Des publicités malveillantes dans la version gratuite de Spotify

La période est décidément propice aux attaques d’envergure sur le plan de la sécurité. Après le vol des certificats de sécurité SSL chez le fournisseur Comodo et l’injection de code SQL sur le site officiel de MySQL, voilà que le célèbre client de musique en streaming Spotify est à son tour victime d’un problème. Il s’agit cette fois de publicités malveillantes.

spotify windows recovery 

Un réparateur qui n'en a que le nom

Spotify est une plateforme qui est rapidement devenue très utilisée de par la taille de son catalogue et les performances du service. Bien qu’il soit possible de choisir entre plusieurs formules d’abonnements qui apportent différents avantages, dont l’utilisation illimitée sur les téléphones mobiles, Spotify se décline aussi dans une version gratuite sous Windows. Seule compensation : l’affichage de publicités, comme c’est souvent le cas avec les versions gratuites.

Mais voilà que durant les derniers jours, des utilisateurs du client gratuit ont été touchés par des publicités d’un genre un peu particulier. Ces publicités menaient en effet vers des sites web utilisant le Blackhole Exploit Kit. Ce dernier prenait alors le relais pour installer un malware que certains ne connaissent que trop : le faux antivirus Windows Recovery.

spotify windows recovery 

Comme le précise la société de sécurité Websense, les publicités malveillantes ne sont pas un phénomène nouveau. Ce qui l’est en revanche, c’est leur présence directement au sein de l’application Spotify.

Car cette intégration donne à la publicité les mêmes pouvoirs que l’application Spotify elle-même. L’utilisateur n’a pas à cliquer sur la publicité : son seul affichage suffit à déclencher l’attaque. L’utilisation du Blackhole Exploit Kit entraîne la recherche d’un certain nombre de failles à exploiter, dont l’une se situe dans le Reader d’Adobe.

La publicité n'était qu'une première étape

S’il se trouve que vous possédez une version de Reader présentant la vulnérabilité, un PDF est alors téléchargé et ouvert par le système. Le fichier est bien entendu malveillant, et c’est par le truchement d’un code arbitraire que le faux antivirus Windows Recovery va se mettre en place. Si ce dernier parvient jusque-là, les choses vont commencer à largement se compliquer pour l’utilisateur. Windows Recovery se connecte en effet à neuf domaines différents :
  • tuartma.in
  • rappour.in
  • findstiff.org
  • searchcruel.org
  • findclear.org
  • replity.in
  • searchgrubby.org
  • demivee.in
  • ripplig.in
But de la manœuvre : télécharger toujours plus de contenu malveillant, dont un rootkit de la branche Alureon/TDSS.

Un très mauvais coup de publicité pour Spotify qui avait bien entendu procédé au plus urgent en désactivant complètement le système de publicités tierces, avant de mener son enquête. Durant le week-end, le service est revenu à la normale, et la société a communiqué pour indiquer que seuls les utilisateurs de la version gratuite en Europe ont été concernés, la France, l’Espagne, la Suède et le Royaume-Uni pour l’essentiel.

Spotify a également envoyé un message d’excuse :
« Un certain nombre d’utilisateurs de la version Free/Open sous Windows au Royaume-Uni, en France, en Suède et en Espagne ont été visés par un virus contenu dans une publicité qui a commencé à être diffusée hier matin [vendredi, ndlr].

Nous avons rapidement retiré toutes les publicités tierces afin de protéger les utilisateurs et pour s’assurer que Spotify ne présentait pas de risque à l’utilisation. Nous avons alors isolé et retiré la publicité malveillante. Les utilisateurs qui possédaient un antivirus ont été protégés.

Nous nous excusons sincèrement devant ceux qui ont été affectés. Nous continuerons à travailler dur pour s’assurer que cela ne se reproduira pas et que nos utilisateurs profitent de Spotify de manière sécurisée et en confiance
. »
Espérons en effet que l’incident ne se reproduise pas, car il est complexe pour une entreprise de redorer le blason d’un produit quand celui-ci provoque de telles conséquences. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !