Thiefware
Thiefware
|
||||
| |
Les sites Internet non directement commerciaux, qui représentent la quasi totalité des sites sur l'Internet, vivent avec :
Pour les crapules du Net, une méthode est apparue beaucoup plus simple pour gagner de l'argent : détourner les revenus de ces sites à leur profit !
Ces pratiques sont connues sous divers noms et sont essentiellement des attaques des formes publicitaires ou des affiliations "légitimes" d'un site pour faire en sorte que le bénéficiaire soit la crapule et non le propriétaire du site.
Le détournement de trafic fait partie de cette catégorie de parasites bien qu'il ne se traduise pas toujours par l'implantation d'un parasite dans un ordinateur. Voir comment le trafic vers Assiste.com est détourné par le site protegezvotrepc.com.
D'où cela provient-il ?
Les méthodes pour y parvenir sont diverses et relèvent de l'une ou l'autre des méthodes de pénétration habituelles des ordinateurs ainsi que de quelques méthodes de parasitages d'autres natures (comme le spamdexing visant à fausser les résultats des recherches de Google ou d'autres moteurs de recherches).
Vous pouvez quelquefois les reconnaître lors de l'installation des LimeWire, Morpheus, KaZaA etc. ... Au moment de l'installation il vous est demandé si vous voulez "bénéficier" de remises ou rabais en effectuant vos achats au travers de liens qui leurs sont affiliés. Tout est mis en oeuvre pour que vous répondiez "oui" ce qui autorise alors leurs logiciels espions (Ezula Top Text, Smart Tags, Smart Links, SaveNow, Gator, EasyLink (n'existe plus), FlySwat (n'existe plus), à écraser les liens d'affiliations normaux des sites visités par ceux "bénéficiant" à eux mêmes !!!
Les malheureux Webmasters qui passent des temps fous à écrire leurs sites, les tester, les rendre attrayant et à faire la promotion de quelques articles pour gagner 3 sous sont floués. Les très gros sites commerciaux le sont également. Malheureusement il semble que la législation soit muette sur le sujet. Le débat est ouvert mais, au mieux, les Webmasters ne peuvent que crier au manque d'éthique.
Un exemple découvert le 17 décembre 2007 :
Trojan.Qhost.WU
Ce cheval de Troie, implanté dans les machines des internautes, substitue ses propres liens sponsorisés à ceux proposés par Google. Les sites Internet rémunérés par la publicité de Google dans leurs pages perdent ainsi leurs revenus et Google également.
Techniquement, ce parasite implante un fichier Hosts et redirige ainsi tous les appels à l'adserver page2.googlesyndication.com de Google vers son propre serveur.
Google Adsense est un service offert par Google qui place des publicités dans les pages Web des Webmasters qui souhaitent percevoir des revenus de leurs sites. Ces publicités sont ciblées (elles sont en rapport avec le contenu de la page où elles s'affichent), les rendant ainsi plus efficaces. Le modèle économique est appelé PPC (Pay Per Click - Paiement au Click). Chaque fois qu'un internaute clique sur une publicité et est dirigé vers le site de l'annonceur publicitaire, un montant est versé par l'annonceur publicitaire. Cette somme est partagée entre Google et le Webmaster.
L'embarquement de la publicité dans les pages Web du site d'un webmaster se fait par un petit bout de code (un JavaScript) fourni par Google au Webmaster. Ce code contacte le serveur Adsense de Google qui lui délivre le contenu publicitaire ciblé. Le ciblage est encore affiné par le profiling et le ciblage comportemental de l'internaute lui-même.
Outre ce détournement de commissions, la publicité elle-même peut contenir du code malicieux ainsi que le serveur. D'autres parasites peuvent s'installer puisque Trojan.Qhost.WU a pu s'installer.
BitDefender
http://www.bitdefender.com/VIRUS-1000239-en--Trojan.Qhost.WU.html
GNT - Génération MT
http://www.generation-nt.com/bitdefender-google-publicite-qhost-actualite-51051.html
- des revenus publicitaires
- des commissions en tant qu'apporteurs d'affaires à d'autres sites (indicateurs d'affaires - affiliations)
- des bénéfices sur les ventes réalisées (pour les petits sites commerciaux d'artisans...)
Pour les crapules du Net, une méthode est apparue beaucoup plus simple pour gagner de l'argent : détourner les revenus de ces sites à leur profit !
