Technologies expliquées simplement

Comment les images peuvent infecter votre ordinateur via les réseaux sociaux

Si vous êtes modérément féru de technologie, chaque fois que vous entendez parler d’un système infecté, vous pensez normalement à un morceau de code exécutable qui a d’une manière ou d’une autre détourné ses fonctions les plus sécurisées. Les infections peuvent se propager de plusieurs manières, mais une chose reste certaine : le lien entre les virus et le code exécutable est si fort que nous ne croyons pas nécessairement que nous devons nous protéger contre des types de fichiers tels que les JPEG, les images PNG et les fichiers MP3. Ou devrions-nous ? Contrairement à l’affirmation précédente, les deux premiers types de fichiers que j’ai mentionnés ont été utilisés pour infecter des ordinateurs via des systèmes de messagerie sur les réseaux sociaux comme Facebook et LinkedIn, comme l’a rapporté Jon Fingas pour Engadget le 27 novembre 2016.

Que se passe-t-il ?

lockymalware-email

Le 18 février 2016, Symantec a trouvé un logiciel plutôt étrange qui s’est avéré être une nouvelle variante de ransomware se propageant sur le web (si vous ne savez pas ce qu’est un ransomware, référez-vous à cela). Cette souche particulière – connue sous le nom de Locky – s’est propagée par le biais d’emails de spam avec des pièces jointes à un rythme d’environ dix à vingt mille victimes par semaine entre janvier et mars 2016. Il n’est pas nécessairement choquant de voir des virus se propager de cette manière. Les messages email avec des pièces jointes ZIP ont été la stratégie d’inoculation de choix depuis le début des années 90.

Puis, quelque chose d’autre s’est produit.

Vers la fin novembre 2016, les utilisateurs de Facebook et LinkedIn ont commencé à voir des messages envoyés avec des pièces jointes d’images. Elles semblent plutôt sûres, mais lorsqu’elles sont ouvertes, elles révèlent une nouvelle souche de Locky qui crypte les fichiers du système et ne les déverrouille que si la victime paie une rançon comprise entre 200 et 400 dollars américains. La partie la plus choquante de cela était que le virus se propageait par le biais d’images plutôt que de code exécutable conventionnel.

Tout n’est pas comme il semble

lockymalware-facebook

Bien que les images soient certainement utilisées pour infecter des personnes sur les réseaux sociaux, ce n’est pas tout à fait comme cela qu’il semble ! J’ai examiné un peu plus en profondeur le mécanisme de Locky et ses manières glissantes, et il semble qu’il y ait plus à l’histoire qu’un tas de JPEG qui sont « là pour vous avoir ».

Tout d’abord, ce que vous distribuez lorsque vous envoyez le malware à quelqu’un, c’est l’impression que vous donnez à quelqu’un d’une image sur les réseaux sociaux. Il y a une faille dans le code de Facebook et LinkedIn qui permet à certains fichiers d’être transférés avec l’icône d’image, amenant le destinataire à croire qu’il a reçu une image inoffensive d’un chat de compagnie ou d’un nouveau jardin. Ce que le destinataire télécharge réellement est un fichier HTA, un très ancien programme exécutable pour Windows qui existe depuis 1999 (un autre élément à ajouter à la liste des raisons pour lesquelles les logiciels des années 90 étaient complètement fous).

Fondamentalement, les applications HTA sont comme des EXE sauf qu’elles sont superposées à « mshta.exe » et étaient utilisées par les administrateurs pour apporter rapidement des modifications aux systèmes. Comme elles ont la pleine « confiance » du système sur lequel elles s’exécutent, elles sont libres de causer autant de ravages que leur code leur permet.

Comment prévenir l’infection

Une fois que vous êtes infecté par Locky, il n’y a pas grand-chose que vous puissiez faire sauf espérer que vous trouviez une application anti-malware qui puisse le supprimer pendant que vous êtes démarré en mode sans échec. Mais prévenir l’infection au départ est plutôt facile. Lorsque vous recevez un fichier image sur Facebook, et qu’il n’a pas d’aperçu comme l’image ci-dessous, alors vous allez probablement être invité à le télécharger.

lockymalware-preview

Une fois que vous avez téléchargé le fichier, vérifiez son extension. Si elle ne dit pas JPG, JPEG, PNG, ou quoi que ce soit qui ressemble à une image, c’est probablement un virus. Nous avons vu Locky au format HTA, mais il pourrait également apparaître dans d’autres types de codes exécutables (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, etc.). Faites simplement attention aux extensions de fichiers et soyez prudent avec tout ce que vous ne reconnaissez pas. Une manière infaillible de vérifier si le fichier que vous avez reçu est une image est de voir si l’Explorateur Windows vous donne un aperçu lorsque vous changez le style d’affichage en « Grandes icônes ».

Avez-vous d’autres conseils astucieux à partager ? Dites-le nous dans un commentaire !

Contenu

  1. Que se passe-t-il ?
  2. Tout n'est pas comme il semble
  3. Comment prévenir l'infection
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11