Qu’est-ce qu’un scareware ?

Un exemple classique de scareware : le logiciel avertit la victime de la présence d’un virus sur son appareil et tente de lui vendre un faux logiciel antivirus, qui est soit inutile soit, en réalité, un logiciel malveillant.

Toutes les personnes utilisant un ordinateur (ou presque) ont déjà rencontré des tentatives d’arnaque par scareware en surfant sur internet, souvent sous la forme d’une fenêtre en incrustation urgente informant l’utilisateur qu’une « analyse antivirus » a détecté un logiciel malveillant. Les toutes premières attaques de logiciel alarmant ont causé des dommages mineurs, escroquant les victimes de quelques euros pour des bloatwares (ou « inflagiciels ») inutiles. Mais ils sont désormais vecteurs de menaces informatiques bien plus graves, telles que les ransomwares.

Ces arnaques commencent avec un message, généralement un texte falsifié, un e-mail d’hameçonnage ou, le plus souvent, une fenêtre pop-up dans le navigateur. Un message de scareware se démarque par l’utilisation de tactiques alarmistes, telles que la menace d’un virus ou d’une action en justice, pour pousser la victime à agir immédiatement.

Les fenêtres pop-up des logiciels alarmants peuvent utiliser les logos de vraies entreprises, comme Google, pour paraître légitimes. Les escrocs peuvent également utiliser des URL et des noms de produits qui paraissent légitimes, comme « Mac Virus Defense » ou « Windows Fixer ». D’autres déguisent leurs fenêtres pop-up en notifications du système d’exploitation de l’appareil, affichant des avertissements tels que « Android a détecté un problème ». D’autres encore font ressembler leurs messages à des rapports issus d’un véritable logiciel antivirus, par exemple : « Une analyse récente a trouvé cinq virus sur votre appareil ».

Après avoir effrayé les victimes, les messages du scareware offrent une « solution » à leur « problème ». En général, les escrocs somment les victimes de télécharger un faux logiciel de sécurité ou de payer une rançon. Si les victimes obtempèrent, les conséquences peuvent être les suivantes.

• La personne suit le message vers un site Web frauduleux, où elle saisit les informations de sa carte de crédit pour acheter le logiciel. En réalité, le logiciel n’existe pas et les escrocs volent les données de la victime pour usurper son identité.
  

• Plutôt que de voler des données, certains arnaqueurs facturent des logiciels qui ne font rien du tout (sauf peut-être ralentir l’appareil).
   

• Dans le pire des cas, les programmes de scareware sont des chevaux de Troie porteurs de logiciels malveillants, tels que des logiciels espions collectant secrètement des données personnelles.

Si une victime ne suit pas les instructions des escrocs, le scareware peut tout de même accéder à son appareil. En effet, certains pirates conçoivent des fenêtres pop-up qui lancent un téléchargement furtif à l’insu de l’utilisateur lorsqu’il clique sur le bouton « Fermer ».

Les pirates informatiques peuvent utiliser des tactiques de scareware pour propager des ransomwares, un type de logiciel malveillant qui prend en otage des appareils ou des fichiers et exige une rançon. Convaincre les victimes de télécharger un faux logiciel antivirus peut s’avérer plus facile que de forcer l’accès au réseau.

D’autres scarwares se font passer pour des ransomwares afin d’extorquer de l’argent. Un logiciel alarmant, appelé « ALC Ransomware », indique aux victimes que leurs fichiers ont été chiffrés et exige un paiement. En réalité, rien n’est chiffré. Les pirates tablent sur le fait que les victimes auront suffisamment peur pour envoyer de l'argent malgré tout.

D’autres types de scarewares peuvent être des sortes de ransomware à part entière : ils rendent les appareils inutilisables jusqu’à ce que leurs exigences soient satisfaites. Un faux logiciel antivirus peut inonder un appareil d’innombrables « avertissements » qui ne disparaîtront pas tant que la victime n’aura pas payé pour « mettre à jour » le logiciel.

Les arnaques par scareware prennent de nombreuses formes. Quelques-unes des tactiques les plus courantes sont listées ci-dessous.

