Embed Size (px)
Citation preview
Livre blanc | Août 2006 Page 1
www.mcafee.com
Logiciels espions et logiciels publicitaires :les dessous financiers du Web
Livre blanc | Août 2006
Livre blanc | Août 2006 Page 2
www.mcafee.com
Table des matières
Principaux faits 3
Introduction 3
La montée en force des logiciels espions et logiciels publicitaires 3
Des utilisateurs trompés 4
Sites et sociétés diffuseurs de logiciels publicitaires 5
Affilieurs et affiliés 5
Suivi 5
Paiement (publicités conventionnées) 7
Paiement (à l'installation d'un logiciel publicitaire) 8
Conclusion 9
Livre blanc | Août 2006 Page 3
www.mcafee.com
Principaux faits
1. La prévalence des logiciels publicitaires (adware) et logiciels espions (spyware) augmente de manière fulgurante. Entre 2000 et 2002, il n'existait qu'une quarantaine de familles de logiciels publicitaires. Au cours des trois années et demie qui ont suivi, celles-ci ont connu une croissance exponentielle (plus de 1 000 %). En août 2006, on dénombrait 450 familles de logiciels publicitaires, avec plus de 4 000 variantes. (P. 3).
2. Les internautes ne mesurent pas encore les risques liés
aux logiciels espions et aux logiciels publicitaires. Une récente enquête menée par McAfee SiteAdvisor.com a révélé que 97 % (!) des internautes ne savent pas faire la différence entre un site sûr et un site à risque, ce qui signifie que la très grande majorité d'entre eux sont une proie facile pour les logiciels espions, logiciels publicitaires et autres logiciels potentiellement indésirables. (P. 4)
3. Il ressort d'une étude réalisée par l'Université de
Washington que, contrairement aux idées reçues, les plus gros diffuseurs de logiciels publicitaires sont les sites de stars/célébrités, et non les sites pornographiques et les pages de contenus pour adultes. (P. 4)
4. Le commerce des logiciels publicitaires est très lucratif.
L'acte d'accusation d'un « maître de robots » a ainsi révélé que les sociétés de marketing avec lesquelles il travaillait lui versaient quelque 0,15 dollar par ordinateur infecté, soit 150 dollars pour mille unités. (P. 7)
Introduction
Si les sociétés actives dans le domaine de la sécurité ont récemment attiré l'attention sur la montée en puissance des menaces ciblées visant à générer des profits, cette tendance est en fait à l'œuvre depuis 2003, époque à laquelle les logiciels publicitaires (adware) et logiciels espions (spyware) ont commencé à se multiplier à une vitesse alarmante. Les menaces qui ne sont pas liées à des logiciels malveillants, mais dont la présence sur un ordinateur a des implications claires en matière de sécurité et de confidentialité des données sont collectivement désignées par l'expression « programmes potentiellement indésirables » (PUP). Leur conception et leur distribution sont généralement le fait d'entreprises légitimes, qui les utilisent à des fins spécifiques et bénéfiques. (Mais au bénéfice de qui ? La question est posée...)
Les logiciels publicitaires et logiciels espions appartiennent à cette catégorie de menaces. Ils s'installent sur l'ordinateur de l'internaute, souvent en échange d'un logiciel « gratuit », puis se mettent à collecter des données commerciales et à diffuser des publicités ciblées. Avec l'émergence des lucratifs modèles commerciaux d'affiliation en ligne et vu la facilité avec laquelle il est possible de propager ces menaces, les logiciels publicitaires et logiciels espions se profilent de plus en plus comme deux des principaux ennemis de l'internaute.
La montée en force des logiciels espions et logiciels publicitaires
Si les termes « logiciel espion » (spyware) et « logiciel publicitaire » (adware) ont été forgés à la fin des années 80, la menace que ceux-ci représentent pour la sécurité informatique n'est devenue bien réelle qu'en 2003 et 2004. La figure 1 illustre la croissance rapide des deux familles ainsi que de leurs variantes, depuis 2000.
Entre 2000 et 2002, il n'existait qu'une quarantaine de familles de logiciels publicitaires. Celles-ci ont connu une croissance exponentielle en 2003, enregistrant une hausse de plus de 1 000 % en trois ans et demi. Ainsi, en août 2006, on dénombrait 450 familles de logiciels publicitaires, avec plus de 4 000 variantes. Des chercheurs de l'Université de Washington ont étudié la prévalence et la composition des logiciels publicitaires et logiciels espions en 20051. Pour ce faire, ils ont directement recherché les fichiers exécutables douteux sur Internet.
Source : McAfee Avert Labs
Figure 1 : Croissance des familles de logiciels publicitaires et logiciels espions (stricto sensu)2 et de leurs variantes entre 2000 et 2006
1 « A Crawler-based Study of Spyware on the Web » [Les logiciels espions sur le Web – une
étude reposant sur l'emploi d'un moteur de balayage], http://www.cs.washington.edu/homes/gribble/papers/spycrawler.pdf
2 Stricto sensu, le terme « logiciel espion » (spyware) désigne un logiciel de suivi déployé sans une information adéquate de l'utilisateur, sans le consentement de celui-ci et sans qu'il en ait la maîtrise. Pour obtenir de plus amples informations, visitez le site du groupe Anti-Spyware Coalition, à l'adresse http://www.antispywarecoalition.org/documents/GlossaryJune292006.htm.
Livre blanc | Août 2006 Page 4
www.mcafee.com
En mai, puis en octobre, ils ont analysé quelque 20 millions d'URL. 19 % des sites visités comportaient du code exécutable, dont les chercheurs ont collecté plus de 20 000 échantillons. En octobre, 5,5 % de ces fichiers (provenant de 4,4 % des 2 532 domaines passés au crible) contenaient un programme douteux.
Cette étude a identifié moins de 90 programmes indésirables différents (82 en mai et 89 en octobre). Comme les virus, la plupart des PUP n'étaient soit pas détectés par les utilisateurs, ou présents seulement en petites quantités (voir tableau 1). Ceci est peut-être dû au fait que la plupart des PUP visent des cibles bien spécifiques et font donc l'objet d'un déploiement discret.
Programme Mai 2005 Programme Oct. 2005 WhenU 364 WhenU 340
180Solutions 236 Marketscore 47
eZula 214 Claria 41
Marketscore 143 BroadCastPC 37
BroadCastPC 67 Aurora 36
Claria 44 FOne 35
VX2 41 Zango 34
Favoriteman 36 eZula 33
Ebates MoneyMaker
31 Web3000 32
NavExcel 24 180Solutions 25
Tableau 1 : Résultats de l'étude sur les logiciels espions réalisée par l'Université de Washington
Des utilisateurs trompés
En 2004 et 2005, AOL et la NCSA (National Cyber Security Alliance) se sont penchés sur l'utilisation des mesures de protection en ligne3. Après avoir interrogé un panel d'internautes, les chercheurs ont examiné leurs disques durs afin de déterminer dans quelle mesure leurs perceptions correspondaient à la réalité.
Dans certains cas, ils ont constaté un écart considérable entre la situation réelle des utilisateurs et leur sentiment subjectif. Ainsi, en 2004, seuls 53 % des utilisateurs pensaient que des PUP étaient présents sur leurs ordinateurs. Une analyse des disques durs a révélé que le chiffre exact était de 80 %. En 2005, 71 % des internautes affirmaient mettre à jour leur logiciel antivirus tous les jours ou toutes les semaines. Or, l'analyse des machines a montré que 67 % des logiciels antivirus n'avaient pas été mis à jour depuis une semaine ou plus longtemps.
