Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Coup de filet de la police chinoise contre les auteurs du malware Fireball

Une vaste zone grise
Internet 4 min
Coup de filet de la police chinoise contre les auteurs du malware Fireball
Crédits : fergregory/iSotkc/Thinkstock

Les auteurs présumés des malwares Fireball ont été arrêtés à Pékin le mois dernier. Accusés d’avoir eu recours à des méthodes criminelles pour diffuser de la publicité et collecter des données personnelles, ils ont avoué devant la justice chinoise. Ils auraient réussi à accumuler plus de 10 millions d'euros en moins de deux ans.

Plutôt qu’un malware, Fireball désigne une véritable famille de logiciels malveillants. Youndoo, Trotux, Startpageing123, Luckysearch123, Hohosearch ou encore Yessearches en font partie, et tous ou presque ont les mêmes objectifs.

Check Point, qui a suivi de près l’affaire, indiquait dans un rapport du 2 juin qu’environ 250 millions d’ordinateurs, PC et Mac, avaient été touchés par l’un des membres de cette famille. Un chiffre remis en cause par Microsoft qui, dans un autre rapport le 22 juin, indiquait que le nombre de machines infectées devait se situer aux alentours de 5 millions. La dangerosité était, elle, confirmée.

La police chinoise n’a cependant pas attendu de savoir qui avait raison.

Une question de business

Le rapport de Check Point pointait en effet du doigt une entreprise bien particulière : Rafotech. Basée à Pékin, elle était suspectée d’être à l’origine de tous les malwares mentionnés précédemment, dans le but essentiellement de faire afficher de la publicité par des moyens détournés. Une suspicion qui n’a rien d’extraordinaire, tant la pratique a déjà été vue, notamment sur Android.

C’est cette entreprise qui a été perquisitionnée par les forces de police chinoises. Selon l’agence de presse JRJ locale, les agents ont arrêté 14 employés, dont les trois principaux responsables : le PDG, le directeur technique et le directeur de l’exploitation. Sur ces 14 personnes, 9 auraient été arrêtées alors qu’elles tentaient de supprimer des données de leurs ordinateurs. Toujours selon la police chinoise, la totalité des suspects auraient avoué.

Selon les estimations actuelles des forces de l’ordre, 80 millions de yuans (un peu plus de 10 millions d’euros) auraient été générés par les activités illégales basées sur les malwares.

Pirater les internautes via leurs navigateurs

Le principal vecteur de diffusion pour Fireball était l’inclusion dans des paquets existants. Le malware était ainsi introduit en bundle avec une autre application, une pratique malheureusement courante selon Check Point.

Selon la société en effet, des entreprises ont fleuri pour exploiter une zone grise dans la plupart des cadres juridiques. Les adwares n’étant pas considérés comme criminels – à la grande différence des malwares – elles proposent des services gratuits et souhaitent s’alimenter en données personnelles en retour. Mais le bundle contient des « fonctionnalités supplémentaires » qui, si l’utilisateur les installe, peuvent très bien contenir cette fois des malwares.

fireball malware
Crédits : Check Point

Une fois en place, Fireball installe des extensions dans les navigateurs et modifie leur configuration pour changer le moteur de recherche et la page de démarrage. Ce n’est que le début puisque le malware peut ensuite réaliser de nombreuses opérations : espionnage du trafic web, redirection, récupération d’autres malwares, exécution de code arbitraire et ainsi de suite.

Au centre du dispositif, on trouve de faux moteurs de recherche qui redirigent les requêtes vers Google ou Yahoo. Ces faux moteurs cherchaient également à afficher des publicités frauduleuses pour générer des revenus, tout en espionnant les habitudes de navigation via des pixels de tracking.

Une goutte d’eau

Pour la police chinoise, c’est bien le rapport initial de Check Point le 2 juin qui a mis le feu aux poudres. Dès le lendemain en effet, elle recevait une plainte anonyme visant Rafotech. La police aurait alors procédé à une enquête qui aurait rapidement montré l’ampleur des activités. Les arrestations ont eu lieu dès le 15 juin. L’information n’a visiblement pas été donnée à la presse avant que les suspects n’avouent devant la justice.

Pour autant, ces activités se répandent au sein de structures conçues dans l’idée même de jouer sur les flous juridiques et autres zones grises. Ces entreprises sont nombreuses et opèrent pratiquement au grand jour. Le site officiel de Rafotech (qui n’est plus en ligne) n’hésitait ainsi pas à revendiquer sa capacité à atteindre 300 millions d’internautes pour diffuser des contenus marketing. Un chiffre d’ailleurs assez proche des 250 millions de machines pointées par Check Point.

