Escroquerie ordinaire
Date : 02 Octobre 2008
Il y a quelque temps un adhérent nous a signalé un comportement bizarre sur un site web qu'il visitait. Il avait en effet constaté que le site www.exemple.com (nous avons changé le nom du site réel) présentait un contenu totalement différent suivant la façon dont l'internaute venait sur le site.
Ce comportement est souvent désigné sous le
terme de "cloaking"
(dissimulation ou camouflage en français). Il consiste pour un serveur web à analyser les informations contenues dans
l'entête de
En l'occurrence, pour le site www.exemple.com, le "cloaking" consiste à présenter un faux contenu lorsqu'un utilisateur arrive sur le site en venant d'une page de résultats produite par le moteur de recherche Google. La fausse page a l'aspect d'un blog (construit sur le modèle d'une page de www.blogger.com) et elle dit en substance :
- Vous êtes intéressé par "exemple.com" ?
- Et bien vous devriez alors aussi visiter les sites web suivants !
Il s'en suit une liste d'une demi-douzaine de sites web supposés aborder le même thème que "exemple.com".
Après analyse, il s'avère que le site www.exemple.com a été piraté et que c'est le pirate qui a inséré ce mécanisme de "cloaking" sur le site web à l'insu du propriétaire du site. Les liens proposés dans la fausse page de blog sont des liens "pay per click". A chaque fois qu'un visiteur clique sur l'un d'eux, le pirate touche une petite somme d'argent versée par le site visité (chaque lien contient un paramètre "Affiliate-Id" caché qui indique au site visité l'identifiant du partenaire qui lui envoie un visiteur). Vous pouvez lire si vous le souhaitez le détail de l'analyse technique de François Paget (avec qui nous avons collaboré lors de l'analyse de ce piratage) sur le blog de McAfee Avert Labs.
En faisant des recherches sur Internet, par des techniques de "Google hacking" (cf. notre article de mars 2005 sur ce sujet), nous avons identifié au moins 80 autres sites web infectés de la même façon. Le schéma de l'escroquerie est en fait le suivant :
- Le pirate cherche des sites vulnérables.
- Il y installe illégalement des fonctionnalités de "cloaking" qui proposent aux visiteurs arrivant depuis un moteur de recherche un ensemble de liens "pay per click" alléchants.
- Il touche une petite somme d'argent à chaque fois qu'un visiteur utilise l'un de ces liens.
Si le nombre de site compromis est important, le revenu généré par le pirate peut devenir intéressant.
Nous qualifions cette escroquerie "d'ordinaire" parce qu'elle est presque inoffensive (si l'on fait abstraction de l'acte initial de piratage d'un site) :
- Le site web piraté n'est pas abimé. Si on le visite sans venir d'un moteur de recherche la modification qui y a été apportée par le pirate est invisible.
- La fausse page de blog présentée aux internautes arrivant depuis un moteur de recherche est inoffensive. Elle ne cherche pas à attaquer le poste de l'internaute. Elle l'encourage simplement à visiter un site web qui, au final, n'a rien à voir avec les sujets d'intérêt de l'internaute. Au pire, l'internaute aura donc perdu du temps.
Elle est ordinaire aussi parce que visiblement elle ne dérange personne. En particulier les sites rétribuant ce type de "pay per click" ne semblent pas très regardants sur la façon dont leurs "partenaires" leur amènent des visiteurs. Il est vrai que pour eux "un visiteur est un visiteur" et qu’ils cherchent probablement plus à éliminer les faux visiteurs (i.e. les machines compromises générant de faux clics) que des vrais visiteurs envoyés par des pirates informatiques.
Elle est ordinaire enfin parce que le risque qu'un pirate utilisant cette technique soit poursuivi est probablement très faible (quel est le montant du préjudice ?). Certains de ces pirates se prennent même sans doute pour des Robins des bois …
Un dernier mot : le site piraté pris en exemple par François Paget il y a deux mois (et cité en toute lettre dans son blog) est actuellement toujours dans le même état : …. Piraté !