Ces pratiques sont connues sous divers noms et sont essentiellement des attaques des formes publicitaires ou des affiliations "légitimes" d'un site pour faire en sorte que le bénéficiaire soit la crapule et non le propriétaire du site.
- Thiefware
- Pirateware
- Stealware
- Parasiteware
- ...
Le détournement de trafic fait partie de cette catégorie de parasites bien qu'il ne se traduise pas toujours par l'implantation d'un parasite dans un ordinateur. Voir comment le trafic vers Assiste.com est détourné par le site protegezvotrepc.com.
D'où cela provient-il ?
Les méthodes pour y parvenir sont diverses et relèvent de l'une ou l'autre des méthodes de pénétration habituelles des ordinateurs ainsi que de quelques méthodes de parasitages d'autres natures (comme le spamdexing visant à fausser les résultats des recherches de Google ou d'autres moteurs de recherches).
- Installateurs muets
La procédure d'installation d'un programme installe d'une manière transparente une application additionnelle (ou plusieurs) généralement appelée "adware", à l'insu de l'utilisateur de l'ordinateur, comme cela est le cas dans des paquetages (bundles) de logiciels.
- Installateurs trompeurs
La procédure d'installation d'un programme signale l'installation d'un produit additionnel mais ne l'identifie pas clairement ou donne sur son utilité des arguments biaisés de manière à tromper l'utilisateur ou, en tout cas, à éviter qu'il ait une connaissance éclairée de ce qui s'installe.
- Sites piégés (trapped)
Le parasite est installé à l'insu de l'utilisateur à partir de sites piégés visités, grâce à une technique appelée « drive-by download » (téléchargements automatiques par l'intermédiaire de moyens cachés) usuellement par l'intermédiaire de contrôles ActiveX en naviguant sur le Net avec Internet Explorer ou à des boîtes de dialogue trompeuses. Voir notre liste noire de sites piégés dont le furieux groupe CoolWebSearch.
- Failles de sécurité, zombies et botnets
Le parasite est installé à partir de l'exploitation d'une faille de sécurité dans votre ordinateur et la prise de contrôle de celui-ci par une crapule.
- Navigation faussée
Votre navigation, en particulier vos recherches sur le Net, sont trompées par l'usurpation / la modification de vos outils de recherches ou de votre navigateur, en particulier avec l'implantation de BHOs et de barres d'outils dans Internet Explorer.
- Recherches faussées
Vos recherches sont trompées par le viol des moteurs de recherches (spamdexing, cybersquatting, spam des forums, des blogs, des groupes de discussion etc. ...)
- Résistance à l'éradication
Lorsque vous décidez d'ôter manuellement le parasite, il se réinstalle silencieusement. Ceci est conduit par un autre composant placé ailleurs sur votre ordinateur et probablement caché par l'usage de RootKits.
- insérer des liens contextuels dans les contenus vus (les pages que vous visitez) afin de pratiquer sous forme agressive de la publicité intrusive à l'insu des Webmasters des sites visités et en contradiction / remplacement des choix des Webmasters et, bien entendu, sans les rémunérer. Il s'agit d'exploiter les sites Internet des autres pour en faire des véhicules à publicités à l'insu de leurs auteurs.
- insérer des bannières publicitaires et des pop-ups ou recouvrir celles existantes, toujours à l'insu des auteurs des sites, afin de promouvoir un produit ou service à la place d'un concurrent, en contradiction / remplacement des annonceurs et des régies publicitaires avec lesquels le webmaster à passé des contrats, pour les mêmes raison que ci-dessus. Un programme, installé en cachette sur nos ordinateurs (comme les spywares et autres logiciels espions), fait apparaître des fenêtres publicitaires et offres promotionnelles dès qu'il détecte un mot-clé donné (parmi une liste qui est maintenue à jour, à distance, en permanence car la crapule s'est ménagé un accès à votre ordinateur). Le programme parasite remplace à la volée les publicités "normales" des sites visités par ses propres bannières, sans autorisation du Webmaster, sans qu'il en ai connaissance et sans le rémunérer, bien sûr. Le programme est, simultanément, un spyware qui envoie des informations comportementales sur un serveur central et utilise ces informations pour cibler la publicité. Gator ou Aadcom sont des exemples parmi d'autres de ces pratiques criminelles (voir, par exemple, l'article 462-2 de la Loi dite "Godfrain").