Une récente étude menée par McAfee SiteAdvisor.com a mis les internautes au défi, en leur demandant de détecter quels sites, parmi plusieurs catégories populaires, étaient exempts de logiciels publicitaires et de logiciels espions. Pas moins de 97 % (!) des internautes n'ont pas pu distinguer les sites dangereux des autres, ce qui signifie que la très grande majorité d'entre eux sont une proie facile pour les logiciels espions, logiciels publicitaires et autres logiciels potentiellement indésirables.
3 2004 AOL/NCSA Online Safety Study [Enquête sur la sécurité en ligne réalisée par
AOL/NCSA (2004)] : http://www.staysafeonline.info/pdf/safety_study_v04.pdf 2005 AOL/NCSA Online Safety Study [Enquête sur la sécurité en ligne réalisée par AOL/NCSA (2005)] : http://www.staysafeonline.info/pdf/safety_study_2005.pdf
Figure 2: Liens d'affiliation entre sites tels qu'identifiés par McAfee SiteAdvisor
www.mcafee.com
Livre blanc | Août 2006 Page 5
Lors d'une enquête réalisée en mai 2006, McAfee SiteAdvisor.com a révélé que tous les grands moteurs de recherche renvoient des sites à risque en réponse à des requêtes basées sur des mots clés courants4. Le nombre de sites potentiellement dangereux représentait d'ailleurs jusqu'à 72 % des résultats de recherche avec certains mots clés risqués tels que « économiseurs d'écran gratuits », « kazaa », « bearshare », « téléchargement de musique » et « jeux gratuits ».
Sites et sociétés diffuseurs de logiciels publicitaires
Pour la plupart des internautes, les pages proposant des contenus pour adultes et les sites pornographiques sont les coupables tout désignés de la diffusion des logiciels publicitaires. Toutefois, l'étude de l'Université de Washington révèle une réalité toute différente.
Il ressort de cette étude que les sites les plus dangereux sont en fait les sites de stars/célébrités (16,3 % des fichiers exécutables présents sur ces sites sont dangereux), suivis des sites proposant des économiseurs d'écran (11,5 %) et des sites pour adultes (11,4 %). De par leur nature même, les sites de jeux contiennent de nombreux exécutables (60 % des cas dans l'étude de l'Université de Washington). Or, parmi ceux-ci, l'étude n'a identifié que 5,6 % de codes dangereux.
L'étude de mai 2005 a révélé que 4,6 % des fichiers exécutables disponibles au téléchargement sur un portail bien connu contenaient des logiciels espions. Ce pourcentage n'était plus que de 0,3 % en octobre, apparemment grâce à la nouvelle politique d'analyse mise en place par l'hébergeur.
Comme nous l'avons déjà souligné, la plupart des logiciels espions et logiciels publicitaires sont édités par des entreprises légitimes, à des fins de publicité et d'étude de marché. Les chercheurs de l'Université de Washington ont établi un classement des sites diffuseurs de logiciels publicitaires en fonction du nombre d'exécutables infectés qu'ils y ont trouvés. Le site web scenicreflections.com contenait à lui seul 1 776 occurrences de TurboDownload et 1 354 occurrences de WhenU. Ces données ont été supprimées des résultats de l'étude cités dans le tableau 2, afin de ne pas fausser les statistiques. Beaucoup de sites sont, en fait, des agents doubles à la solde des entreprises mentionnées à la rubrique précédente. Certains sites changent régulièrement de nom et beaucoup sont liés les uns aux autres par des accords présentant des degrés de confidentialité divers. McAfee SiteAdvisor.com5 propose une représentation graphique de ces liens à la figure 2. Par ce jeu de renvois, des sites légitimes (en vert) peuvent être reliés à des distributeurs de logiciels publicitaires connus (en rouge), comme adbureau.net, relié à mediapost.com, relié à 180solutions.com, relié à zangocash.com. 4 The Safety of Internet Search Engines [La sécurité des moteurs de recherche sur Internet] :
