liste qui est maintenue à jour, à distance, en permanence car la crapule s'est ménagé un accès à votre ordinateur). Le programme parasite remplace à la volée les publicités "normales" des sites visités par ses propres bannières, sans autorisation du Webmaster, sans qu'il en ai connaissance et sans le rémunérer, bien sûr. Le programme est, simultanément, un spyware qui envoie des informations comportementales sur un serveur central et utilise ces informations pour cibler la publicité. Gator ou Aadcom sont des exemples parmi d'autres de ces pratiques criminelles (voir, par exemple, l'article 462-2 de la Loi dite "Godfrain").

  • Détourner les rémunérations en ré-écrivant, à la volée, les liens d'affiliation afin de modifier les identifications des bénéficiaires dans ces liens (ou modifier les paramètres stockés dans un cookie). Une vingtaine de sociétés ont été identifiées comme développant des logiciels de détournement de commissions, installés sur plusieurs dizaines de millions de nos ordinateurs (plus de 130 millions d'ordinateurs rien que pour KaZaA) en même temps que les Morpheus, LimeWire, Kazaa, TopMoxie, BearShare et bien d'autres et des dizaines de sociétés ont été identifiées comme bénéficiant de ces détournements. Lorsqu'un Webmaster décide d'affilier son site (et lui-même) à un site marchand, par exemple, Amazon.com et de faire la promotion de certains articles, il va diriger ses visiteurs souhaitant passer à l'acte d'achat vers Amazon.com et, si le visiteur achète quelque chose, le Webmaster recevra une petite commission. Amazon.com a plus de 800.000 sites Internet (et donc 800.000 webmasters) qui lui sont affiliés ce qui représente des dizaines de millions de visiteurs chaque jour. Pour savoir à qui bénéficie la commission, le lien sur lequel clique un internaute renseigne Amazon.com car il contient des informations comme "quel article (cd, K7, jeux etc...)" et "qui est l'affilié qui m'envoi ce client". Et bien ces logiciels de détournement de commissions, installés sur nos ordinateurs, modifient à la volée l'information "qui est l'affilié" par la référence d'un usurpateur et c'est lui qui touchera les commissions !!! Voir, en anglais Find out who's stealing your affiliate earnings?

Thiefware - A quoi servent les attaques par des Thiefwares

Des maffieux ! Des cybercriminels !

Les malheureux Webmasters qui passent des temps fous à écrire leurs sites, les tester, les rendre attrayant et à faire la promotion de quelques articles pour gagner 3 sous, sont floués. Les très gros sites commerciaux le sont également. Malheureusement il semble que la législation soit muette sur le sujet. Le débat est ouvert mais, au mieux, les Webmasters ne peuvent que crier au manque d'éthique (voir article 462-2 de la Loi dite "Godfrain").

Trojan.Qhost.WU
Un exemple de Thiefware découvert le 17 décembre 2007 :

Ce Thiefware (remarquez l'usage totalement faux de la classe Trojan (Cheval de Troie) dans le nommage de cette malveillance), implanté dans les machines des internautes, substitue ses propres liens sponsorisés à ceux proposés par Google. Les sites Internet rémunérés par la publicité de Google dans leurs pages perdent ainsi leurs revenus et Google également.

Techniquement, ce Thiefware implante, dans le fichier Hosts (le DNS local), des redirections. Il redirige ainsi tous les appels à l'adserver page2.googlesyndication.com de Google vers son propre serveur.

Google Adsense est un service offert par Google qui place des publicités dans les pages Web des Webmasters qui souhaitent percevoir des revenus de leurs sites. Ces publicités sont ciblées (elles sont en rapport avec le contenu de la page où elles s'affichent et, surtout, en rapport avec le profil de l'internaute, ce qui permet de déterminer ses besoins ou envies actuelles et de prédire ses besoins ou envies à venir), les rendant ainsi plus efficaces. Le modèle économique est appelé PPC (Pay Per Click - Paiement au Click). Chaque fois qu'un internaute clique sur une publicité et est dirigé vers le site de l'annonceur publicitaire, un montant est versé par l'annonceur publicitaire. Cette somme est partagée entre Google et le Webmaster.

L'embarquement de la publicité dans les pages Web du site d'un webmaster se fait par un petit bout de code (un Script écrit dans le langage JavaScript) fourni par Google au Webmaster. Ce code contacte le serveur Adsense de Google qui lui délivre le contenu publicitaire ciblé. Le ciblage est encore affiné par le profiling et le ciblage comportemental de l'internaute lui-même.

Outre ce détournement de commissions, la publicité elle-même peut contenir du code malicieux (et le serveur compromis peut contenir des exploits (exploitation de failles de sécurité)).

