XSS

Google empoisonné

poison

Poison

L’actualité autour de Google a été particulièrement chargée ce week-end et l’erreur de manipulation qui a conduit tous les utilisateurs du moteur de recherche à ne plus savoir où cliquer pendant près d’une heure samedi 31 janvier 2009 a été largement reprise par la presse grand public.

Mais j’ai relevé une autre actualité très intéressante – ou inquiétante. Le blog de la société TrendLabs nous signale la diffusion particulièrement offensive d’un ver dénom « AQPLAY-A » ces temps-ci. Sa particularité ? Son mode de diffusion par l’empoisonnement massif des résultats du moteur de recherche Google (ou SEO poisoning – search engine optimisation). Il s’agit de l’utilisation abusive de mots-clés et de techniques de référencement permettant de se retrouver en tête des résultats du moteur de recherche.

Ainsi, TrendLabs relève plus de 400.000 requêtes parfaitement légitimes sur la partie « Vidéo » du moteur de recherches conduisant systématiquement à un site web invitant à télécharger un plug-in se faisant passer pour une mise à jour du moteur d’affichage Flash de la société Adobe et sensé permettre d’afficher la vidéo recherchée.

Et ce n’est pas la première fois qu’une telle technique est utilisée. Les exemples sont nombreux : ainsi, le 28 mars dernier, le chercheur en sécurité Dancho Danchev expliquait de façon détaillée les techniques utilisées combinant l’empoisonnement SEO et l’injection dans le cache Google de fenêtres IFRAME insérées par la méthode du cross-site scripting (XSS) (quelques explicationsen suivant ce lien), favorisant la contamination des visiteurs. De même, en décembre 2007, Redtape chez MSNBC.com publiait un article assez complet sur les différentes techniques mises en œuvre.

C’est effectivement le rôle d’une société comme Google d’être attentive à ces phénomènes et à faire rapidement le ménage dès qu’un abus est repéré. Et elle le fait régulièrement, comme noté dans les articles cités. Mais l’utilisateur doit aussi être attentif : ne pas cliquer sur des résultats de recherche au contenu bizarre, ne pas installer des logiciels conseillés par des sites web auxquels on n’a pas de raison de faire confiance et se méfier des fenêtres pop-up intempestives et autres méthodes agaçantes d’incitation au clic dont abusent systématiquement ces sites de diffusion de logiciels malicieux.