http://www.siteadvisor.com/studies/search_safety_may2006.html 5 Plug-ins SiteAdvisor pour Internet Explorer et Firefox : http://www.siteadvisor.com/preview/
Site Mai 2005
Site Oct. 2005
screensaver.com 191 gamehouse.com 164 celebrity-wallpaper.com 136 screensavershot.com 137 screensavershot.com 118 screensaver.com 107 download.com 116 hidownload.com 50 gamehouse.com 111 games.aol.com 30 galttech.com 38 appzplanet.com 27 appzplanet.com 37 dailymp3.com 27 megspace.com 36 free-to 27 download-game.com 30 galltech.com 23
Tableau 2 : Sites diffuseurs de logiciels publicitaires et nombre d'exécutables infectés
Affilieurs et affiliés
L'affiliation est une structure de marketing orientée performances qui relie un site commercial à ses partenaires. Le commerçant, ou affilieur, met le système en place et recrute des partenaires, ou affiliés, chargés d'assurer la promotion de ses produits et services. Les paiements s'effectuent sur la base du nombre de visiteurs, de clients et de transactions que l'affilié rapporte au commerçant. Le contrat entre l'affilieur et ses affiliés prévoit des conditions générales stipulant les commissions versées, le type de rémunération et d'autres variables relatives aux paiements, telles que leur périodicité et un montant minimum. Les conditions de paiement sont généralement définies sur la base d'un « paiement au clic » (pour chaque visiteur) ou d'un « paiement au formulaire » (pour chaque profil). Certains affilieurs offrent une commission au pourcentage sur les ventes. Pour participer à un tel programme, l'affilié ajoute sur son site un objet graphique à caractère publicitaire (texte, bouton ou bannière) qui assure le suivi et l'enregistrement des ventes ou des opportunités commerciales au fil du temps6. En général, les utilisateurs qui visitent le site d'un affilié peuvent choisir de se rendre ou non sur le site de l'affilieur (donc du commerçant). Si un utilisateur décide de visiter le site de ce dernier, un paramètre associé à l'URL du commerçant identifie l'affilié ayant procuré la référence. Par ailleurs, il est possible qu'un cookie soit placé sur l'ordinateur de l'utilisateur, de manière à pouvoir suivre le comportement de l'internaute et, par exemple, savoir s'il a effectué un achat ou rempli un formulaire.
Suivi
Il existe quatre méthodes principales permettant d'identifier les affiliés et donc de les payer : les URL avec paramètres, les cookies, les renvois HTTP et les compteurs de téléchargements et d'installations.
6 Par « opportunité commerciale », on entend un clic renvoyant à un commerçant référencé.
Livre blanc | Août 2006 Page 6
www.mcafee.com
URL avec paramètres
Il s'agit de la technique la plus courante. Elle peut être utilisée dans le cadre d'un paiement au clic ou de l'installation d'un logiciel publicitaire. Voyons à titre d'exemple le site promotionnel relatif à un casino en ligne présenté à la figure 3.
Figure 3 : URL Casino-Partouche.com avec paramètres
Pour le site Casino Partouche, le lien figurant dans la barre d'état d'Internet Explorer contient un paramètre d'identification permettant à l'affilié d'être payé pour chaque clic. Ici, il s'agit de « idaffiliation=1121 ».
Cette technique permet à des affiliés peu scrupuleux d'utiliser des programmes appelés « AdClickers », qu'ils diffusent par le biais de robots, de virus ou d'e-mails. Ces programmes cliquent automatiquement et à répétition sur certaines pages web, augmentant ainsi artificiellement les revenus de l'affilié. L'institut SANS a fait état en mai 2006 d'un exemple récent d'utilisation d'AdClicker dans ce but7.
La technique « URL avec paramètres » peut également être utilisée lorsque des programmes publicitaires sont installés. Dans certains cas, le site du commerçant envoie un code de confirmation après l'installation et attend une confirmation avant de finaliser la transaction et de créditer le compte de l'affilié.
