Comment identifier un site web malveillant ?

par | Avr 15, 2019 | Sécurité des emails

comment-identifier-site-web-malveillant

La plupart d’entre nous ignorent qu’il n’est pas nécessaire de télécharger intentionnellement une pièce jointe infecté de malware ; de visiter un site web connu pour être malveillant ; ou de cliquer sur un lien malveillant dans le contenu d’un e-mail pour compromettre la sécurité de votre ordinateur ou de votre réseau. Les sites de téléchargements par « Drive-by » sont actuellement les principaux moyens utilisés par les pirates pour compromettre votre sécurité en ne faisant rien de plus que visiter un site web malveillant. D’autre part les attaques de phishing sont en forte augmentation et amènent de plus en plus les internautes à visiter par inadvertance des sites web contrôlés par des pirates informatiques.

Toutes ces raisons soulignent l’importance de former vos employés pour qu’ils sachent comment identifier les sites web malveillants et de trouver des moyens fiables de protéger votre ordinateur à l’aide d’un programme de sécurité Internet solide pour protéger vos ordinateurs et vos réseaux contre les malwares.

Vous devriez également installer une puissante solution de filtrage web pour vous assurer que les compétences de vos employés en matière d’identification de sites web malveillants ne sont jamais mises à l’épreuve.

Qu’est-ce qu’un site web malveillant ?

Les sites web malveillants hébergent des malwares ou sont utilisés pour soutirer des informations sensibles. Dans ce dernier cas, les utilisateurs sont amenés à révéler des données sensibles comme les identifiants de connexion aux sites de leurs banques en ligne.

Les malwares peuvent nécessiter une certaine interaction de l’utilisateur avant d’être installés. La tactique des cybercriminels consiste à solliciter les visiteurs à télécharger un programme de sécurité, en les informant que leur ordinateur est infecté par un autre malware, ce qui n’est pas vraiment le cas. D’autres pirates informatiques peuvent, quant à eux, proposer d’autres fonctionnalités comme un économiseur d’écran gratuit, ou demander aux utilisateurs de télécharger une fausse facture sous un format PDF.

Les cybercriminels mettent au point des moyens ingénieux pour compromettre vos réseaux. Les escrocs et les cybercriminels envoyaient principalement des courriels contenant des pièces jointes infectées. En double-cliquant sur la pièce jointe, l’ordinateur et le réseau pourront être infectés par un malware. Souvent, cette action n’était pas détectée par les logiciels antivirus. Une analyse complète du système devait alors être effectuée avant que le malware ne soit identifié.

Les utilisateurs d’ordinateurs sont maintenant beaucoup plus prudents et savent qu’il ne faut jamais ouvrir les pièces jointes qui leur sont envoyées par des expéditeurs inconnues et ne jamais double-cliquer sur un fichier exécutable. Les pirates informatiques et autres cybercriminels ont donc dû chercher d’autres moyens de plus en plus sophistiqués pour obtenir les identifiants des utilisateurs et les inciter à installer manuellement des malwares. L’un des moyens qu’ils utilisent actuellement est le développement de sites web malveillants.

Pour ce faire, ils contactent les utilisateurs en leur envoyant un courriel contenant des liens pointant vers des sites web, ainsi qu’une raison valable et pertinente pour visiter ces sites. Ce genre de lien est également envoyé fréquemment dans des messages en provenance de réseaux sociaux ou placés dans des publicités de sites web tiers. En cliquant sur ces liens, les utilisateurs vont ainsi être redirigés automatiquement vers de faux sites. Cela se fait souvent par le biais du phishing.

Les sites de phishing

Les attaques de phishing sont généralement basées sur le principe de déguisement. Les pirates informatiques usurpent les adresses électroniques de leurs victimes et envoient des messages malveillants à leurs contacts, en donnant l’impression que l’e-mail est légitime ; créent de faux sites web malveillants ressemblant à ceux auxquels leurs victimes font confiance et utilisent des jeux de caractères pour masquer les URL.

Il existe actuellement de nombreux kits de phishing, ce qui permet aux cybercriminels – même ceux qui n’ont que peu de compétences techniques – de lancer facilement des campagnes de phishing. Un kit de phishing regroupe des ressources et des outils de sites web malveillants qui ne doivent être installés que sur un serveur. Une fois installé, le pirate n’a plus qu’à envoyer des e-mails frauduleux à ses victimes potentielles.

