Sites Torrent : Etude sur la diffusion massive de malwares

Une étude commandée par Digital Citizens Alliance (DCA), un groupe spécialisé dans les recherches liées au cybercrime, à RiskIQ, une entreprise de cyber-sécurité, s’est intéressée à un échantillon de 800 sites torrent et a estimé qu’un site de torrent sur trois a distribué des logiciels malveillants sur la période allant de juin à août 2015.

Entre $200 et $5000 par jour pour un opérateur

Le chiffre total a de quoi faire peur : la proportion est en effet suffisante pour infecter potentiellement au bas mot 12 millions d’internautes américains par mois, comme l’avancent les chercheurs. Les pirates gagnent en moyen de 20 à 45 dollars par internaute infecté, ce qui ferait près de 70 millions de dollars de bénéfices rien que durant l’année 2015 ! Des programmes d’affiliation spéciaux destinés aux gérant de tels portails torrent grand public affichent des gains variant entre 200 et 5000 dollars de gains par jour et par site, selon sa taille et son trafic Web.

dca-gains

L’objectif de ce rapport était de trouver les connexions entre les contenus des « sites distribuant des copies illégales de films et de séries TV » et les logiciels malveillants. Pour cela, les chercheurs ont scindé l’étude en deux parties, avec d’un côté une étude quantitative durant laquelle était analysé le taux d’exposition aux logiciels malveillants sur un échantillon de contenu issu de ces types de sites et qui a été comparé à un groupe de contrôle représentatif des autres sites web, et de l’autre, une étude sur l’écosystème de distribution des logiciels malveillants et le rôle joué par les sites de torrent.

Un panel représentatif de 800 sites torrents

800 sites de téléchargement illicites ont ainsi constitué l’univers de recherche pour l’étude. Parmi ce panel, 25 sites sont directement issus de l’édition 2015 du rapport Notorious Market, le top 25 des sites issus du Google Transparency Report (GTR) le mois précédent le scan, et 750 sites sélectionnés au hasard dans la pile du haut (250), du milieu (250) et du bas (250) du GTR avec au minimum 20 000 demandes de retrait pour cause de violation du droit d’auteur depuis la création du GTR.

Le groupe de contrôle pour sa part se devait de représenter les médias légaux ainsi que les sites d’ordre général : 100 sites ont été sélectionnés sur la liste des médias légaux publiée par Where to Watch, un site qui publie des substituts légaux aux sites de téléchargement violant le copyright. 150 sites ont été sélectionnés en se référant au classement Alexa et en utilisant la même méthode qu’avec GTR afin de diversifier au maximum le panel.

L’étude a conclu que 33 % des sites du lot sélectionné sont liés à au moins un incident lié à un logiciel malveillant durant le mois. De plus, l’étude a montré que les utilisateurs étaient 28 fois plus susceptibles d’être infectés par des logiciels malveillants lors de la visites de ces même sites.

45% des infections via « Drive-by downloads »

Comment les logiciels malveillants se propagent-ils ? Sur 45 % des cas, ils sont téléchargés via le technique du « drive-by downloads », qui ne nécessite aucun action de la part de l’utilisateur, puisqu’il suffit que se dernier se rende simplement sur la page Web compromise avec son navigateur habituel. Dans 55 % des cas, c’est l’utilisateur qui doit lui-même initialiser le téléchargement (l’exemple le plus probant reste la fausse mise à jour Flash Player, technique largement exploitée par les pirates depuis de nombreuses années).

dca-report

Les chevaux de Troie et les adwares sont les logiciels malveillants prédominants avec respectivement 54 % et 29 % des parts, bien loin des botnets et de leurs 3 %. L’étude explique que « peu de personnes qui utilisent les sites à contenus piratés, ou dont les membres de leur famille utilisent de tels sites, réalisent qu’elles sont devenues la cible de logiciels malveillants. Et des logiciels malveillants impliquent bien plus qu’un ordinateur qui devient lent, il expose tout le monde qui l’utilise (enfant, épouse, colocataire) à la possibilité d’être la victime d’un schéma criminel quelconque ». Typiquement, les risques pour les consommateurs ont été répertoriés en trois catégories :

  • le vol de données : c’est le problème le plus récurrent. Les chevaux de Troie comme Dyre, Zeus, Shyloc ou Ramnit ont été conçus pour voler les identifiants des victimes à grande échelle. Une fois que l’utilisateur a malencontreusement téléchargé le malware sur sa machine, l’attaquant est alors en mesure de récupérer les identifiants de la victime (y compris ses données de connexion bancaire si elles sont présentes) et de les revendre sur le marché noir au prix du marché et selon la qualité des données personnelles. Rappelons que l’usage de ce type de malware ne requiert aujourd’hui aucune compétence technique puisqu’il suffit de louer de tels outils prêts à l’emploi sur le forums spécialisés. S’ajoutent à cela, les « passwords stealer » et autres keyloggers.
  • les rançongiciels (ransomwares) : avec ce type de malware, les pirates chiffrent automatiquement les données présentes sur les machines des victimes. Vient alors la demande de rançon pour leur proposer de recouvrer leurs précieuses données en échange… Généralement, la rançon est comprise entre 100 et 500 dollars, mais peut cependant augmenter pour des « gros poissons » jusqu’à 1000 voir 10 000 dollars. En juin 2015, le FBI a rapporté avoir reçu des plaintes qui se chiffraient à 18 millions de perte à cause des rançongiciels sur l’année 2014 uniquement.
  • les RAT : ici l’attaquant a un accès complet à l’ordinateur, en direct, il en prend le contrôle à distance. Non seulement il peut y implanter d’autres malwares, récupérer des données privées sensibles ou même des fichiers, mais ils peuvent également avoir accès aux périphériques comme la webcam et le micro. Le rapport note qu’il arrive souvent que de tels attaquants en profitent pour faire chanter leur victime après avoir pris une photo ou vidéo nue ou avoir saisi des documents compromettants sur son ordinateur. D’autres en profitent pour activer la webcam pour des sessions de streaming de la vie privée de la victime qui seront vendues sur les forums de voyeurs.

A noter que même les annonceurs sont menacés. En 2014, Double Verify, un spécialiste de la vérification du commerce de la publicité, a observé que les sites aux contenus piratés ont des caractéristiques uniques qui les rendent idéals pour un blanchiment de trafic. Ils ont un fort trafic, mais le contenu piraté fait fuir les annonceurs premium. Aussi, les schémas de fraudes leur permettent de gagner de l’argent sur le dos de ces annonceurs premium à leur insu. Pour les personnes derrière les fraudes à la publicité, un site à contenu piraté offre un vase pour recueillir de précieux clics d’utilisateurs. Le rapport tire la sonnette d’alarme : « la prolifération de logiciels malveillants via les sites à contenus piratés, qui s’est vue multipliée par trois, devrait inquiéter les annonceurs ». Pourquoi ? Parce que plus de malwares implique plus de bots, mais également plus de bloqueurs de publicités.

Le rapport chiffre à 3,3 millions de dollars le montant annuel généré par l’échantillon de 229 sites de l’échantillon. En faisant des projections avec les 4865 sites du GTR qui ont reçu au minimum 1000 demandes de retrait pour violation de droit d’auteur l’année dernière, ils ont estimé à 70 millions de dollars le revenu annuel de ce type d’activité.

torrent-malwares

No comments yet... Be the first to leave a reply!

Laisser moi votre sentiment....

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s