7 CLICKbot : http://isc.sans.org/diary.php?storyid=1334
Cookies
Les cookies sont principalement utilisés dans les programmes de paiement au profil et de commissions sur les ventes. Lorsqu'un affilié renvoie un visiteur vers le site d'un commerçant, ce dernier lui est redevable pour la publicité fournie pendant une période spécifiée (un mois, le plus souvent).
En règle générale, les cookies se présentent sous la forme « nomdelutilisateur@nomdusite ». Le nom de l'utilisateur permet de différencier les uns des autres tous les profils d'utilisateur définis sur une même machine. Quant au nom du site, il correspond généralement à l'adresse du site qui a placé le cookie. Les cookies peuvent également contenir d'autres champs, dont les suivants :
1) Nom du cookie 2) Valeur du cookie 3) Hôte/chemin du serveur web qui a placé le cookie 4) Indicateurs 5) Date d'expiration 6) Heure d'expiration 7) Date de création 8) Heure de création 9) Délimiteur d'enregistrements (*)
Dans l'exemple du Casino Partouche, un seul cookie est généré. L'affilié perçoit vraisemblablement une commission selon que l'internaute dépense ou non de l'argent sur le site de l'affilieur. Il est possible de visualiser (et de modifier) le cookie grâce à un éditeur de texte (voir figure 4).
Figure 4 : Visualisation d'un cookie dans un éditeur de texte
Les deux premières informations visibles sont le nom de la variable (idaffiliation) et sa valeur alphanumérique (1121). Une autre chaîne indique l'émetteur du cookie et l'URL à laquelle correspond celui-ci (casino-partouche.com/new/fra). L'une des chaînes suivantes contient la date d'expiration au format d'horodatage UNIX8 (4032664576, soit le 22 février 2006).
8 Vous trouverez des liens vers des convertisseurs d'horodatage UNIX sur le site suivant (en
français) : http://www.davidtouvet.com/blog/archives/2005/01/13/php-convertisseur-de-dates-en-format-timestamp/.
www.mcafee.com
Livre blanc | Août 2006 Page 7
Les cookies sont généralement peu volumineux, et il est rare d'en rencontrer un qui contienne autant d'informations que celui illustré à la figure 5, émis par le site pour adultes Gammacash.
Figure 5 : Exemple de cookie volumineux provenant de Gammacash
Les cookies permettent d'identifier un ordinateur et un profil d'utilisateur, mais pas nécessairement l'internaute lui-même. Pour autant que les visiteurs ne fournissent aucune information supplémentaire, leur anonymat est préservé.
La plupart des navigateurs permettent aux utilisateurs de désactiver tous les cookies ou certains d'entre eux. Ce faisant, l'internaute échappe au contrôle du créateur de cookies, et ses activités n'interviennent pas dans le calcul de la rémunération de l'affilié. Toutefois, il arrive que certaines fonctionnalités des sites web ne soient pas disponibles lorsque tous les cookies sont désactivés, comme l'enregistrement de cours boursiers récemment consultés, par exemple. Si le navigateur le permet, un bon compromis consiste à désactiver tous les cookies de tiers, mais à autoriser les cookies du site d'origine. De cette manière, un site web unique (le site d'origine) peut consigner des informations relatives à l'ordinateur, mais pas les partager avec d'autres sites.
Renvois HTTP
Lorsqu'un navigateur effectue une requête HTTP, il gère un paramètre appelé « REFERER », qui correspond à la page demandée. En pratique, cette information est contenue dans la variable d'environnement $ENV{'HTTP_REFERER'}. « HTTP_ » indique que cette variable d'environnement a été envoyée par un navigateur et non générée par un serveur. Lorsqu'un internaute visite un site, celui-ci peut récupérer le paramètre REFERER à l'aide d'un script CGI9, ce qui lui permet d'identifier l'affilié dans le but de le payer.
