Le web est décidément bien fichu : ce matin, en cherchant à raconter l'horrible histoire de la journaliste Lara Logan, agressée en marge de la révolution Egyptienne, j'ai utilisé la recherche image de Google. En cliquant sur un lien, me voilà propulsé dans une pseudo page anti-virus, joliment désignée pour ressembler à un vrai logiciel Mac. Pas de panique, il s'agit simplement d'une page censée vous inciter à installer un faux anti-virus mais vrai troyen sur votre machine. Pas de quoi affoler un utilisateur un peu averti qui sait qu'il ne doit jamais installer de cochonneries en provenance de sites inconnus, surtout pas un exécutable qui lui demande des droits administrateurs pour s'installer.
Cependant, la chose qui pose question dans cette petite histoire est le fait que les malfaiteurs puissent contourner les protections de Google et faire apparaître une image dans les résultats de recherche vous renvoyant vers un liste qui ne contient pas cette image. Comme, en outre, la recherche portait sur une affaire très récente, la réactivité des attaquants est impressionnante.
Internet Storm Center donne les réponses aux questions qu'on peut légitimement se poser. Ce Google image poisoning se développe, en fait, depuis un mois. À la base, des sites, généralement animés par un CMS type WordPress, sont attaqués, et des scripts PHP y sont installés. Certains sont assez évolués pour surveiller les tendance - trends - de Google et aboutissent à la génération de pages web contenant ces expressions de recherche, populaires et d'actualité. Lorsque les bots Google vont venir indexer les pages concernées, le script renverra une fausse page, ayant détecté le robot Google via son IP ou son User Agent.
Lorsqu'un internaute effectuera une recherche, il trouvera, dans Google Images, le faux résultat. Cliquer sur le lien le renverra alors vers la vraie page des attaquants et ouvrira cette superbe fenêtre anti-virus. Pour se prémunir de la chose, et comme d'habitude, un peu de jugeote suffit : ne cliquez pas sur des liens vers des sites ne semblant pas avoir de rapport avec l'expression recherchée et surtout n'installez aucun logiciel sur des pages de ce type. Il est également possible, sur Firefox, d'installer le plug-in NoScript.