Le subterfuge classique du scareware utilise les messages en incrustation pour avertir les utilisateurs que leurs appareils sont infectés par des logiciels malveillants. Ces fenêtres en incrustation peuvent ressembler à de vrais rapports d’analyse issus d’un logiciel antivirus. Les escrocs dirigent ensuite les utilisateurs vers de faux logiciels de sécurité qui leur volent de l’argent ou installent des logiciels malveillants. Par exemple, les arnaqueurs derrière le faux logiciel antivirus SpySheriff ont forcé les utilisateurs à payer pour supprimer des logiciels malveillants inexistants.

Les escrocs se font passer pour des membres du service d’assistance d’entreprises comme Apple ou Microsoft. Ces arnaques commencent généralement avec une fenêtre en incrustation qui indique à la victime d’appeler un numéro de téléphone pour obtenir de l’aide, mais certains escrocs peuvent démarcher leurs victimes directement par téléphone. Une fois qu’ils ont leur victime au téléphone, ils la convainquent de désinstaller un vrai logiciel de sécurité et de leur accorder l’accès à distance à son appareil. C’est ainsi qu’ils peuvent dérober les données de la victime ou installer un logiciel malveillant.

D’autres arnaques au support technique facturent simplement des services frauduleux aux victimes. Ce fut le cas lors du scandale Office Depot en 2019. Les employés d’Office Depot lançaient de fausses analyses sur les ordinateurs des clients et utilisaient les résultats pour vendre des services de réparation dont ils n’avaient pas besoin. Lorsque le scandale a été révélé, la Federal Trade Commission a ordonné à Office Depot et à son partenaire, Support.com, de payer 35 millions de dollars de dommages et intérêts.

Le placement de publicité malveillante (malvertising en anglais) est une cyberattaque dans laquelle les pirates détournent des publicités légitimes — ou de l’espace publicitaire légitime, comme sur Facebook ou dans les résultats de recherche Google — pour propager des virus. Dans le cas d’un scareware, un utilisateur verrait une annonce sur une page Web proposant un logiciel antivirus gratuit. Comme il s’agit d’une publicité plutôt que d’une fenêtre en incrustation douteuse, les utilisateurs sont plus susceptibles de cliquer dessus.

Les cybercriminels se font passer pour la police ou le FBI. Une fenêtre pop-up avertit la victime que du « contenu illégal » a été trouvé sur son appareil. Si la victime paie une amende, le « problème » disparaît. Pour augmenter la pression, ces fenêtres peuvent verrouiller l’écran jusqu’à ce que la victime paie.

Une fois qu’un logiciel alarmant a infecté un appareil, il peut être difficile de le supprimer. Les scarewares peuvent désactiver des logiciels de sécurité et masquer des fichiers programme pour être plus difficiles à détecter. De faux logiciels antivirus sont d’ailleurs connus pour se réinstaller tout seuls après avoir été supprimés.

Pour empêcher les scarewares de s’incruster, les organisations et les utilisateurs peuvent essayer les outils et pratiques ci-dessous.

À l’image d’autres tactiques d’ingénierie sociale, les scareware sont moins efficaces contre les utilisateurs qui connaissent les signes caractéristiques d’une attaque et peuvent, par exemple, faire la différence entre de vraies notifications d’antivirus et des fenêtres publicitaires frauduleuses.

Les logiciels de protection contre les logiciels malveillants et les antivirus légitimes peuvent bloquer l’installation de logiciels alarmants. Ils peuvent aussi permettre de supprimer les scarewares ayant réussi à s’installer sur l’appareil. Comme certaines arnaquent persuadent les utilisateurs de désactiver leur antivirus, les équipes de sécurité peuvent restreindre les droits d’utilisateur pour ces logiciels.

Les pare-feu peuvent empêcher le trafic malveillant d’atteindre les navigateurs, et les filtres d’URL peuvent empêcher les utilisateurs de se rendre sur des sites frauduleux. D’autres outils de sécurité réseau tels que les bloqueurs de publicités, les bloqueurs de pop-up et les filtres antispam peuvent empêcher les messages des scarewares de s’afficher.

Comme c’est généralement le cas avec les cybermenaces, les scarewares exploitent les vulnérabilités système pour infecter les appareils. Effectuer les mises à jour des outils de sécurité, des navigateurs Web et des applications permet de contrecarrer les attaques telles que la publicité malveillante et les téléchargements furtifs.