9 CGI (Common Gateway Interface) : technologie permettant d'exécuter des programmes sur
des serveurs web afin qu'ils traitent les requêtes d'internautes et affichent des pages HTML en réponse à celles-ci. Les scripts CGI sont souvent rédigés en langage PERL, C++ ou Java. ASP est une solution concurrente.
Compteurs de téléchargements et d'installations
Cette dernière technique recense les installations de logiciels publicitaires en comptabilisant les téléchargements effectués depuis un site commercial. Son principe est que l'affilieur fournit un nom de fichier univoque pour chaque affilié ; le nombre de téléchargements ou d'installations est enregistré pour chaque nom de fichier, et l'affilié est rémunéré en conséquence.
Paiement (publicités conventionnées)
Le site web « Affiliation-Marketing10 », créé par Rémi Calmel (France), n'est malheureusement plus accessible. Néanmoins, en janvier 2006, il fournissait des informations sur les revenus que peut espérer un affilié selon le type de programme d'affiliation auquel il participe.
• Programmes de paiement à l'affichage Les affiliés sont payés sur la base d'un tarif au « coût par mille » (CPM), en fonction du nombre d'internautes qui consultent une publicité. Les prix du marché varient entre 18 et 25 dollars par mille unités.
• Programme de paiement au clic Les affiliés sont payés sur la base d'un tarif unitaire. Les affiliés directs peuvent obtenir quelque 0,30 dollar par clic. Si l'on se base sur un taux de clic compris entre 0,5 et 1 %, cela signifie qu'ils perçoivent entre 1,50 et 3 dollars pour mille unités. Les affiliés de deuxième et de troisième rangs voient ces recettes divisées par 2 ou par 3.
• Programme de paiement au profil Ces programmes ne sont en fait qu'une variante de la rémunération à l'unité. Les adresses e-mail soumises dans un formulaire web peuvent rapporter entre 0,40 et 0,70 dollar pièce. Un formulaire de taille moyenne rempli correctement se négocie entre 1,20 et 2 dollars ; un formulaire plus long, entre 2 et 4,5 dollars. Ces programmes exigeant une forte participation de l'internaute, ils sont très peu lucratifs et rapportent moins d'un dollar par mille unités.
• Programmes de commissions sur les ventes En 2000, un grand constructeur d'ordinateurs personnels a mis sur pied un programme de commissions sur les ventes qui rapportait aux affiliés entre 3 et 5 % des recettes enregistrées. Ce pourcentage peu élevé s'explique principalement par la faible marge dont disposent les constructeurs informatiques. A l'autre extrême, et surtout aux Etats-Unis, les programmes des grandes plates-formes actives dans ce domaine (telles que Commission Junction et BeFree) peuvent rapporter 30 à 50 % du montant des ventes, voire jusqu'à 75 % dans certains cas. Toutefois, le CPM calculé par Rémi Calmel est très faible (moins de 0,70 dollar).
10 http://www.affiliation-marketing.com/dossiers/reussir/01.php
Cette URL et ce domaine sont désormais inaccessibles, mais la page concernée est disponible à l'adresse : http://web.archive.org/web/20030209233551/http://www.affiliation-marketing.com/reussir/01.htm.
Livre blanc | Août 2006 Page 8
www.mcafee.com
Le tableau 3 ci-dessous résume les recettes que peut espérer obtenir un affilié en fonction du programme de marketing auquel il participe.
