Il y a une semaine, un utilisateur s'inscrit sur le forum de PCA afin de demander de l'aide. De temps en temps quand celui-ci va sur son site personnel hébergé sur ifrance.com, son ordinateur devient complètement "fou".

milou32 .

Depuis à peu près une quinzaine de jours quand je tape l'adresse de mon site Firefox commence à charger le site puis ferme et je me retrouve avec un message sur mon bureau de xponlinescanner.com qui me dit que mon PC est peut être infecté que je dois le scanner, etc.. en fermant le message je me retrouve automatiquement dirigé sur leur site qu'il faut fermer tout de suite sinon ils commencent à scanner mon PC. J'ai lu dans des forums que c'était un site malveillant. Je n'ai aucun problème avec les autres sites internet, et ça ne le fait pas à chaque fois.

Source: Problème d'acces à mon site internet

Cette personne était loin d'imaginer que les publicités diffusées par les serveurs d'iFRANCE, en échange d'un service "gratuit", étaient à l'origine de ses problèmes et par la même occasion de ses visiteurs !

Historiquement, c'est vers la fin de l'année 2007 que les premiers incidents de ce type ont clairement commencés à faire surface. eWeek avait dès lors publié un article intitulé : "DoubleClick displaying ads that promoted rogue antispyware.". Très vite, la situation de DoubleClick s'était clarifiée par un communiqué sur le Sunbelt Blog : "Rogue ads pushing malware, how it works." accompagné par une vidéo réalisée par Roger Thompson. L'intervention d'Alex Eckelberry : "There's a live sample still up — curious researchers can download it." va susciter l'intérêt de nombreuses personnes de la communauté sur cette problématique. Dans la liste de nos connaissances qui sont les plus impliquées dans la recherche de ce type de menaces, on retrouve Sandi Dawn Hardmeier qui gère avec brio le blog SpywareSucks. Il y a aussi une française, Kimberly. Elle opère principalement sur les forums US, comme par exemple sur Bluetack Internet Security Solutions mais aussi sur MalWare Removal ou SpyWare Info ou encore sur SpyWare Warrior (Hello Suzi :þ), la liste est longue...

Kim s'occupe de la section "Malware Playground" du forum B.I.S.S. Le sujet intitulé Flash Mystery, or how you get infected by *.SWF files est régulièrement alimenté, riche en détails techniques, en méthodes et outils pour l'analyse de ces fichiers. Au passage, un clin d'oeil à Adopstools pour la mise à disposition de son outil, Online Click Checker.

Après lecture de ces documents, vous allez vous apercevoir que ces "malvertizements" ne sont pas des cas isolés. Même si ce fléau est jeune, il touche des grands sites dans le monde comme par exemple MySpace, Yahoo, Photobucket, USAToday, ... En France, il y a eu des cas chez Disney, TF1, France2, France3, RadioFrance, RFO, Clubic, JeuxVideo, SNCF, ...

Malgré les articles de presse sur le sujet, la majorité des entreprises "victimes" restent sourdes en terme de communication de peur de se voir attribuer une mauvaise image, en somme, une mauvaise publicité (ironique, non ?). Il faut bien assimiler que le problème vient principalement des régies et non des sites victimes puisqu'ils n'hébergent pas ces publicités !

Comprenez bien qu'il est impossible à l'être humain de dissocier une animation flash publicitaire saine d'une autre contenant du code malveillant. Bien heureusement, les éditeurs anti-virus ont réagi rapidement pour contrer ces bannières flash malicieuses. Nommés Trojan-Downloader.SWF.Gida ou bien Troj/Gida ; en l'absence de CME, tous les noms comprenant le mot Gida, en référence au premier fichier flash découvert nommé 'gnida.swf'.

Aujourd'hui, cela fait exactement une semaine que iFrance a été prévenu et à plusieurs reprises. Cependant, aucune réponse, il est impossible de passer une seule barrière, pas de communication - silence radio. Ce n'est pas comme si c'était un simple détail, il s'agit ici de la sécurité de plusieurs milliers de français. Par prudence, nous vous recommandons d'ajouter temporairement le serveur image.ifrance.com à votre fichier hosts et si vous êtes à l'avenir confronté à être sollicité pour un logiciel de sécurité quel qu'il soit, ne payez rien, refusez systématiquement.

Message à la société iEurop. .

Nous vous serions gréé de bien vouloir donner suite aux emails qui vous ont été envoyés et très reconnaissant de votre part si vous pouviez vous mettre en relation avec Kimberly ou Sandy; ne serait-ce que pour confirmer que vous avez bien connaissance de tous les éléments. Merci d'avance pour votre coopération !