Hoax : pourquoi menacent-ils votre sécurité en ligne ?

Quelle est la signification du verdict du hoax et pourquoi ces programmes sont un problème de plus en plus important ?

Les produits Kaspersky reconnaissent certains programmes comme un « hoax ». Analysons la signification de ce verdict, dans quels cas nos produits arrivent à cette conclusion et pourquoi les utilisateurs devraient se méfier de ces programmes.

Les astrologues ont annoncé que ce serait l’année du hoax : les détections ont doublé

Nous avons décidé de rédiger cet article parce que nos produits de sécurité en ligne détectent de plus en plus de hoax. Le nombre d’utilisateurs ayant détecté ce genre de programmes malveillants a doublé cette année. En résumé, de plus en plus d’utilisateurs sont en danger. Il vaut mieux prendre le temps d’analyser le problème et commencer par une brève discussion de fond.

Beaucoup d’utilisateurs se plaignent parce que leur ordinateur est long à s’allumer, parce que les applications mettent du temps à se lancer, ou parce que le système plante et affiche un message d’erreur. Tout le monde s’est retrouvé dans cette situation à un moment donné. Toutes les données obstruent l’ordinateur pendant les opérations, ce qui affecte la vitesse de traitement.

L’offre dépend de la demande et c’est pourquoi les programmes qui promettent d’accélérer et nettoyer les ordinateurs se sont vite multipliés. Cette forte croissance a commencé à la fin des années 2000 et ne s’est jamais arrêtée.

Les programmes de nettoyage font généralement une recherche pour détecter les fichiers non utilisés ou temporaires, les clés de registre, les programmes exécutés au démarrage, et bien d’autres, pour ensuite communiquer la présence de ces « déchets numériques » à l’utilisateur qui décide alors si le programme nettoie l’ordinateur ou non. Ces services améliorent tout de même la performance générale du système.

Malheureusement, les logiciels de nettoyage/d’optimisation ne sont pas tous inoffensifs. Beaucoup de cybercriminels se fondent parmi ces développeurs honnêtes qui créent ces programmes et cherchent à aider les utilisateurs.

Qu’est-ce qu’un « hoax » ?

Certains programmes de nettoyage et d’optimisation d’ordinateur obligent l’utilisateur à faire un paiement pour se débarrasser des menaces soi-disant détectées. Deux caractéristiques principales permettent de distinguer les bons des mauvais :

  • Pour commencer, la personne mal intentionnée trompe délibérément l’utilisateur en exagérant le risque ou en rapportant des erreurs qui n’existent pas.
  • Ensuite, ils obligent, et non invitent, les utilisateurs à faire un achat et expliquent que le problème ne peut pas être résolu sans ce paiement.

Chez Kaspersky, nous avons décidé de parler de hoax – programme qui induit l’utilisateur en erreur lorsque nous faisons référence à ces programmes. Voici quelques exemples de verdicts que les produits de sécurité Kaspersky ont attribué à ces programmes :

  • HEUR:Hoax.Win32.Uniblue.gen
  • Win32.PCFixer.gen
  • Win32.DeceptPCClean.*
  • Win32.PCRepair.*
  • HEUR:Hoax.Win32.PCRepair.gen
  • HEUR:Hoax.MSIL.Optimizer.gen
  • Win32.SpeedUpMyPC.gen

Fonctionnement de ces programmes

Une fois installés, les programmes « hoax » lancent l’analyse du système. Ils scannent tout ce que les programmes de nettoyage peuvent aussi vérifier. Une fois l’analyse terminée, une fenêtre s’affiche et communique à l’utilisateur toutes les informations relatives aux erreurs détectées.

C’est le principal problème de ce type de logiciel malveillant. L’utilisateur voit des messages intimidants qui indiquent le nombre considérable d’erreurs détectées dans le système. Voici l’exemple d’un « programme de nettoyage » qui exagère les problèmes qu’il pourrait y avoir avec les clés de registre :

Exemple d’un programme de nettoyage qui exagère l’importance des problèmes qui pourraient être liés aux clés de registre

 

L’outil peut aussi détecter un vrai bug mais le présente comme plus important en utilisant des termes trompeurs. Par exemple, nous voyons ce qu’il en est de la mise à jour du pilote mais le statut ne passe que de « vieux » à « ancien ».