- Détourner les rémunérations en ré-écrivant, à la volée, les liens d'affiliation afin de modifier les identifications des bénéficiaires dans ces liens (ou modifier les paramètres stockés dans un cookie). Une vingtaine de sociétés ont été identifiées comme développant des logiciels de détournement de commissions, installés sur plusieurs dizaines de millions de nos ordinateurs (plus de 130 millions d'ordinateurs rien que pour KaZaA) en même temps que les Morpheus, LimeWire, Kazaa, TopMoxie, BearShare et bien d'autres et des dizaines de sociétés ont été identifiées comme bénéficiant de ces détournements. Lorsqu'un Webmaster décide d'affilier son site (et lui-même) à un site marchand, par exemple, Amazon.com et de faire la promotion de certains articles, il va diriger ses visiteurs souhaitant passer à l'acte d'achat vers Amazon.com et, si le visiteur achète quelque chose, le Webmaster recevra une petite commission. Amazon.com a plus de 800.000 sites Internet (et donc 800.000 webmasters) qui lui sont affiliés ce qui représente des dizaines de millions de visiteurs chaque jour. Pour savoir à qui bénéficie la commission, le lien sur lequel clique un internaute renseigne Amazon.com car il contient des informations comme "quel article (cd, K7, jeux etc...)" et "qui est l'affilié qui m'envoi ce client". Et bien ces logiciels de détournement de commissions, installés sur nos ordinateurs, modifient à la volée l'information "qui est l'affilié" par la référence d'un usurpateur et c'est lui qui touchera les commissions !!! Voir, en anglais Find out who's stealing your affiliate earnings?
Vous pouvez quelquefois les reconnaître lors de l'installation des LimeWire, Morpheus, KaZaA etc. ... Au moment de l'installation il vous est demandé si vous voulez "bénéficier" de remises ou rabais en effectuant vos achats au travers de liens qui leurs sont affiliés. Tout est mis en oeuvre pour que vous répondiez "oui" ce qui autorise alors leurs logiciels espions (Ezula Top Text, Smart Tags, Smart Links, SaveNow, Gator, EasyLink (n'existe plus), FlySwat (n'existe plus), à écraser les liens d'affiliations normaux des sites visités par ceux "bénéficiant" à eux mêmes !!!
Les malheureux Webmasters qui passent des temps fous à écrire leurs sites, les tester, les rendre attrayant et à faire la promotion de quelques articles pour gagner 3 sous sont floués. Les très gros sites commerciaux le sont également. Malheureusement il semble que la législation soit muette sur le sujet. Le débat est ouvert mais, au mieux, les Webmasters ne peuvent que crier au manque d'éthique.
Un exemple découvert le 17 décembre 2007 :
Trojan.Qhost.WU
Ce cheval de Troie, implanté dans les machines des internautes, substitue ses propres liens sponsorisés à ceux proposés par Google. Les sites Internet rémunérés par la publicité de Google dans leurs pages perdent ainsi leurs revenus et Google également.
Techniquement, ce parasite implante un fichier Hosts et redirige ainsi tous les appels à l'adserver page2.googlesyndication.com de Google vers son propre serveur.
Google Adsense est un service offert par Google qui place des publicités dans les pages Web des Webmasters qui souhaitent percevoir des revenus de leurs sites. Ces publicités sont ciblées (elles sont en rapport avec le contenu de la page où elles s'affichent), les rendant ainsi plus efficaces. Le modèle économique est appelé PPC (Pay Per Click - Paiement au Click). Chaque fois qu'un internaute clique sur une publicité et est dirigé vers le site de l'annonceur publicitaire, un montant est versé par l'annonceur publicitaire. Cette somme est partagée entre Google et le Webmaster.
L'embarquement de la publicité dans les pages Web du site d'un webmaster se fait par un petit bout de code (un JavaScript) fourni par Google au Webmaster. Ce code contacte le serveur Adsense de Google qui lui délivre le contenu publicitaire ciblé. Le ciblage est encore affiné par le profiling et le ciblage comportemental de l'internaute lui-même.
Outre ce détournement de commissions, la publicité elle-même peut contenir du code malicieux ainsi que le serveur. D'autres parasites peuvent s'installer puisque Trojan.Qhost.WU a pu s'installer.
BitDefender
http://www.bitdefender.com/VIRUS-1000239-en--Trojan.Qhost.WU.html
GNT - Génération MT
http://www.generation-nt.com/bitdefender-google-publicite-qhost-actualite-51051.html
| Historique des révisions de ce document : |
|
18.12.2007 Mise à jour - Ajouté trojan.qhost.wu
|
Rédigé en écoutant :
Music
Music