Remarques :

  • Il y a un faille de sécurité ou un manque de dispositifs de protection sur l'ordinateur compromis puisque Trojan.Qhost.WU a pu s'installer. D'autres parasites, de n'importe quelle nature, peuvent s'installer.
  • L'attaque des revenus du propriétaire du site visité provenant de votre ordinateur, vous risquez d'être considéré, non pas comme une victime mais comme un complice (par négligence et manque de dispositifs de protection), de cette cybercriminalité (Risque juridique de complicité passive).
Thiefware - Qui est derrière les Thiefware

BitDefender
https://www.bitdefender.com/VIRUS-1000239-en--Trojan.Qhost.WU.html

GNT - Génération MT
https://www.generation-nt.com/bitdefender-google-publicite-qhost-actualite-51051.html


Dossier (collection) : Classes de logiciels

  1. Abandonware

  2. Adware

  3. Alphaware

  4. Annoyware

  5. Badware

  6. Baitware

  7. Beerware

  8. Beggarware

  9. Betaware

  10. Be-Ware

  11. Bloatware

  12. Bookware

  13. Bundleware

  14. Cardware

  15. Careware

  16. Censorware

  17. Charityware

  18. Coasterware

  19. Courseware

  20. Crapware

  21. Crimeware

  22. Crippleware

  23. Crudware

  24. Cryptomalware

  25. Cryptoware

  26. Crypto-ransomware

  27. Cyberware

  28. Demoware

  29. Donateware

  30. Donationware

  31. Doxware

  32. Dreamware

  33. Emailware

  34. Fanware

  35. Fatware

  36. Firmware

  37. Foistware

  38. Formationware

  39. Freeware

  40. Fritterware

  41. Garageware

  42. Garbageware

  43. Grayware

  44. Greenware

  45. Groupware

  46. Guiltware

  47. Hardware

  48. Helpware

  49. Herdware

  50. Heroinware

  51. Hijackware

  52. Jellyware

  53. Junkware

  54. Liveware

  55. Malware

  56. Meatware

  57. Middleware

  58. Missionware

  59. Nagware

  60. Netware

  61. Otherware

  62. Parasiteware

  63. Payware

  64. Pirateware

  65. Postcardware

  66. Prayerware

  67. Psychedelicware

  68. Puppetware

  69. Pushware

  70. Ransomware

  71. Retroware

  72. Riskware

  73. Scareware

  74. Scumware

  75. Shareware

  76. Shelfware

  77. Shitware

  78. Shovelware

  79. Slideware

  80. Software

  81. Spyware

  82. Stealware

  83. Stiffware

  84. Suppositware

  85. Thiefware

  86. Treeware

  87. Trialware

  88. Truelleware

  89. Tupperware

  90. Uselessware

  91. Vaporware

  92. Vapourware

  93. Warmware

  94. Wetware

Les trucs en « ...ciel » ou « ...tiel » comme logiciel...



Dossier : Escroqueries, Arnaques et Fraudes sur le Web

Dossier : Escroqueries - Arnaques sur le Web
Dossier : Fraude 419 (Fraudes africaines)
Dossier : Contre-mesures anti-phishing

Arnaques - Principes et techniques
Phishing (ou Hameçonnage)
SMiShing
Ingénierie sociale
Social engineering
Élicitation
Spam
Demandes de rançon - Ransomwares
Demandes de rançon - Cryptowares
Peurs et ventes forcées - Scarewares

Signalement à la police - Porter plainte
PHAROS (police française)
Comment signaler à la PHAROS
Avant de cliquer vers un site, est-il de confiance

Arnaques durables dans le temps - Arnaqueurs
1&1 (1and1 - 1et1)

Arnaques durables dans le temps - Arnaques
Fraude 419 (Arnaque nigériennes)
Escroqueries à la Chaîne pyramidale
Escroqueries au gain à une loterie
Escroqueries à la fausse loterie Microsoft
Escroquerie aux gains à une fausse loterie
Escroquerie à la fausse offre d'emploi 1
Escroquerie à la fausse offre d'emploi 2
Escroquerie à la fausse offre d'emploi 3
Escroquerie aux frais à la fausse vente
Arnaque - Bien à vendre à l'étranger Acompte
Arnaque - Pseudo service consommateurs
Arnaque - Faux paiement d'un achat
Arnaque au président
Escroquerie au faux président
Escroquerie à la fausse qualité
Escroquerie aux faux ordres de virement
Escroquerie FOVI faux ordre virement international
Escroquerie des auto-entrepreneurs au RSI
Escroquerie aux faux papiers
Escroquerie à la réservation de vente d'œuvres
Escroquerie à la romance amoureuse 1
Escroquerie à la romance amoureuse 2
Escroqueries à l'offre d'emploi
Escroqueries à l'offre d'une tâche ponctuelle
Escroqueries à la vente à prix dérisoire ou gratuite
Escroqueries à la vente d'œuvres d'art
Escroqueries à l'achat chèque plus élevé que prévu
Escroquerie au gain loterie Fondation Bill Gates
Escroquerie au gain Fondation Lance Armstrong
Escroqueries à la romance amoureuse
Escroqueries à la romance amoureuse (bis)
Escroqueries à la prisonnière espagnole
Escroqueries à la pitié / compassion
Escroqueries aux femmes russes ou ukrainiennes
Escroqueries à la fausse location
Escroqueries au colis en attente
Escroqueries au gain à un jeu
Escroqueries au gain à un tirage au sort
Escroqueries au gain à un concours
Escroqueries au chantage à la Webcam
Escroquerie à la fausse offre de bourse
Escroquerie à la fausse offre de stage
Escroquerie à la fausse donnation
Escroquerie aux faux legs (faux héritages)
Escroquerie à la fausse location
Escroquerie à la fausse vente immobilière
Escroquerie aux marabouts
Escroquerie à la voyance
Escroquerie aux astrologues
Escroquerie aux options binaires
Escroquerie Interpol
Escroquerie aux faux techniciens Microsoft

