Les auteurs présumés des malwares Fireball ont été arrêtés à Pékin le mois dernier. Accusés d’avoir eu recours à des méthodes criminelles pour diffuser de la publicité et collecter des données personnelles, ils ont avoué devant la justice chinoise. Ils auraient réussi à accumuler plus de 10 millions d'euros en moins de deux ans.
Plutôt qu’un malware, Fireball désigne une véritable famille de logiciels malveillants. Youndoo, Trotux, Startpageing123, Luckysearch123, Hohosearch ou encore Yessearches en font partie, et tous ou presque ont les mêmes objectifs.
Check Point, qui a suivi de près l’affaire, indiquait dans un rapport du 2 juin qu’environ 250 millions d’ordinateurs, PC et Mac, avaient été touchés par l’un des membres de cette famille. Un chiffre remis en cause par Microsoft qui, dans un autre rapport le 22 juin, indiquait que le nombre de machines infectées devait se situer aux alentours de 5 millions. La dangerosité était, elle, confirmée.
La police chinoise n’a cependant pas attendu de savoir qui avait raison.
Une question de business
Le rapport de Check Point pointait en effet du doigt une entreprise bien particulière : Rafotech. Basée à Pékin, elle était suspectée d’être à l’origine de tous les malwares mentionnés précédemment, dans le but essentiellement de faire afficher de la publicité par des moyens détournés. Une suspicion qui n’a rien d’extraordinaire, tant la pratique a déjà été vue, notamment sur Android.
C’est cette entreprise qui a été perquisitionnée par les forces de police chinoises. Selon l’agence de presse JRJ locale, les agents ont arrêté 14 employés, dont les trois principaux responsables : le PDG, le directeur technique et le directeur de l’exploitation. Sur ces 14 personnes, 9 auraient été arrêtées alors qu’elles tentaient de supprimer des données de leurs ordinateurs. Toujours selon la police chinoise, la totalité des suspects auraient avoué.
Selon les estimations actuelles des forces de l’ordre, 80 millions de yuans (un peu plus de 10 millions d’euros) auraient été générés par les activités illégales basées sur les malwares.
Pirater les internautes via leurs navigateurs
Le principal vecteur de diffusion pour Fireball était l’inclusion dans des paquets existants. Le malware était ainsi introduit en bundle avec une autre application, une pratique malheureusement courante selon Check Point.
Selon la société en effet, des entreprises ont fleuri pour exploiter une zone grise dans la plupart des cadres juridiques. Les adwares n’étant pas considérés comme criminels – à la grande différence des malwares – elles proposent des services gratuits et souhaitent s’alimenter en données personnelles en retour. Mais le bundle contient des « fonctionnalités supplémentaires » qui, si l’utilisateur les installe, peuvent très bien contenir cette fois des malwares.
Une fois en place, Fireball installe des extensions dans les navigateurs et modifie leur configuration pour changer le moteur de recherche et la page de démarrage. Ce n’est que le début puisque le malware peut ensuite réaliser de nombreuses opérations : espionnage du trafic web, redirection, récupération d’autres malwares, exécution de code arbitraire et ainsi de suite.
Au centre du dispositif, on trouve de faux moteurs de recherche qui redirigent les requêtes vers Google ou Yahoo. Ces faux moteurs cherchaient également à afficher des publicités frauduleuses pour générer des revenus, tout en espionnant les habitudes de navigation via des pixels de tracking.
Une goutte d’eau
Pour la police chinoise, c’est bien le rapport initial de Check Point le 2 juin qui a mis le feu aux poudres. Dès le lendemain en effet, elle recevait une plainte anonyme visant Rafotech. La police aurait alors procédé à une enquête qui aurait rapidement montré l’ampleur des activités. Les arrestations ont eu lieu dès le 15 juin. L’information n’a visiblement pas été donnée à la presse avant que les suspects n’avouent devant la justice.
Pour autant, ces activités se répandent au sein de structures conçues dans l’idée même de jouer sur les flous juridiques et autres zones grises. Ces entreprises sont nombreuses et opèrent pratiquement au grand jour. Le site officiel de Rafotech (qui n’est plus en ligne) n’hésitait ainsi pas à revendiquer sa capacité à atteindre 300 millions d’internautes pour diffuser des contenus marketing. Un chiffre d’ailleurs assez proche des 250 millions de machines pointées par Check Point.
Selon le Beijing Times en tout cas, la police serait bien décidée à faire un peu de ménage dans ce domaine. À voir donc dans les mois et années à venir si la quête sera couronnée de succès.