Des kits de phishing et des listes de diffusion sont désormais disponibles sur le dark web. Quelques sites comme Phishtank et OpenPhish tiennent les listes de kits de phishing les plus connus. Certains de ces kits permettent aux pirates d’usurper des marques de confiance, ce qui augmente les chances que quelqu’un clique sur un lien frauduleux et atterrisse sur un site web malveillant.

A noter que 96 % des attaques de phishing sont lancées via les e-mails. Mais le phishing peut également se faire via le téléphone, les médias sociaux, le téléphone, les SMS et éventuellement les sites web malveillants.

Le téléchargement par « Drive-by »

Les sites web malveillants sont de plus en plus utilisés par les pirates informatiques pour héberger des « Exploit kits ». Ces kits d’exploitation sondent les navigateurs des visiteurs pour identifier les vulnérabilités de sécurité. Si une vulnérabilité est détectée, un malware peut s’installer automatiquement sur l’ordinateur ou le réseau, sans aucune interaction de l’utilisateur. Une simple visite d’un site web peut donc impliquer l’installation de malwares sur le disque dur d’un ordinateur ou sur un lecteur réseau.

Cette méthode de cyberattaque s’appelle « Drive-by Download ». On utilise le terme téléchargement « Drive-by » parce que l’utilisateur n’a pas besoin de s’arrêter ni de cliquer n’importe où sur la page malveillante pour que son appareil ou son réseau soit compromis. Le simple fait de visualiser la page web malveillante suffit à provoquer l’infection. Celle-ci se produit en arrière-plan, sans que l’utilisateur le sache ou y consente.

Lors d’une attaque par « Drive-by », les criminels compromettent un site web légitime en y injectant ou en y intégrant des objets malveillants. Les infections sont invisibles pour l’utilisateur et vont du code JavaScript malveillant aux iFrames, en passant par les malversations, les liens, les redirections, les scripts intersites et bien d’autres éléments malveillants.

Lorsqu’un utilisateur ouvre la page infectée, son navigateur charge automatiquement le code malveillant. Celui-ci analyse immédiatement son ordinateur à la recherche de failles de sécurité dans le système d’exploitation et les applications. La triste réalité est que presque toutes les applications présentent des failles de sécurité.

Bien entendu, les éditeurs de logiciels réputés publient des mises à jour afin de corriger les vulnérabilités connues, mais elles ne sont pas souvent installées. Selon les statistiques fournies par Google, seuls 38 % des utilisateurs mettent à jour immédiatement ou automatiquement leurs applications lorsqu’une nouvelle version est disponible. De plus, les pirates informatiques savent découvrir les failles de sécurité avant les fournisseurs de logiciels. Il y a donc un risque qu’un cybercriminel trouve et exploite une quelconque faiblesse, même pour ceux qui appliquent immédiatement les mises à jour de leurs systèmes d’exploitation ou applications.

Voici quelques-unes des méthodes que les pirates informatiques utilisent souvent pour attaquer un système :

  • Installation de keyloggers dans le but de capturer et d’enregistrer les frappes de la victime.
  • Utilisation de ransomwares pour chiffrer des données ou fichiers sur un appareil et exiger le paiement d’une rançon en échange de la clé de déchiffrement.
  • Déploiement de réseaux de botnets qui transmettent secrètement des spams ou des malwares à d’autres ordinateurs et réseaux.
  • Installation de malwares conçus pour charger d’autres malwares sans les détecter.
  • Recherche d’identifiants, de mots de passe, d’informations sur les comptes d’utilisateurs. Le malware parvient souvent à collecter des identifiants de connexion et d’autres informations sensibles stockées dans des fichiers, navigateurs ou autres applications.
  • Installation d’un malware du type « man-in-the browser » pour capturer, insérer ou modifier des données dans des formulaires web en vue d’effectuer des transactions non autorisées à l’insu de la victime.
  • Renvoi de fichiers de données sensibles ou d’autres documents au pirate.
  • Création d’une porte dérobée, permettant au cybercriminel d’installer des malwares supplémentaires, de modifier et d’ajouter des comptes d’utilisateurs, ou bien d’augmenter les niveaux de privilège.

Si vous voulez que votre système d’information ne soit pas infecté par des malwares, alors, tous vos collaborateurs doivent apprendre à identifier les sites web malveillants. Il incombe à vos administrateurs système et aux autres professionnels de l’informatique de les former à ce sujet.

Comment identifier un site web malveillant ?

Il existe des moyens simples de reconnaître un site web qui tente d’installer un malware :

  • Le site web vous demande de télécharger un logiciel, d’enregistrer un fichier ou d’exécuter un programme
  • La visite du site web lance automatiquement une fenêtre de téléchargement
  • Vous êtes invité à télécharger une facture ou un reçu, sous un format PDF, ZIP ou RAR, ou sous forme d’un fichier exécutable ou un fichier économiseur d’écran (.scr).