Cet outil évalue la dernière version du pilote mais ne propose que « vieux », « très vieux » ou « ancien ».

 

Certains programmes malveillants refusent de se fermer lorsque l’utilisateur clique sur la croix x et affiche une autre fenêtre avec le message suivant : « Niveau de dégâts : élevé. »

Une autre fenêtre menaçante s’affiche si vous essayez de fermer le programme

 

Les programmes « hoax » aiment aussi activer l’exécution automatique et bombarder l’utilisateur de notifications pop-up qui disent que l’ordinateur a un problème.

Notification pop-up du canular

 

Mais ils ne se limitent pas à l’écosystème de Windows. Voici un canular qui apparaît sous MacOS et qui indique que le registre légèrement élevé et l’utilisation du cache sont critiques.

Exemple d’un « hoax » sous MacOS

 

L’utilisateur doit acheter la version complète du logiciel pour résoudre le problème. La plupart de ces programmes malveillants suppriment vraiment tous les fichiers qu’ils ont trouvé une fois que la version complète a été acquise mais, comme nous l’avons dit, ces services ne sont pas vraiment nécessaires. Certains de ces programmes ne nettoient rien du tout. Dans le meilleur des cas l’utilisateur paie trop, et dans le pire des cas il dépense de l’argent pour rien.

Des adwares et l’opportunité de gagner un cheval de Troie

Certains des créateurs de ces programmes de nettoyage frauduleux sont avides et veulent aller encore plus loin. Ils profitent de leur œuvre pour installer d’autres programmes sur l’ordinateur de l’utilisateur. Il s’agit généralement d’un adware mais ce peut aussi être un cheval de Troie.

Par exemple, si cet autre programme est associé à un hoax, alors l’ordinateur de la victime pourrait être partiellement bloqué. Le logiciel décrit ci-après, s’affiche en plein écran, se superpose à la barre d’outils et bloque les tentatives pour passer d’un programme à l’autre. Pour ce faire, vous devez utiliser le raccourci Alt+Tab ou appuyer sur F11 pour quitter le mode plein écran.

Écran qui bloque l’ordinateur et propose d’ouvrir l’accès à distance

 

Ensuite, l’utilisateur doit saisir un code pour déverrouiller l’ordinateur (qu’il n’a pas, évidemment) ou autoriser l’accès à distance via TeamViewer, AnyDesk ou n’importe quel programme d’accès à distance dont les icônes apparaissent clairement en haut à droite de l’écran.

Comment le hoax pénètre dans l’ordinateur ?

Les développeurs de « hoax » s’en prennent aux utilisateurs personnels qui ne connaissent pas vraiment les systèmes d’exploitation des dispositifs ou s’inquiètent peu de nettoyer et de mettre à jour le système.

Beaucoup d’utilisateurs cherchent une solution sur Internet lorsque l’ordinateur commence à ralentir. Ils peuvent alors télécharger une application « hoax » s’ils ne font pas attention.

Il existe une autre méthode de distribution des hoax. Vous pouvez télécharger un canular à travers des offres promotionnelles ou des pages d’arnaques. Un adware infecté pourrait ressembler à cela :

Exemple d’infection qui peut être téléchargée à partir d’un adware qui vous propose d’optimiser votre ordinateur.

 

Vous pouvez aussi consulter des pages frauduleuses qui proposent des « services » de nettoyage et d’optimisation lorsque vous visitez des sites douteux. Par exemple, cette page affiche une notification pour dire qu’un spyware a été détecté dans votre ordinateur.

Exemple d’une page qui imite un site Microsoft et effraie l’utilisateur en parlant de virus

 

En général, l’utilisateur a le choix entre deux options : contacter l’ « assistance technique » (qui vous soutire de l’argent au téléphone) ou télécharger un hoax. Ne croyez pas un mot de ce que ces pages vous disent. Fermez-les immédiatement.

