Skip navigation

Analyse de 160 millions de sites Internet : Google et compagnie délivrent-ils des programmes malveillants ?

Les moteurs de recherche tels que Google, etc. connaissent plus d’un milliard de sites Internet et traitent 4 à 6 milliards de requêtes de recherche dans le monde entier, et ce, tous les jours. Mais combien de programmes malveillants se cachent dans ces résultats de recherche ? En 2015 et 2016, AV-TEST a respectivement analysé 80 millions de sites Internet et a constaté une évolution inquiétante.

Les moteurs de recherche affichent-ils aussi des liens avec des programmes malveillants dans leurs résultats ?

L’analyse de 80 millions de liens par an démontre que le nombre de liens infectés ne cesse de progresser.

La base de données inclut les résultats de nombreux moteurs de recherche différents et de tweets envoyés sur Twitter.

L’aperçu de l’analyse démontre clairement que le nombre de liens infectés affichés dans les résultats de recherche ne cesse d’augmenter.

Dès 2013, le laboratoire d’AV-TEST avait examiné combien de pages infectées se trouvaient parmi les résultats des moteurs de recherche. À l’époque déjà, les exploitants de moteurs de recherche tels que Google, etc. s'efforçaient de filtrer les résultats, mais n’arrivaient pas à maîtriser l’énorme flot de programmes malveillants. Pour l’étude actuelle, tous les résultats collectés de janvier 2015 à août 2016 ont été intégrés à la base de données.

Le fait est que le nombre de résultats infectés progresse d’année en année depuis 2013 alors que les exploitants de moteurs de recherche tentent de les filtrer à l’aide de nombreuses techniques.

80 millions de résultats de recherche analysés par an

La base de données collectées par AV-TEST durant ces 20 derniers mois est gigantesque. Durant toute l’année 2015, le laboratoire a ainsi analysé plus de 80 millions de sites Internet des moteurs de recherche en contrôlant la présence de programmes malveillants. Cette vérification s’est également poursuivie en 2016. Durant les 8 derniers mois, plus de 80 millions de sites Internet ont également été examinés. Cela permet de mieux comparer les résultats. Les sites Internet analysés proviennent, en proportions différentes, des moteurs de recherche de Google, Bing, Yandex et Faroo. De plus, plus de 315 millions de tweets en 2015 et plus de 200 millions de tweets en 2016 ont été vérifiés pour détecter des liens malveillants envoyés sur Twitter.

Les exploitants de moteurs de recherche filtrent les résultats au préalable et éliminent les liens infectés. Google ambitionne une meilleure protection avec ses outils de Navigation sécurisée. Ils fonctionnent dans l’interface de recherche ou sont disponibles via Firefox et Chrome si l’internaute utilise un autre moteur de recherche que Google. Mais la technologie Navigation sécurisée de Google élimine-t-elle vraiment les liens malveillants supplémentaires de façon fiable ? Cette question a aussi été analysée par le laboratoire.

Les testeurs ont examiné les sites Internet à divers stades :

Combien de sites Internet sont donc infectés ?

En fin de compte, les deux analyses d’AV-TEST effectuées de janvier 2015 à août 2016 ont fourni deux résultats finaux importants (sans Navigation sécurisée de Google) :

  • 2015, 80 millions de sites Internet examinés : 18 280 pages infectées
  • 2016 (jusqu’en août), 81 millions de sites Internet examinés : 29 632 pages infectées

À titre de comparaison : dès 2013, 5 060 programmes malveillants avaient été identifiés pour environ 40 millions de sites examinés. Il n’y a pas besoin d’être mathématicien pour constater cette courbe de croissance évidente.

Le résultat de l’analyse est déjà suffisamment grave en soi. Mais qu’en est-il de l’efficacité des outils de Navigation sécurisée de Google examinant des millions de sites Internet :

  • 2015, 80 millions de sites Internet examinés : 9 725 avertissements
  • 2016 (jusqu’en août), 81 millions de sites Internet examinés : 19 794 avertissements

Il est intéressant de remarquer que ce ne sont pas exactement les mêmes sites Internet qui ont été filtrés par le système de scanners VTEST. En effet, VTEST élimine les pages conduisant directement à un programme malveillant à télécharger et les pages attaquant directement l’internaute. Cela inclut les sites d’hameçonnage qui tentent de récupérer des données.

Voilà pourquoi le laboratoire a effectué un contre-essai : toutes les pages avec des programmes malveillants identifiées par AV-TEST ont été consultées avec les outils de Navigation sécurisée de Google. Voici ce qu’ils ont signalé :

  • 2015 : 18 280 sites avec des programmes malveillants, 555 avertissements Google
  • 2016 : 29 632 sites avec des programmes malveillants, 1 337 avertissements Google

Risque supplémentaire : les tweets sur Twitter

Une grande partie des 80 millions de liens étudiés proviennent de tweets envoyés sur Twitter. En 2015, plus de 315 millions de tweets ont été examinés puis près de 23 millions de liens en ont été extraits et vérifiés. En 2016, les chiffres s’élèvent à 200 millions de tweets avec environ 25 millions de liens. Avec plus de 1 100 programmes malveillants en 2015 et 1 500 programmes malveillants en 2016, les liens des tweets sont à peu près aussi souvent infectés que les liens filtrés par Google. Twitter semble donc également vérifier les liens et filtrer les tweets dangereux. Au final, Twitter échoue cependant à cette mission de la même manière que les moteurs de recherche.