Un site web malveillant peut également vous dire que :

  • Votre ordinateur est déjà infecté par des malwares
  • Votre plug-in ou votre navigateur n’est plus à jour
  • Vous avez gagné un concours ou un tirage au sort gratuit. Les cybercriminels peuvent aussi vous offrir de l’argent gratuit ou des coupons qui vous obligent à entrer votre carte de crédit ou vos coordonnées bancaires.

Si l’on vous demande de télécharger des fichiers ou de mettre à jour votre logiciel, effectuez une vérification du site via Google et essayez de déterminer s’il est authentique. En cas de doute, ne téléchargez aucun fichier.

Si on vous dit que votre navigateur n’est plus à jour, visitez le site web officiel du navigateur et vérifiez son numéro de version. Ne téléchargez que des mises à jour à partir de sites web officiels.

Vous avez accidentellement visité sur un site de téléchargement par « drive by » et entré vos identifiants ? A ce stade, il se peut qu’il soit trop tard pour empêcher le téléchargement de malwares. Pour mieux vous protéger, assurez-vous donc que votre navigateur, vos add-ons et vos plug-ins sont à jour à 100%.

Pensez également à utiliser une solution logicielle qui permet de bloquer l’accès aux ce genre de faux site web.

Autres indications techniques qui peuvent indiquer qu’un site web est faux

L’adresse URL semble suspecte

Vous devez toujours être très attentif à l’orthographe de l’adresse URL d’un site web. En fait, pour faire croire aux utilisateurs qu’ils se trouvent sur un site légitime, les pirates informatiques s’en tiendront autant que possible à la véritable adresse en apportant de légères modifications à l’orthographe.

Par exemple, vous savez très bien que l’adresse https://google.com est sûre. Par contre, l’adresse https://google.[quelque chose].com ne l’est pas. Il s’agit d’un sous-domaine de [quelque chose].com, lequel pourrait être un site web malveillant. Pour éviter ce type d’escroquerie, il importe d’examiner de près l’URL ou l’adresse du site web.

En général, nous lisons les choses de gauche à droite, mais pour ce cas précis, vous devriez les lire de droite à gauche. Cela vous permettra de savoir d’où vient le site web et si c’est bien celui que vous voulez vraiment consulter.

Le protocole utilisé est HTTP

Si le site utilise le protocole http, cela devrait également attirer votre attention car il peut s’agir d’un site malveillant. L’URL d’un site web sécurisé doit commencer par « https » plutôt que « http ». Le « s » à la fin du terme « http » signifie « sécurisé », c’est-à-dire que le site utilise une connexion SSL (« Secure Sockets Layer »). Autrement dit, vos informations sont chiffrées avant d’être envoyées à un serveur.

Malheureusement, certains sites légitimes n’ont pas encore mis à niveau leurs URL vers https. Il faut également faire attention, car toutes les URL commençant pas https ne sont pas sûres. De plus, ce système n’est pas infaillible. Au cours de l’année dernière, le nombre de sites de phishing utilisant des certificats SSL a fortement augmenté. Le conseil à donner aux utilisateurs est d’être particulièrement prudents et de rechercher des preuves supplémentaires pour identifier la légitimité du site qu’ils souhaitent visiter.

L’icône de verrouillage ne s’affiche pas

L’icone de verrouillage est aussi un autre signe à rechercher lorsque vous allez consulter une page web. Une icône sous forme de cadenas devrait s’afficher quelque part dans la fenêtre de votre navigateur web. Elle peut être placée à différents endroits.

N’oubliez pas de cliquer sur l’icône pour vérifier que le site web en question est digne de confiance. Ne vous contentez pas de la chercher et de supposer que la plate-forme est sécurisée. Si vous cliquez dessus, votre navigateur web vous donnera des informations détaillées concernant l’authenticité du site. N’oubliez donc pas de lire attentivement ces informations.

La présentation du site en général est mal conçue

La création d’un site web officiel nécessite beaucoup de travail et de réflexion. Les graphismes doivent être nets, la grammaire et l’orthographe doivent être parfaites, et l’ensemble de l’expérience de navigation doit être impeccable.

Si vous vous trouvez sur un site malveillant ou un site de phishing, malgré sa similitude avec le site légitime, l’expérience sera inférieure à la norme. Cela pourrait indiquer que vous vous êtes égaré sur un site malveillant. De simples fautes d’orthographe, des erreurs grammaticales ou des images en basse résolution devraient susciter votre curiosité et vous signaler que vous vous êtes égaré sur un site de phishing et que vous devez vérifier les autres indications susmentionnées immédiatement.

