Tout commence par un papillon glissé sous l’essuie-glace : « Stationnement interdit. Votre véhicule est en infraction. Pour obtenir des renseignements et photographies des places de stationnement qui vous conviendront le mieux, visitez le site….. ». Lorsque Lenny Zeltser, du Sans, découvre ce bout de papier, il flaire un piège et se rue sur le site en question. Un site qui affiche un certain nombre de photographies de véhicules mal garés, et offre de télécharger une « toolbar » capable de fouiller dans les archives photographiques d’on ne sait quel commissariat pour retrouver la trace du voiturin appartenant à l’internaute hameçonné.
Faut-il préciser que la barre d’outils en question n’est pas franchement inoffensive ? Une fois installée, la barre joue le rôle de « dropper », et recherche, sur un serveur d’alimentation en malwares, sa pitance d’agents infectieux pour ensuite les installer à demeure.
C’est probablement la première fois, dans la bondissante histoire de l’industrie virale, qu’un virus se propage par médium papier. Cette nouvelle forme de phishing devrait, si elle s’avère efficace, connaître de nouveaux développements. Par voie d’affiche, par exemple –qui donc vérifie l’immunité d’une URL affichée dans le métro ou par appel téléphonique– « Madame, Monsieur, vous avez été tiré au sort et venez de remporter un lot d’une valeur de 250 euros. Pour en connaître la teneur, rendez-vous sur www. MonSiteQuiTue.gasp ». A quand, à ce rythme-là, l’infection radiophonique entre deux résultats de hit-parade ? Exagération ? Que nenni. Bonne ingénierie sociale tout au plus. D’ailleurs, les auteurs de malwares ou les escrocs du net mettent bien souvent à profit des inattentions que les spécialistes eux-mêmes commettent sans s’en rendre compte. Comment, par exemple, ne pas mettre en relation ces deux informations troublantes : d’un côté, le 15ème épisode de la saga « A Diverse Portfolio of Fake Security Software» de Dancho Danchev, qui, une fois de plus, dénonce des pseudo-antivirus qui ont « presque l’air vrai », et ce billet sur le blog de F-Secure, relatant un grand meeting réunissant les « ISP et opérateurs partenaires ». Que F-Secure revende son antivirus via des fournisseurs d’accès est une bonne chose, tant sur le plan du business que de la sécurité. Ce qui est troublant, en revanche, c’est le petit diaporama qui illustre cet article, une succession de captures d’écran qui montre les diverses éditions de la suite antivirale de l’éditeur Finlandais, mais avec de « légères » différences. Pour un spécialiste, cela ne fait aucun doute : c’est bien là une version « OEM » du programme. Mais un néophyte est-il capable de différencier une véritable Suite F-Secure relookée par un FAI moldo-valaque d’un faux authentique made in Tchernobyl se faisant passer pour l’original ? Bien souvent, l’imitation est plus crédible que l’original revampé. S’est-on posé ce genre de question, à Helsinki ?
