Logiciels indésirables : 3 fois plus répandus que les malwares

Google génère 60 millions d’alertes aux logiciels indésirables chaque semaine. Les injecteurs de publicités et autres scarewares se cachent, le plus souvent, dans les offres groupées de logiciels.

Disponible pour Google Chrome, Mozilla Firefox et Apple Safari, la fonction Navigation sécurisée de Google analyse des milliards d’URL. Chaque semaine, elle génère plus de 60 millions d’alertes aux logiciels indésirables, selon Google. C’est trois fois plus que le nombre d’avertissements concernant des programmes malveillants (malwares), tels que les virus, les vers et les chevaux de Troie.

Paiement à l’installation (PPI)

La plupart des alertes aux logiciels non sollicités apparaissent lorsque les utilisateurs téléchargent involontairement un pack de logiciels (software bundles) bardé d’applications additionnelles. Ce modèle peut rapporter au diffuseur jusqu’à 1,50 dollar par installation effective (pay-per-install, PPI).

Outre la cible (les internautes), de nombreux acteurs sont impliqués : annonceurs, réseaux d’affiliation, développeurs, éditeurs et distributeurs des logiciels. Toutes les offres groupées de logiciels ne cachent pas une tentative d’installation de programmes non sollicités. Mais il suffit d’un acteur peu scrupuleux dans la chaîne de distribution pour inverser la tendance.

Injecteurs de publicités

Une étude menée par des chercheurs de Google, de NYU et de l’ICSI de Berkeley, montre que les réseaux PPI fleurissent (une cinquantaine a été analysée). Quatre des réseaux les plus étendus distribuaient régulièrement des injecteurs de publicités, des détourneurs de navigateur et des rogues ou scarewares. Ces derniers sont de faux logiciels de sécurité. Ils prennent la forme de fenêtres d’alerte et prétendent que les fichiers du système utilisé par l’internaute sont infectés…

Par ailleurs, 59 % des offres des réseaux d’affiliation PPI ont été signalées comme étant indésirables par au moins un antivirus. Pour détecter la présence de ces antivirus, les programmes indésirables vont le plus souvent marquer d’une empreinte (fingerprinting) la machine de l’utilisateur. Ils ont aussi recours à d’autres techniques pour contourner les mesures de protection.

Autorégulation

« Ces packs de logiciels sont promus à travers de fausses mises à jour, des contenus bidons et du détournement de marques », explique Google dans un billet de blog. « Ces techniques sont ouvertement présentées sur des forums souterrains comme des moyens destinés à tromper les utilisateurs pour qu’ils téléchargent involontairement des logiciels et acceptent les termes d’installation proposés ».

« Ce modèle décentralisé incite les annonceurs à se concentrer uniquement sur la monétisation, et les éditeurs à maximiser la conversion sans tenir compte de l’expérience utilisateur final », regrettent les chercheurs de Google Kurt Thomas et Juan Elices Crespo.

L’industrie travaille à l’encadrement de ces pratiques. C’est l’objectif affiché de la Clean Software Alliance, regroupement d’acteurs de la distribution de logiciels et d’éditeurs d’antivirus. Impliqué, Google détaillera ses plans cette semaine lors du USENIX Security Symposium d’Austin, Texas.

Lire aussi :

Comment un chercheur français a infecté des arnaqueurs avec Locky

Injecteurs de publicités : Google fait le point sur le fléau n°1 du web

crédit photo © alphaspirit / shutterstock.com