Quels sont les programmes malveillants se cachant dans ces sites ?

Tous les types d’attaques étaient représentés parmi les 80 millions de sites Internet examinés. 2 millions des liens examinés en 2015 (2,2 millions en 2016) ne renvoyaient pas à un site Internet, mais déclenchaient aussitôt un téléchargement. À plus de 10 000 reprises en 2015 et près de 18 000 fois en 2016, le programme malveillant devait être délivré directement par téléchargement.

Dans un peu plus de 60 % des cas, l’attaque est essayée directement par un fichier. Les 40 % d’attaques restants ont recours à des fragments de code, Java, Flash ou d’autres exploits pour les failles de sécurité.

Le laboratoire a enregistré les types de fichiers utilisés pour les attaques puis en a établi le Top 5. Comme prévu, la première place est occupée par les fichiers EXE. Voici le classement :

  • EXE : fichiers EXE exécutables
  • ZIP : fichiers comprimés d’archives 
  • RAR : fichiers comprimés d’archives
  • SWF : fichier multimédia Adobe Flash
  • MSI : fichier de Microsoft Windows Installer

De nombreux autres types de fichiers enregistrés suivent ensuite avec 10 exemplaires identifiés ou moins.

Les moteurs de recherche présentent des sites Internet infectés

Certes, le nombre des sites Internet infectés identifiés lors du test n’est pas élevé, mais il faut prendre en compte leur potentiel. À lui seul, Google répond à environ 2 à 3 milliards de requêtes de recherches par jour à partir d’un pool estimé à 1,1 milliard de sites Internet. Ce faisant, il faut tenir compte du fait qu’un site de sport populaire est par exemple consulté 100 000 fois tandis qu’un site sur l’élevage de hamsters nains ne l’est que 100 fois. De même, un site infecté peut être affiché 1 000 fois par jour alors qu’un autre ne l’est que 10 fois.

Il est donc pratiquement impossible d’estimer combien de pages infectées par des programmes malveillants parcourent Internet. Les résultats collectés lors des tests des années passées montrent cependant que le nombre de sites contaminés avec des programmes malveillants ne cesse de progresser. Rien qu’entre 2015 et août 2016, les testeurs ont constaté une augmentation de plus de 60 % dans le petit pool de 80 millions de sites examinés !

Les experts recommandent toujours un logiciel de protection

Malgré les efforts des exploitants de moteurs de recherche et les techniques comme les outils de navigation sécurisée de Google, force est de constater que les programmes malveillants continuent de progresser en ligne. Les experts d’AV-TEST ne peuvent donc que recommander sans cesse à tous les utilisateurs d’utiliser une solution de protection pour leurs ordinateurs ou appareils mobiles. À ce sujet, le laboratoire publie constamment sur son site Internet des tests des logiciels de protection pour Windows, Mac, iOS et Android.

Les attaquants profitent du dynamisme d’Internet

Maik Morgenstern,
Directeur technique
d'AV-TEST GmbH

Bien qu’AV-TEST surveille et analyse continuellement les sites Internet depuis 20 mois, il ne s’agit toujours que d’un nouveau cliché instantané. Internet est bien trop dynamique pour des statistiques rigides à long terme.

Même pour un institut tel qu’AV-TEST, la recherche n’est pas toujours aisée. L’interprétation finale des données de l’étude concernant les programmes malveillants dans les résultats de recherche en est un parfait exemple. Certes, l’étude montre de façon fiable combien de sites Internet ou de liens avec des contenus infectés ou des programmes malveillants sont affichés par les moteurs de recherche. Cependant, elle ne peut pas dire depuis combien de temps un site Internet malveillant est en ligne et combien de fois il a été affiché.

Le laboratoire a tenté d’analyser ce qui se passe lorsqu’on saisit des mots-clés actuels, il a analysé les sites Internet affichés et a répété cette procédure après 14 jours. Résultat : environ 25 à 30 % de nouveaux sites sont venus s’y ajouter. En pourcentage, ces nouvelles pages sont aussi infectées que celles de la première requête de recherche. De nouveaux sites avec de nouveaux programmes malveillants les ont rejoints.

Internet évolue sans cesse et ne peut donc pas être recensé de manière statique. Un autre aspect complique encore la recherche. En effet, les exploitants de moteurs de recherche exigent le paiement de frais de service pour accéder à leur base de données via une API, lesquels dépendant du volume de consultation. C’est déjà le cas concernant Google et c’est à l’ordre du jour pour Bing.

Soyons clairs, les exploitants de moteurs de recherche ne sont pas des chasseurs de virus. Il s’agit d’une tâche supplémentaire qu’ils n’effectuent toutefois pas vraiment volontairement. Ainsi, si les utilisateurs étaient victimes de plus en plus de liens infectés et donc de fichiers malveillants, alors ils ne tarderaient pas à envisager un autre moteur de recherche.

Partagez ceci :