mardi 6 novembre 2007

Web 2.0, Digg-like et sécurité

Web 2.0 I want you
Il y a quelques jours, en me rendant sur un digg-like français, j'ai eu la surprise de voir apparaître un message de mon antivirus Kaspersky m'indiquant la présence d'un trojan (ou cheval de troie) dans le code de la page d'accueil de ce site !

Une analyse plus approfondie m'ayant confirmé la présence de ce malware dans le code, j'ai envoyé un mail de demande d'explication au site concerné.

Dans l'attente du résultat de la démarche, je m'abstiens pour l'instant de divulguer le nom de ce digg-like, mais sachez quand même qu'il ne figure pas parmi mes icônes de promotion affichées au bas de chaque billet, et qu'il ne s'agit pas non plus ni de diggfr ni de Geekomatik.

Sachant également que ce digg-like piège probablement plusieurs centaines de visiteurs par jour, que de plus quelques gros blogs pointent vers lui, il est clair que sans réponse rapidement satisfaisante du digg-like concerné, et surtout sans un nettoyage de sa page d'accueil, je n'hésiterai pas à en dévoiler le nom, avec preuves à l'appui ! Entre-temps, si vous avez un doute, testez l'Url chez Exploit Prevention Labs :

Si vous tombez sur ce résultat, vous y êtes !

Cet incident, sans conséquence directe chez moi - Kaspersky ayant bloqué le malfaisant - m'a néanmoins fait remonter en première ligne une notion qu'on a un peu tendance à oublier dans l'euphorie du Web 2.0 : l'insécurité et les risques patents qui y règnent..

Autant le Web 1 prônait la protection à outrance (firewall, antivirus, antispywares) et les blocages de toutes sortes (cookies, javascript, flash, etc..) autant le web 2.0 est le palais de la découverture. Il faut absolument être vi-si-ble, alors bonjour les réseaux sociaux, les digg-like, les bookmarks en ligne, avec à la clé barres d'outils, javascript, widgets, bookmarklets et open cookies à tout va..! Comme si on évoluait dans un milieu aseptisé et parfaitement protégé. Quelle erreur !

Oui, les solutions de protection ont progressé, mais les risques aussi, et le spam "payant" de moins en moins, les malfaisants se tournent maintenant vers des solutions beaucoup plus modernes (ça a commencé par le phishing) intégrant entre autres spywares ou trojans dans les pages web.

Déjà l'année dernière, l'insécurité du Web 2.0 et de l'Ajax en particulier étaient montrés du doigt. Plus récemment, HSC, Consultants en sécurité informatique, soulignait dans une remarquable présentation les risques de dualité entre l'ergonomie et la sécurité du Web 2.0. Aujourd'hui les cybercriminels s'attaquent aux réseaux sociaux, les enjeux économiques liés au ciblage comportemental de l'internaute étant gigantesques. Comme le sont tout autant les objectifs de dominance des cyberpuissances, financés à grands coups de milliards de dollars, pour parvenir au Graal : le Pouvoir. "Qui maîtrisera l'informatique maîtrisera le monde.."

Alors que faire, me direz-vous peut-être ? Bien sûr qu'il n'y a pas de solution miracle, l'évolution étant à mon humble avis irréversible, mais dans la mesure du possible :
  • ayez prioritairement une protection sécuritaire performante (que sont quelques euros par mois à côté du coût d'une infection !). Si besoin, pensez aux kits de sécurité d'Assiste.com, site référence en la matière)
  • utilisez, autant que faire ce peut, les logiciels libres. Pour Firefox, par exemple, il existe en outre une extension (Dr Web) qui permet de vérifier en ligne une url suspecte. Et essayez de n'installez que des extensions validées par Mozilla Addons.
  • exercez une veille sécuritaire en vous abonnant aux newsletters dédiées (Secuser) ou aux flux RSS des sites d'alerte (Secunia, CERTA), et en surfant de temps en temps sur quelques excellents forums ou sites de sécurité (Malekal, Zebulon)
et d'une façon plus générale, sans pour autant tomber dans la parano, restez vigilant, y compris donc avec les outils dédiés à cette "visibilité" si représentative du Web 2.0, car sachez bien que s'il vous arrive parfois de l'oublier, Internet lui ne vous oubliera pas !!


MàJ - 07/11/2007 - 18h. : Je viens de recevoir un email de la Team de Tapemoi.com m'indiquant qu'elle avait "trouvé le trojan et qu'elle l'avait éliminé..". Dont acte, puisque qu'effectivement j'ai pu y retourner sans que Kaspersky se manifeste. Comme quoi, en se bougeant un peu, on peut faire avancer les choses dans le bon sens.. ;-)

Liens utiles :


6 commentaires:

Moua : Explorateur de la bio(-blogo)sphère a dit…

J'ai en effet eu aussi ce problème sur Tape-moi.
Moua

Anonyme a dit…

Et quand tu touches le clavier ton doigt peut provoquer des virus car il ya des microbes dessus, tu regardes trop tf1 et voit de li'nsecurité partout.

Anonyme a dit…

Hello,

Je peux cliquer sur le lien en question maintenant ?

ça me démange grave :-D

Gabuzo38 a dit…

@ Moua : Oui, et encore heureux que KAV l'ait décelé ! (si tu utilises un autre antivirus, ça m'intéresserait de savoir lequel)

@ anonyme : waouh, quelle superbe argumentation.. structurée, imagée, consolidée.. encore bravo ! Et en plus tu valides une certitude d'Einstein. C'est la fête, non ?

@ fritounette : Tu peux.. ;)

Moua : Explorateur de la bio(-blogo)sphère a dit…

F-secure Antivirus

Gabuzo38 a dit…

Merci pour l'info, et un bon point pour F-Secure !

Le Web 2.0 (et donc les digg-like) sera, selon les prévisions de McAfee pour 2008, l'une des cibles privilégiées des pirates en 2008. Ça promet !