Tous les utilisateurs qui ont téléchargé des logiciels sur le web ont fait à un moment ou à un autre la même expérience : des publicités ou d’autres programmes indésirables apparaissent sur leurs PC sans y être invités. L’adware semble très lucratif pour ses auteurs qui utilisent différents stratagèmes pour cacher leur identité et masquer le contenu de leurs packs. Selon les chercheurs de Google et de la Tandon School of Engineering de l'Université de New York, c’est la première fois qu’une analyse fait le lien entre le « pay-per-install » (PPI) commercial et la distribution de logiciels indésirables.

La pratique du « pay-per-install » commercial consiste à monétiser le regroupement d’applications tierces avec des applications légitimes. De sorte que, quand les utilisateurs installent le logiciel demandé, ils téléchargent également sans le savoir des programmes indésirables. Cela peut se manifester par exemple par l’apparition d’un tas de publicités submergeant leur écran, ou d’une fenêtre clignotante les avertissant de la présence de logiciels malveillants et les invitant à télécharger de faux logiciels antivirus. Parfois, le navigateur par défaut du système peut être détourné et redirigé vers des pages chargées de publicités. Tout ce système repose sur un réseau d'affiliés au cœur duquel se trouvent des courtiers. Leur fonction : vendre du regroupement de logiciels avec des applications populaires et offrir ces packs en téléchargement sur des sites très fréquentés. Selon les chercheurs, ces courtiers, payés directement par les entreprises spécialisées dans le PPI, peuvent gagner jusqu’à 2 dollars par installation. Souvent, les développeurs légitimes ne savent même pas que leurs produits sont livrés avec des logiciels supplémentaires.

L'antivirus est contourné pour que l'adware ne soit pas détecté

Pour leur enquête, les chercheurs ont téléchargé de façon régulière les packs logiciels proposés et ils ont analysé leurs composants. Au total, ils se sont concentrés sur quatre types d’affiliations. Ce qui les a le plus étonnés, c’est le degré de personnalisation des téléchargements pour optimiser les chances de diffusion de leur charge utile. Quand un de leurs programmes d'installation est lancé, il prend systématiquement « l’empreinte digitale » de l'ordinateur de l'utilisateur pour déterminer l’adware compatible. Afin d’adapter son approche, le téléchargeur cherche également si la machine est protégée par un antivirus. « Ils font en sorte de contourner l’antivirus pour permettre à leur logiciel d’injecter les composants - adware ou scareware - qui ont le plus de chance d’échapper à sa détection », a déclaré Damon McCoy, professeur adjoint en informatique et en ingénierie à NYU Tandon.

Google fait depuis longtemps la chasse aux pages web abritant des offres de logiciels indésirables, et le géant de la recherche met à jour la protection sécurisée Safe Browsing de son navigateur Chrome qui prévient les utilisateurs quand ils se retrouvent sur ce type de pages. « Cependant, les affiliés PPI adaptent constamment leurs tactiques pour éviter les protections de l'utilisateur et continuent à livrer intentionnellement des logiciels indésirables », ont expliqué les chercheurs. Selon eux, une partie du problème est liée au « consentement » factice que les utilisateurs accordent quand ils téléchargent le logiciel souhaité. « Si vous avez déjà téléchargé un économiseur d'écran ou une application de ce genre pour votre ordinateur portable, il y a généralement une page pop-up « modalités et conditions » par laquelle vous consentez à l'installation », a déclaré Damon McCoy. « Or ce texte, que personne ne lit, contient des informations sur les programmes non désirés inclus dans le pack que vous allez télécharger ».

Des logiciels clandestins livrés légalement

La présence d'un formulaire de consentement permet à ces entreprises de livrer leurs « logiciels clandestins » légalement. Cependant, selon les chercheurs, ils franchissent une limite quand les logiciels indésirables sont des logiciels malveillants. « Nous voulons faire connaître ces pratiques commerciales et inviter les utilisateurs à plus de vigilance quand ils téléchargent des logiciels, car les packs peuvent contenir des applications dont ils ne veulent pas ». Les chercheurs ont présenté leur « Enquête sur le Pay-Per-Install commercial et la distribution de logiciels indésirables » lors du Security Symposium USENIX qui se tient à Austin, Texas (8 et 9 août).