Escroquerie aux chaine d'argent
Escroquerie aux ventes pyramidales
Escroquerie à la boule de neige
Escroquerie à la Pyramide de Ponzi
Escroquerie aux ventes multiniveau
Escroquerie Commercialisation à paliers multiples
Escroquerie CPM
Escroquerie au Multi-Level Marketing
Escroquerie au MLM
Escroquerie Jeu de l'avion
Escroquerie au faux bon père de famille
Escroquerie Cercles de dons
Escroquerie Rondes d'abondance
Escroquerie Roues d'abondance
Escroquerie Karus
Escroquerie Spam « MMF »
Escroquerie Spam « Make Money Fast »
Escroquerie Fausses transactions commerciales
Escroquerie Utilisation frauduleuse de moyens de paiement
Escroquerie Fausse propositon de mariage
Escroquerie Fausse maladie grave
Escroquerie Escroqueries financières diverses
Escroquerie à l’annulation et demande de remboursement
Escroquerie à la fausse transaction immobilière
Escroquerie au marabout voyant sorcier envoûteur
Escroquerie à la voyance
Escroquerie à l’astrologie
Escroquerie aux options binaires
Escroquerie investissements dans les terres rares
Escroquerie aux faux investisseurs
Escroquerie à Interpol
Escroquerie aux adresses e-Mail trompeuses
Escroquerie Wash Wash
Escroquerie Assistance victimes d'escroqueries
Escroquerie au blanchiment d'argent sale

Arnaques ponctuelles
A l'origine - Philippe Berre - Réouverture A61bis

Liens externes
Recherche de vidéo « Arnaque » sur le Web


Dossier : Publicité intrusive
Dossier : Publicité intrusive sur le Web
Dossier : Publicité sur le Web

Articles de fond
Publicité intrusive
Vidéo de démonstration
L'IAB est contre la publicité intrusive (procès)
Banner blindness
Détournement revenus publicitaires des sites
En Droit, c'est de la concurrence déloyale
Identifier et poursuivre le cybercriminel
Contre-mesures

Technologie de la publicité intrusive
Smart Links

Autres nommages de cette technologie
Publicité contextuelle in-text
Publicité in-stream
Publicité in-text
Publicité dans le texte
Publicité textuelle
Vidéo contextuelle in-text

Classification de ces malveillances
Thiefware

Autres nommages de ces parasites
Adware intrusif
Foistware
Parasiteware
Pirateware
Scumware
Stealware

Quelques exemples d'opérateurs
InfoLinks (InfoLinks) (actif))
Related Info - Related Links - (Alexa) (archive)
CoolWebSearch (CoolWebSearch) (archive)
eWallet (Gator / Claria) (archive)
Precision Time (Gator / Claria) (archive)
Date Manager (Gator / Claria) (archive)
Gain (Gator / Claria) (archive)
OfferCompagnon (Gator / Claria) (archive)

Quelques exemples d'opérations
ContextPro (eZula) (archive)
HotText (eZula) (archive)
TopText (eZula Top Text) (archive)
iLookup (eZula) (archive)
IntelliTXT (Vibrant Media) (actif)
IntelliTXT Video (Vibrant Media) (actif)
SmartAD (Vibrant Media) (actif)
Smart Tags (Microsoft) (archive)
Surf+ (filemix.net) (archive)
Spedia Surf+ (Spedia.net) (archive)
ThirdVoice (ThirdVoice, Inc) (archive)
FlySwat (FlySwat) (archive)
PosiTexte (click4france) (actif ?)
ClickInText (ClickInText) (actif)
QuickClick (MBCi) (archive)
Smart Cursors (Commet Cursor) (archive)
BetterSurf (BetterSurf) (actif)
TopSearch (AltNet) (archive)
BargainBuddy (eXact Advertising) (archive)
BonziBuddy (Bonzi.com) (archive)
Superbar (Gigatech Superbar) (archive)

Très proche de la publicité intrusive
Cybersquatting
Spamdexing
Spamdexing - Google pris à son jeu

Thiefware - Ressources

Outils d'investigations


# Ailleurs sur le Web #

  1. #Thiefware#