Selon le Beijing Times en tout cas, la police serait bien décidée à faire un peu de ménage dans ce domaine. À voir donc dans les mois et années à venir si la quête sera couronnée de succès. 

rafotech fireball

19 commentaires
Avatar de scandinave INpactien
Avatar de scandinavescandinave- 27/07/17 à 06:59:50

On peut bien reconnaitre une qualité à nos amis chinois. Quand ils décident de faire le ménage, ils n'y vont pas par quatre chemins. Je ne me fait pas de soucis pour eux :)

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 27/07/17 à 07:02:23

des entreprises ont fleuri pour exploiter une zone grise dans la plupart des cadres juridiques. Les adwares n’étant pas considérés comme criminels – à la grande différence des malwares – elles proposent des services gratuits et souhaitent s’alimenter en données personnelles en retour.

Je ne vois pas trop où est la "zone grise". La pub, les régies pub et l'affichage des pubs dans les logiciels sont les fondements de l'Internet gratuit. Le deal a toujours été clair sur ce point là.

Dés lors qu'un logiciel, quel qu'il soit, s'installe à l'insu de l'utilisateur, on franchit la ligne rouge.

Avatar de barlav Abonné
Avatar de barlavbarlav- 27/07/17 à 07:24:07

127.0.0.1 a écrit :

La pub, les régies pub et l'affichage des pubs dans les logiciels sont les fondements de l'Internet gratuit.

C'est libre à chacun d'accepter des pratiques peu louables comme fondement.
Moi, la sodo, j'ai toujours refusé.
Poliment, mais non, internet gratuit n'est pas que la relation avec un en**leur de poneys comme tu prétends. Il existe autre chose.
:chinois:

Avatar de marsou INpactien
Avatar de marsoumarsou- 27/07/17 à 07:44:03

Internet gratuit : Ah bon ! Ce n'est pas ce que je pensais !

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 27/07/17 à 07:48:00

Pratiquement tout ce qui était en accès gratuit était payé par de la pub. Au point de voir l'émergence des AdBlock remettre en cause le modèle de l'internet gratuit.

Je veux bien faire une exception pour:

  • La "page perso" hébergée sur les qqs Mo fournis par le FAI (donc payé par l'utilisateur)
  • Les projets payés par des donateurs (devenus des "fondations" pour ceux qui ont survécu)
  • Les projets payés par des emprunts (qui ont été rachetés ou liquidés suivant les cas)
Avatar de barlav Abonné
Avatar de barlavbarlav- 27/07/17 à 08:00:53

Ça a été le gros essor commercial qui a motivé toutes les compagnies qui voulaient en vivre post 2000.
Mais il existe aussi une pléthore d'assos ou de particuliers qui se servent de ce média sans pour autant monayer l'activité.
Ça n'est pas une exception, c'est et ça restera l'usage "ad hoc"
:chinois:

Avatar de GérardMansoif Abonné
Avatar de GérardMansoifGérardMansoif- 27/07/17 à 08:12:40

Bonjour, j'ai du mal à saisir ton propos.

Pour moi, l'Internet est payant car je souscrit à un abonnement mensuel auprès d'une entreprise qui m'y donne accès. Le service de ma banque, je le paie, le service public, je le paie.

Après, c'est le choix de chaque éditeur de recourir au modèle économique et au consommateur de choisir s'il y adhère. Je décide ainsi de verser un abonnement à NXi mais pour le moment, je refuse de payer des journaux qui souvent passent leur temps à recopier de la dépêche AFP.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 27/07/17 à 08:26:09

Ce qui est payant c'est l'accès à Internet (d'ou le terme "fournisseur d'accès à internet").

Une fois sur internet, tu as accès à des centaines de million de sites web pour lesquels tu ne paye rien ni directement (paywall) ni indirectement (taxe/impot).

Si internet s'était limité aux seuls services que tu payes (banque, administration), ca n'aurait pas eu l'essor économique qu'on connait.

Édité par 127.0.0.1 le 27/07/2017 à 08:30
Avatar de DUNplus Abonné
Avatar de DUNplusDUNplus- 27/07/17 à 08:26:37

C'est parce que vous parlé pas de la même chose.

Toi tu pense entrée, lui il parle de contenu.

Avatar de DUNplus Abonné
Avatar de DUNplusDUNplus- 27/07/17 à 08:42:15

127.0.0.1 a écrit :

Je ne vois pas trop où est la "zone grise".

Le texte en gris écrire en taille 5 juste au dessus d'un bouton next dans un installeur d'un logiciel, ce petit bout de texte qui t'explique tout!

Il n'est plus possible de commenter cette actualité.
Page 1 / 2