Programme CPM (pour 1 000 visites sur le site de l'affilieur)
Paiement à l'affichage < 25 USD
Paiement au clic < 3 USD Paiement au profil < 1 USD A la commission < 0,7 USD
Tableau 3 : Synthèse des rémunérations d'affiliation selon les types de programmes
Paiement (à l'installation d'un logiciel publicitaire)
Les logiciels publicitaires offrent aux affiliés un puissant outil pour accroître leurs recettes. En concevant des programmes qui visitent automatiquement et de manière répétée les sites des affilieurs, un affilié en possession de logiciels publicitaires peut considérablement influencer les mesures de performances sur la base desquelles sa rémunération est calculée. Le cas de Jeanson James Ancheta est particulièrement instructif à cet égard. Ce pirate informatique de 21 ans a créé de nouvelles variantes de la famille de robots « rxbot » sous le pseudonyme « BOTZ4SALE11 ». Il a distribué ces variantes et mis en place plusieurs réseaux de robots, qu'il a ensuite loués à d'autres internautes. Ces réseaux de robots ont alors été utilisés pour lancer des attaques par déni de service distribué et envoyer des e-mails publicitaires non sollicités (en d'autres mots, du spam). Mais bien que ses activités fussent florissantes, J. J. Ancheta s'est rapidement rendu compte qu'il était beaucoup plus lucratif et moins risqué de diffuser des logiciels d'un affilieur. Avec l'aide d'un ami, il s'est affilié à plusieurs sites commerciaux et a modifié les logiciels publicitaires de manière à pouvoir les installer via ses réseaux de robots. Ce système de distribution est devenu bien vite pleinement opérationnel et, entre novembre 2004 et avril 2005, les rentrées financières étaient aussi régulières que confortables. Malheureusement pour J. J. Ancheta, cependant, les autorités ont eu vent de ses activités et l'ont arrêté en novembre 2005. En mai de la même année, il plaidait coupable aux chefs d'accusation de complot de fraude informatique, de violation de la loi Can-Spam (sur les e-mails non sollicités), de dommages causés aux ordinateurs employés par le gouvernement américain en matière de défense nationale et d'accès illégal à des ordinateurs protégés dans le but de commettre des fraudes12. Il a été condamné à 57 mois de prison pour l'administration de ses réseaux de robots13.
11Robot : programme malveillant utilisé pour prendre le contrôle de machines vulnérables à
distance, dans le but de constituer un réseau d'attaque clandestin (ou « réseau de robots »).
12 « Computer virus broker arrested for selling armies of infected computers to hackers and spammers » [Un fournisseur de virus informatiques arrêté pour avoir vendu des armées d'ordinateurs infectés à des pirates informatiques et à des spammeurs], voir
Son acte d'accusation détaille les coûts de location de ses réseaux de robots ainsi que les commissions qui lui ont été versées par Gammacash Entertainment, Inc (Québec) et par LOUDcash (qui appartient aujourd'hui au groupe ZangoCash). La figure 6 propose des extraits des pages 46 et 47 de l'acte d'accusation montrant ce que percevait J. J. Ancheta pour le recours à ses réseaux de robots.
DÉCOMPTE DATES
APPROXIMATIVES
NOMBRE APPROXIMATIF
D'ORDINATEURS PROTÉGÉS AYANT
FAIT L'OBJET D'UN ACCÈS NON AUTORISÉ
PAIEMENTS APPROXIMATIFS
SEPT 01/11/2004
au 19/11/2004
26 975 4 044,26 USD
de Gammacash
HUIT 16/11/2004
au 07/12/2004
8 744 1 306,52 USD
de LOUDcash
NEUF 15/01/2005
au 07/02/2005
19 934 2 988,11 USD
de Gammacash
DIX 01/03/2005
au 22/03/2005
53 321 7 996,10 USD
de Gammacash
ONZE 01/04/2005
au 22/04/2005
28 066 4 010,81 USD
de Gammacash
Figure 6 : Paiements versés par Gammacash et LOUDcash pour les services des réseaux de robots
Si l'on fait la moyenne des paiements reçus et du nombre d'ordinateurs infectés, on peut en conclure qu'Ancheta percevait, pour la distribution de logiciels publicitaires, environ 0,15 dollar par ordinateur, soit quelque 150 dollars par mille unités. Largement plus que ne propose aucun des programmes d'affiliation légitimes décrits ci-dessus.
Ce chiffre semble réaliste si l'on s'en réfère à la bannière publicitaire de ZangoCash, qui promet une rémunération allant jusqu'à 0,40 dollar par installation (voir figure 7)14.
Figure 7 : Offre d'affiliation ZangoCA$H
http://www.usdoj.gov/usao/cac/pr2005/149.html et http://www.usdoj.gov/usao/cac/pr2005/Botnet_Indictment.pdf.
13 « 'Botherder' dealt record prison sentence for selling and spreading malicious computer code » [Un « maître de robots » écope d'une peine de prison pour avoir vendu et diffusé un code informatique malveillant] : http://www.usdoj.gov/usao/cac/pr2006/051.html.
14 http://www.zangocash.com/programs/
www.mcafee.com
Livre blanc | Août 2006 Page 9
Un autre pirate, connu sous le pseudonyme de « 0x80 » (prononcé « X-eighty »), a récemment levé un coin du voile sur ses activités illégales impliquant des réseaux de robots. Dans une interview accordée au Washington Post15, il affirme que, comme beaucoup de « maîtres de robots », il gagne de l'argent en distribuant clandestinement des logiciels publicitaires. 0x80 affirme contrôler plus de 13 000 ordinateurs dans plus de 20 pays, ce qui lui rapporte, en moyenne, quelque 6 800 dollars par mois, avec un revenu mensuel total pouvant atteindre les 10 000 dollars.
Majy, un ami de 0x80, a lui aussi fait l'article de ses exploits. Il affirme recevoir, pour chaque installation, 0,20 dollar aux Etats-Unis et 0,05 dollar dans 16 autres pays, dont la France, l'Allemagne et le Royaume-Uni. Majy perçoit des recettes d'une myriade de sociétés affilieuses, dont TopConverting, Gammacash et LOUDCash.
Conclusion
La prévalence des logiciels publicitaires (adware) et logiciels espions (spyware) augmente de manière fulgurante. S'ils peuvent être utilisés en toute légalité pour accroître les revenus générés par un programme d'affiliation commerciale, ils constituent également un outil idéal pour les cybercriminels à l'affût d'une escroquerie. Dans les cas évoqués ci-dessus, J. J. Ancheta a admis avoir engrangé plus de 107 000 dollars en transactions d'affiliation, en téléchargeant des logiciels publicitaires sur plus de 400 000 ordinateurs auxquels il a accédé de manière frauduleuse. Il a pu échapper aux systèmes de détection des fraudes mis en place par ses affilieurs en faisant varier les délais de téléchargement et le nombre d'installations de logiciels publicitaires, mais aussi en redirigeant les ordinateurs infectés entre différents serveurs. Les affilieurs n'y ont vu que du feu et l'ont payé pour chaque installation.
La coexistence d'activités criminelles et légitimes dans le cadre de l'affiliation commerciale sème la confusion tant chez les commerçants que chez les consommateurs. Ainsi, il devient de plus en plus difficile de faire la part des choses entre programmes malveillants indésirables et logiciels conviviaux. Par ailleurs, beaucoup de logiciels espions sont présentés comme étant des « logiciels de protection », ce qui ne fait que compliquer les choses.
15 Brian Krebs, « Invasion of the Computer Snatchers » [L'invasion des profanateurs
d'ordinateurs], Washington Post, 19 février 2006, page W10, http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html.
Avec au moins douze millions d'ordinateurs dans le monde compromis par des réseaux de robots, des sommes considérables sont collectées frauduleusement par des cybercriminels. Un tel enjeu financier ne peut qu'accélérer la multiplication et la diversification des menaces. Une meilleure détection des fraudes et une plus grande responsabilité de la part des sociétés affilieuses constituent sans aucun doute des solutions efficaces pour endiguer les flux financiers au profit des criminels. Toutefois, rien ne pourra remplacer la vigilance de l'utilisateur final, à qui il incombe de protéger ses informations confidentielles et d'empêcher les « maîtres de robots » d'étendre leurs réseaux de drones.
McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2006 McAfee, Inc. Tous droits réservés.
