Depuis plusieurs mois, les résultats publiés par Google pour de nombreux logiciels bien connus attirent les internautes vers des tentatives de fraude aux lourdes conséquences financières. Se pourrait-il que Google ait choisi le portefeuille plutôt que la sécurité de ses utilisateurs ? Pour quelque raison que ce soit ? Comment ? Les acteurs étatiques et les entreprises ne cachent plus leurs inquiétudes quant à l’impact économique potentiel.
Depuis plus de 20 ans, Google est le moteur de recherche le plus utilisé en Europe et aux États-Unis. Il occupe 92% du marché des moteurs de recherche en 2022 et est le premier réflexe de la majorité des Français pour surfer sur Internet et bénéficier des nombreux avantages qu’offre Internet. Pourtant, depuis quelques mois, dans ses premiers résultats, Google met en avant les arnaques qui usurpent l’apparence de sites authentiques pour inciter les internautes à télécharger des fichiers dangereux. Le 15 janvier, l’histoire d’un influenceur bien connu a secoué l’actualité sur Twitter : en quelques heures, il a perdu des comptes, des biens virtuels et des outils de travail par un clic malencontreux. Sa vie numérique a été volée et Google était son principal vecteur.
Comment fonctionnent ces fraudes et quels sont leurs effets ?
Sur Internet, il est facile d’enregistrer un nom de domaine qui ressemble à une marque ou à un produit connu (on parle de typosquatting). La personne malveillante qui enregistre ce nom l’utilise pour diriger l’internaute vers un site imitant l’apparence du site authentique et lui propose généralement de télécharger un programme. Dupé par un environnement familier et rassurant, le visiteur télécharge et exécute le fichier trompeur, installant un virus qui envoie généralement à l’attaquant une série d’informations sur l’ordinateur de la victime. Par exemple, une copie des mots de passe stockés dans son moteur de recherche par défaut, ou encore les jetons d’accès qui lui permettent d’accéder à sa boîte mail sans avoir à se reconnecter tous les jours. A partir de ces éléments, il devient facile de détourner les comptes de la victime, par exemple pour effectuer un virement PayPal ou forcer l’achat d’une carte cadeau Amazon. Dans le pire des cas, tous les fichiers de l’ordinateur ou d’un réseau local peuvent être pris en otage en échange du paiement d’une rançon (c’est ce qu’on appelle un ransomware ou un ransomware).
Cette technique de distribution de fichiers malveillants existe depuis de nombreuses années, mais elle oblige l’utilisateur à visiter le site Web dangereux. Or, il s’avère que le principal vecteur de prolifération de ces arnaques est la messagerie électronique, et les fournisseurs de services de messagerie ont fortement renforcé la sécurité de leurs solutions. Bien qu’il soit toujours possible d’obtenir des escroqueries bien préparées dans votre boîte de réception, la plupart des attaques n’atteignent même pas les dossiers de spam des employés des grandes entreprises. En 2022, les cyber-attaquants cherchaient d’autres solutions et se tournaient vers la plus évidente : les moteurs de recherche.
Le référencement Google met en avant des sites malveillants
En fait, Google présente deux types de résultats de recherche : le SEO (Search Engine Advertising) et le SEO (Search Engine Optimization). Le SEO s’appuie sur un algorithme complexe pour classer les résultats, tandis que le SEA présente les liens en haut de la page des annonceurs qui ont payé pour être présentés. Alors que l’on sait que certains acteurs malveillants tentent de peaufiner leur référencement naturel depuis plusieurs années, l’apparition massive de liens promotionnels liés à des sites trompeurs ne date que de quelques mois. Plusieurs sociétés de cybersécurité ont également identifié des groupes de cybercriminels connus utilisant cette technique particulière. Un analyste en sécurité, Will Dormann, a montré sur Twitter que les premiers résultats de beaucoup de logiciels légitimes (notamment open source, c’est-à-dire gratuits) sont présentés par Google pour des pages malveillantes : VLC, WinRar, Notepad++, Blender, VirtualBox et bien d’autres. .
Pourquoi cela se produit-il aujourd’hui ? Les sites malveillants existent depuis longtemps, mais cette vague d’attaques via la recherche payante est plutôt nouvelle : Internet Storm Center, le centre d’analyse de l’institut de formation SANS, en a alerté les experts le 15 décembre. Une annonce renforcée une semaine plus tard par l’alerte du FBI #I-122122-PSA, avertissant les entreprises et les citoyens américains de ce danger grandissant. L’avertissement est accompagné de conseils pour vous protéger : vérifiez l’adresse des pages que vous visitez, utilisez des adresses URL directes plutôt que des résultats de moteurs de recherche et… utilisez un bloqueur de publicités !
L’appât du gain (publicitaire) va à l’encontre de la sécurité des internautes
Car l’apparition de ces campagnes d’arnaques soutenues par Google est certainement liée à l’adoption de plus en plus massive des bloqueurs de publicités. Pour l’entreprise américaine, la publicité représente 209 milliards de dollars de revenus annuels de 256 milliards de dollars, soit environ 80 % de son chiffre d’affaires. Le gouvernement américain l’accuse également d’utiliser des techniques déloyales pour maintenir son monopole sur la publicité en ligne. Cependant, les extensions de navigateur telles que uBlock Origin ou AdBlock deviennent de plus en plus populaires compte tenu de la quantité disproportionnée de contenu publicitaire sur Internet. Si cela affecte les revenus des sites qui utilisent la publicité comme source de financement, il en sera de même pour les autres services Google directement concernés. YouTube, en particulier, a rapporté 28 milliards de dollars à l’entreprise en 2021, principalement grâce à la publicité, car son plan d’abonnement ne couvre que 50 millions de comptes. C’est donc un cercle vicieux : Google, privé de ses revenus publicitaires, semble lâcher le contrôle sur les contenus promus et devient un puissant vecteur de fraude en ligne, incitant les utilisateurs à installer des bloqueurs de publicités.
Comme le souligne Will Dormann, repris par de grands médias spécialisés comme Bleeping Computer, il est particulièrement regrettable que le premier des GAFAM ne contrôle pas ses contenus publicitaires, alors qu’il dispose de la plus grande plateforme d’échange d’informations sur les contenus malveillants : VirusTotal. VirusTotal a été acquis en 2012 et dispose d’une interface d’application (API) qui facilite grandement l’évaluation de la menace associée à un lien, un fichier ou une empreinte numérique. Il semble que Google ait choisi le portefeuille et non la sécurité de ses utilisateurs.
Retour sur les grandes cyberattaques en France en 2022, quelles résolutions pour 2023 ?
Informatique quantique et cybersécurité : risques ou opportunités ?
Google condamné aux États-Unis pour avoir collecté de manière inappropriée des données personnelles d’utilisateurs