Analyse de 160 millions de sites Internet : Google et compagnie délivrent-ils des programmes malveillants ?

80 millions de résultats de recherche analysés par an

La base de données collectées par AV-TEST durant ces 20 derniers mois est gigantesque. Durant toute l’année 2015, le laboratoire a ainsi analysé plus de 80 millions de sites Internet des moteurs de recherche en contrôlant la présence de programmes malveillants. Cette vérification s’est également poursuivie en 2016. Durant les 8 derniers mois, plus de 80 millions de sites Internet ont également été examinés. Cela permet de mieux comparer les résultats. Les sites Internet analysés proviennent, en proportions différentes, des moteurs de recherche de Google, Bing, Yandex et Faroo. De plus, plus de 315 millions de tweets en 2015 et plus de 200 millions de tweets en 2016 ont été vérifiés pour détecter des liens malveillants envoyés sur Twitter.

Les exploitants de moteurs de recherche filtrent les résultats au préalable et éliminent les liens infectés. Google ambitionne une meilleure protection avec ses outils de Navigation sécurisée. Ils fonctionnent dans l’interface de recherche ou sont disponibles via Firefox et Chrome si l’internaute utilise un autre moteur de recherche que Google. Mais la technologie Navigation sécurisée de Google élimine-t-elle vraiment les liens malveillants supplémentaires de façon fiable ? Cette question a aussi été analysée par le laboratoire.

Les testeurs ont examiné les sites Internet à divers stades :

• Consultation du site et vérification avec VTEST, le système comprenant de multiples logiciels antivirus développé par AV-TEST.
• Consultation du site avec les outils de Navigation sécurisée de Google étant donné que la plupart des pages en ligne sont consultées via Google et avec les navigateurs Chrome et Firefox. Les outils de Navigation sécurisée sont intégrés à ces derniers.

Combien de sites Internet sont donc infectés ?

En fin de compte, les deux analyses d’AV-TEST effectuées de janvier 2015 à août 2016 ont fourni deux résultats finaux importants (sans Navigation sécurisée de Google) :

• 2015, 80 millions de sites Internet examinés : 18 280 pages infectées
• 2016 (jusqu’en août), 81 millions de sites Internet examinés : 29 632 pages infectées

À titre de comparaison : dès 2013, 5 060 programmes malveillants avaient été identifiés pour environ 40 millions de sites examinés. Il n’y a pas besoin d’être mathématicien pour constater cette courbe de croissance évidente.

Le résultat de l’analyse est déjà suffisamment grave en soi. Mais qu’en est-il de l’efficacité des outils de Navigation sécurisée de Google examinant des millions de sites Internet :

• 2015, 80 millions de sites Internet examinés : 9 725 avertissements
• 2016 (jusqu’en août), 81 millions de sites Internet examinés : 19 794 avertissements

Il est intéressant de remarquer que ce ne sont pas exactement les mêmes sites Internet qui ont été filtrés par le système de scanners VTEST. En effet, VTEST élimine les pages conduisant directement à un programme malveillant à télécharger et les pages attaquant directement l’internaute. Cela inclut les sites d’hameçonnage qui tentent de récupérer des données.

Voilà pourquoi le laboratoire a effectué un contre-essai : toutes les pages avec des programmes malveillants identifiées par AV-TEST ont été consultées avec les outils de Navigation sécurisée de Google. Voici ce qu’ils ont signalé :

• 2015 : 18 280 sites avec des programmes malveillants, 555 avertissements Google
• 2016 : 29 632 sites avec des programmes malveillants, 1 337 avertissements Google

Risque supplémentaire : les tweets sur Twitter

Une grande partie des 80 millions de liens étudiés proviennent de tweets envoyés sur Twitter. En 2015, plus de 315 millions de tweets ont été examinés puis près de 23 millions de liens en ont été extraits et vérifiés. En 2016, les chiffres s’élèvent à 200 millions de tweets avec environ 25 millions de liens. Avec plus de 1 100 programmes malveillants en 2015 et 1 500 programmes malveillants en 2016, les liens des tweets sont à peu près aussi souvent infectés que les liens filtrés par Google. Twitter semble donc également vérifier les liens et filtrer les tweets dangereux. Au final, Twitter échoue cependant à cette mission de la même manière que les moteurs de recherche.

Quels sont les programmes malveillants se cachant dans ces sites ?

Tous les types d’attaques étaient représentés parmi les 80 millions de sites Internet examinés. 2 millions des liens examinés en 2015 (2,2 millions en 2016) ne renvoyaient pas à un site Internet, mais déclenchaient aussitôt un téléchargement. À plus de 10 000 reprises en 2015 et près de 18 000 fois en 2016, le programme malveillant devait être délivré directement par téléchargement.

Dans un peu plus de 60 % des cas, l’attaque est essayée directement par un fichier. Les 40 % d’attaques restants ont recours à des fragments de code, Java, Flash ou d’autres exploits pour les failles de sécurité.

Le laboratoire a enregistré les types de fichiers utilisés pour les attaques puis en a établi le Top 5. Comme prévu, la première place est occupée par les fichiers EXE. Voici le classement :

• EXE : fichiers EXE exécutables
• ZIP : fichiers comprimés d’archives 
• RAR : fichiers comprimés d’archives
• SWF : fichier multimédia Adobe Flash
• MSI : fichier de Microsoft Windows Installer

De nombreux autres types de fichiers enregistrés suivent ensuite avec 10 exemplaires identifiés ou moins.

Les moteurs de recherche présentent des sites Internet infectés

Certes, le nombre des sites Internet infectés identifiés lors du test n’est pas élevé, mais il faut prendre en compte leur potentiel. À lui seul, Google répond à environ 2 à 3 milliards de requêtes de recherches par jour à partir d’un pool estimé à 1,1 milliard de sites Internet. Ce faisant, il faut tenir compte du fait qu’un site de sport populaire est par exemple consulté 100 000 fois tandis qu’un site sur l’élevage de hamsters nains ne l’est que 100 fois. De même, un site infecté peut être affiché 1 000 fois par jour alors qu’un autre ne l’est que 10 fois.

Il est donc pratiquement impossible d’estimer combien de pages infectées par des programmes malveillants parcourent Internet. Les résultats collectés lors des tests des années passées montrent cependant que le nombre de sites contaminés avec des programmes malveillants ne cesse de progresser. Rien qu’entre 2015 et août 2016, les testeurs ont constaté une augmentation de plus de 60 % dans le petit pool de 80 millions de sites examinés !

Les experts recommandent toujours un logiciel de protection

Malgré les efforts des exploitants de moteurs de recherche et les techniques comme les outils de navigation sécurisée de Google, force est de constater que les programmes malveillants continuent de progresser en ligne. Les experts d’AV-TEST ne peuvent donc que recommander sans cesse à tous les utilisateurs d’utiliser une solution de protection pour leurs ordinateurs ou appareils mobiles. À ce sujet, le laboratoire publie constamment sur son site Internet des tests des logiciels de protection pour Windows, Mac, iOS et Android.