Empoisonnement par SEO, des attaques pirates menacent McAfee

Alerte, alerte… La bourde reconnue par McAfee ce mercredi 21 avril lors de la mise à jour de sa base virale (fichier 5958 DAT), qui a provoqué des blocages de systèmes clients, serait à l’origine d’attaques de pirates dans des requêtes de recherche optimisées (ou SEO, Search engine optimization) – affirme un communiqué de son concurrent Sophos ce 22 avril.

Sans dramatiser, le centre d’analyse spécialisé dans la sécurité donnait l’alerte : certaines pages malveillantes « ont été identifiées par les SophosLabs (ndlr : le réseau mondial de centres d’analyse des menaces de Sophos) sur la première page des résultats affichés par Google lorsque les utilisateurs effectuent une recherche liée au « faux positif » de McAfee. »

Réseau infecté pour recherche de correctif

Mauvaise nouvelle donc pour l’éditeur qui a déjà présenté ses excuses ce 21 mercredi 21 avril aux utilisateurs par la voix de son responsable support, Barry McPherson. Pour Michel Lanaspèze, directeur Marketing et communication de Sophos Europe du Sud : «il est déjà ennuyeux de voir les ordinateurs de votre entreprise rendus inutilisables du fait d’une mise à jour de sécurité erronée, mais il est encore pire d’infecter votre réseau en recherchant un correctif sur Google ».

Visiblement, ce sont « les techniques de SEO (search optimization engine) permettant de créer des pages Web truffées de contenus évoquant le problème de McAfee»,qui, cette fois-ci, ont été exploitées par les pirates.«Ce sont en fait des « pages qui ont été conçues[sciemment]pour infecter leurs visiteurs »

« Ces pages empoisonnées sont placées sur la toute première page de résultats des moteurs de recherche, ce qui signifie que de nombreux utilisateurs sont tentés de les sélectionner. Si vous cliquez sur ces liens, Il est fort possible que vous voyiez s’afficher des pop-ups vous alertant de problèmes sécurité sur votre ordinateur. Ces faux avertissements sont en fait destinés à vous faire télécharger des logiciels malveillants, qui permettront aux pirates de prendre le contrôle de votre système informatique ou de vous dérober les coordonnées de votre carte de crédit.»

SEO, un empoisonnement en plein essor selon Sophos

Plus spécifiquement, Sophos avertit l’ensemble de la blogosphère que « l’empoisonnement par SEO est actuellement en plein essor dans le monde du cybercrime ». En effet, les pirates savent que «les internautes se tournent vers les moteurs de recherche lorsqu’ils veulent les derniers détails d’une nouvelle, et[ces même pirates]se tiennent à l’affût des plus imprudents pour les infecter. »

En conséquence, le centre d’analyse conseille aux entreprises de protéger leurs collaborateurs « par une solution de sécurisation du Web analysant chaque page visitée et chaque lien sélectionné pour y détecter les programmes malveillants et toute activité criminelle ».

La confiance des utilisateurs envers McAfee est certes ébranlée mais le mécontentement des clients entreprises est à relativiser. Seule « une fraction» d’utilisateurs des solutions individuelles (VirusScan Plus, McAfee Internet Security Suite et McAfee Total Protection) est concernée par ce problème de mise à jour. Et le nombre d’utilisateurs affectéds en entreprise ne représentait que 0,5% de l’ensemble de ses clients. A ce jour, les attaques des pirates n’ont pas pu encore être quantifiées.