Une autre technique de plus en plus courante consiste à diffuser un programme hoax via les fenêtres pop-up du navigateur que certains utilisateurs acceptent sans y penser. Les notifications push du navigateur sont très populaires de nos jours (y compris entre les cybercriminels) et elles commencent à engendrer de vrais problèmes.

Tout le monde ne comprend pas leur fonctionnement, d’où elles viennent et comment elles peuvent être désactivées. Certains utilisateurs ne savent même pas qu’elles viennent de leur navigateur et qu’elles peuvent avoir été envoyées par des sites qui ont de mauvaises intentions.

Notifications de navigateur qui redirigent les utilisateurs pour qu’ils téléchargent un hoax

 

Une fois que l’utilisateur a cliqué sur la notification, il est redirigé vers des pages frauduleuses qui se font passer pour des outils de sécurité. Voici l’exemple d’un site Internet frauduleux qui imite l’interface de Windows Defender :

Page frauduleuse imitant l’interface de Windows Defender

 

Une fois que l’utilisateur est suffisamment effrayé par tous les problèmes que son ordinateur semble avoir, il est redirigé vers une page pour télécharger un hoax.

Page de téléchargement d’un hoax

 

Statistiques relatives à la distribution et à l’emplacement des hoax

Comme nous l’avons dit au début de cet article, nous avons remarqué fin 2018 une hausse significative de l’offre proposée sur le marché des logiciels d’optimisation frauduleux. Cette augmentation persiste. Le nombre d’utilisateurs affectés a doublé depuis le début de l’année dernière et cela s’est aussi traduit par une élévation des plaintes.

Nos statistiques montrent que le Japon est le pays préféré des créateurs et distributeurs de hoax puisqu’au cours de ces dernières années un utilisateur sur huit en a été victime. L’Allemagne et étonnamment la Biélorussie sont les suivants. L’Italie et le Brésil complètent ce top 5.

Les développeurs d’antivirus arrivent d’une certaine façon à endiguer l’épidémie puisqu’ils peuvent bannir certains programmes frauduleux du « marché ».

En échange, plusieurs distributeurs de hoax arrêtent d’utiliser un modèle de distribution qui repose sur l’intimidation et décident d’informer correctement l’utilisateur, de ne pas exagérer la gravité des problèmes qu’ils découvrent et de proposer des versions gratuites de leurs produits pour que l’utilisateur puisse les essayer. Malgré tout, la bataille est loin d’être gagnée.

Pourquoi les applications « hoax » sont-elles dangereuses ?

Nous pensons qu’il est important que les utilisateurs les connaissent pour plusieurs raisons :

  • Les créateurs de ces programmes trompent délibérément les utilisateurs en exagérant la gravité des problèmes qu’ils détectent ou en mentionnant des problèmes qui n’existent pas.
  • Ces « services » peuvent être excessivement chers.
  • Certains de ces programmes ne résolvent aucun problème réel et ne font que créer une illusion.
  • Certains créateurs installent aussi d’autres logiciels qui vont de l’adware au véritable malware avec tous ses programmes associés.

Comment se protéger des programmes hoax ?

Voici quelques conseils de sécurité en ligne qui vont vous aider à vous protéger des menaces :

  • Ignorez les avertissements intimidants relatifs aux virus et erreurs détectés dans votre ordinateur qui apparaissent sur des sites Internet. Ne cliquez jamais sur ces fenêtres, ne téléchargez rien et ne les laissez surtout pas s’installer.
  • Choisissez un outil de nettoyage de qualité si vous souhaitez en installer un. Faites quelques recherches et tenez compte de ce que disent les textes publiés par des entreprises reconnues en informatique.
  • Installez un antivirus de confiance pour éviter une mauvaise rencontre. Ce programme vous avertit s’il s’agit d’un programme frauduleux.

 

Conseils