Faux antivirus

Un faux logiciel de sécurité, ou faux antivirus, est une forme de logiciel malveillant qui trompe les utilisateurs en leur faisant croire qu'il y a un virus sur leur ordinateur.

Qu'est-ce qu'un faux antivirus ?

Un faux antivirus, faux logiciel de sécurité, ou rogueware, est une forme de logiciel malveillant dont le but est de faire croire aux utilisateurs qu'ils ont un virus sur leur ordinateur. Il demande ensuite de l'argent pour fournir un faux outil de suppression de logiciel malveillant, qui introduit en réalité un logiciel malveillant sur l'ordinateur.

Un faux antivirus peut être considéré comme une forme de logiciel de rançon. Il est souvent lié à de grands réseaux de cybercriminalité dans lesquels les pirates distribuent des kits de chevaux de Troie et sont payés pour chaque installation réussie.

 

Vecteurs d’infection

Le faux antivirus se sert d'erreurs humaines et de manipulations pour passer outre les mesures de sécurité. Alors que la victime visite un site Web spécialement conçu à cet effet, une boîte de dialogue s'affiche pour la prévenir qu'elle a été infectée par un virus et lui proposer une (fausse) solution antivirus pour résoudre le problème. Le but est alors d'alarmer la victime et de susciter chez elle une réponse précipitée et irréfléchie : acheter la solution.

Certains distributeurs de logiciels malveillants utilisent des techniques d'optimisation de moteur de recherche malveillantes (SEO black hat) pour faire monter les URL infectées en haut de la liste des résultats d'un moteur de recherche sur les actualités récentes. Si la victime clique alors sur une URL malveillante, elle est redirigée via une série de sites vers une page lui indiquant que sa machine est infectée et présentant le téléchargement d'une "version d'évaluation" du faux programme antivirus.

Certains faux logiciels de sécurité se propagent également sur les ordinateurs des utilisateurs sous la forme de téléchargements de circonstance exploitant des vulnérabilités de sécurité dans les navigateurs Web, les visionneuses de PDF ou les clients de courrier électronique.

Le démarchage téléphonique via des services tels que Skype est aussi devenu un vecteur de distribution de ce type de logiciel malveillant, avec des appelants se présentant comme le "Support Microsoft" ou toute autre organisation légitime.

 

Comment fonctionne un faux antivirus

Une fois installé, le faux logiciel de sécurité peut tenter d'inciter l'utilisateur à acheter un service ou un logiciel supplémentaire de plusieurs façons :

  • En alertant l'utilisateur avec la fausse détection de logiciels malveillants ou de pornographie sur le disque dur ou à l'adresse IP de l'ordinateur.
  • En affichant un message simulant un blocage puis un redémarrage du système.
  • En désactivant certaines parties du système pour empêcher l'utilisateur de désinstaller le logiciel malveillant ou faire en sorte qu'il soit immédiatement réinstallé.
  • Certaines variantes de faux antivirus peuvent aussi empêcher les programmes antimalveillance de s'exécuter et désactiver les mises à jour automatiques du logiciel système.

Les alertes dynamiques en avant-plan ou en arrière-plan ne sont normalement plus utilisées par les systèmes d'exploitation. Si des alertes apparaissent alors que l'utilisateur n'est pas en train de se servir de l'ordinateur, il y a lieu de se méfier.

 

Faux antivirus et logiciels alarmants

Certains faux logiciels de sécurité possèdent aussi des caractéristiques de logiciels alarmants (scareware) ou de logiciels de rançon en présentant des offres pour résoudre des problèmes de performances urgents ou effectuer un nettoyage essentiel sur l'ordinateur, ainsi qu'en tentant de lui faire peur au moyen d'alertes dynamiques à l'aspect authentique pouvant imiter des avertissements système réels.