Le propriétaire du site semble louche

Tout propriétaire d’un site web devra enregistrer le domaine de son adresse web. Pour savoir à qui appartient un site Internet, il est recommandé de faire une recherche WHOIS. C’est un service gratuit qui vous permettra de vérifier qui est le propriétaire du site web lors de sa création, ainsi que ses coordonnées. Il convient par exemple d’éveiller les soupçons si vous pensez être sur le site d’une marque internationale basée à Paris, mais que l’adresse web est enregistrée au nom d’une personne en Australie.

Un autre élément d’un site web qui pourrait indiquer qu’il s’agit d’un site de phishing est l’absence de la section « Contactez-nous ». Tout site officiel dispose généralement d’une page dédiée à la fourniture des coordonnées complètes de leur entreprise. Il peut s’agit d’une adresse postale, d’un numéro de téléphone, d’une adresse électronique ou encore des liens de réseaux sociaux. Si aucune de ces informations n’est fournie, vous devriez considérer le site comme suspect.

Comment empêcher les utilisateurs finaux de visiter un site web malveillant ?

N’oubliez pas, même les sites web légitimes peuvent être piratés et utilisés par les pirates pour héberger un code malveillant. Dans ce cas, ils peuvent contenir des publicités qui peuvent ensuite être utilisées pour diriger leurs visiteurs vers de faux sites web contenant des malwares. La meilleure défense est donc de bloquer ces publicités et ces sites web malveillants.

Voici quelques mesures que vous pouvez adopter facilement :

  • Supprimez les plug-ins et les logiciels inutiles. Vos ordinateurs ont tendance à se remplir d’applications et de plug-ins de navigateur qui ne sont ni utiles ni entretenus par les développeurs. Si vous les supprimez, vous réduisez considérablement vos risques de violation des données et de consulter des sites malveillants.
  • Mettez votre logiciel à jour constamment et rapidement. Lorsqu’un fournisseur de logiciels publie une mise à jour, les pirates s’empressent de faire de l’ingénierie inverse et de cibler les internautes qui n’ont pas appliqué la mise à jour. Configurez vos navigateurs, votre système d’exploitation, et toutes les applications pour qu’ils se mettent à jour automatiquement.
  • N’utilisez pas un compte privilégié pour le travail quotidien. Chaque fois que vous naviguez sur le web en utilisant un compte privilégié, des téléchargements par « Drive-by » et d’autres malwares peuvent avoir lieu sans votre autorisation explicite. Conservez deux comptes distincts sur votre ordinateur. Utilisez un compte non privilégié pour votre travail quotidien et toutes vos activités en ligne. Utilisez un compte administrateur différent pour l’installation de applications, et uniquement à cette fin. L’utilisation de l’Internet sans droits d’administration réduit considérablement le risque de visite d’un site web malveillant et le téléchargement réussi de différentes sortes de malwares.
  • Dans la mesure du possible, désactivez les applications Java et JavaScript. Si nécessaire, n’hésitez pas à inscrire les sites de confiance qui le nécessitent sur une liste blanche.
  • Installez un bloqueur de publicité. Les attaques par téléchargement en voiture utilisent fréquemment les publicités comme vecteurs d’infection. L’installation d’un bloqueur de publicités contribuera à réduire l’exposition à ces types d’attaques.
  • Utilisez un pare-feu. Bien qu’un pare-feu n’arrête pas nécessairement les malwares sophistiqués, un pare-feu peut être efficace pour détecter les sites web malveillants et bloquer les menaces connues.

En fin de compte, le blocage de l’accès à des sites web est un processus simple

Tout ce que vous devez faire, c’est d’installer une puissante solution de filtrage web. Les solutions de filtrage WebTitan vous aideront à sécuriser votre réseau en empêchant les utilisateurs de visiter des sites connus pour héberger des malwares.

WebTitan utilise deux puissantes solutions antimalwares et antiphishing (Bitdefender et Clam AV) qui permettent de détecter les sites hébergeant des malwares. Une fois que les sites malveillants sont détectés, ils sont bloqués.

WebTitan peut également être paramétré pour empêcher l’accès à des contenus douteux ou illégaux.

Si vos employés sont formés sur l’identification d’un site web malveillant ; et si vous installez un logiciel de filtrage web fiable, vos réseaux seront certainement mieux protégés contre les attaques par des malwares.