Depuis plusieurs mois, les résultats mis en avant sur Google pour de nombreux logiciels renommés dirigent les internautes vers des escroqueries, avec de graves conséquences financières à la clef. Se pourrait-il que Google ait fait le choix du portefeuille plutôt que celui de la sécurité de ses utilisateurs ? Pour quelles raisons ? Comment ? Les acteurs étatiques et les entreprises ne cachent plus leurs inquiétudes face aux potentielles répercussions économiques.
Depuis plus de 20 ans, Google est le moteur de recherche le plus utilisé en Europe et aux États-Unis. Il occupe 92 % du marché des moteurs de recherche en 2022 et pour la majorité des français, il est le premier réflexe pour naviguer sur le web et bénéficier des nombreux avantages offerts par internet. Pourtant, depuis plusieurs mois, Google met en avant dans ses premiers résultats des arnaques, usurpant l’apparence de sites authentiques pour pousser les internautes à télécharger des fichiers dangereux. Le 15 janvier dernier, l’histoire d’un influenceur réputé sur Twitter a secoué l’actualité : en quelques heures, un clic malheureux lui a ainsi fait perdre comptes, possessions virtuelles et outils de travail. Sa vie numérique a été dérobée, et Google en a été le vecteur principal.
Comment fonctionnent ces fraudes et quels sont leurs effets ?
Sur internet, il est simple d’enregistrer un nom de domaine semblable à une marque ou un produit connu (on parle de typosquatting). L’individu malveillant qui enregistre ce nom l’utilise pour renvoyer l’internaute vers une page imitant l’apparence du site authentique et proposant généralement le téléchargement d’un programme. Leurré par un environnement connu et rassurant, le visiteur télécharge et exécute le fichier frauduleux, installant au passage un virus qui renverra le plus souvent à l’attaquant un ensemble d’informations sur l’ordinateur de la victime. Par exemple, une copie des mots de passe enregistrés sur son moteur de recherche par défaut, ou les jetons d’accès permettant de se rendre sur sa boîte mail sans se reconnecter chaque jour. A partir de ces éléments, il devient facile de prendre possession des comptes de la victime, pour réaliser un virement PayPal ou forcer l’achat d’une carte cadeau Amazon par exemple. Dans le pire des cas, tous les fichiers de l’ordinateur ou d’un réseau local peuvent être pris en otage contre le versement d’une rançon (on parle alors de rançongiciel, ou ransomware).
Cette technique de distribution de fichier malveillant existe depuis de nombreuses années, mais elle nécessite que l’utilisateur se rende sur le site dangereux. Or, il se trouve que le principal vecteur de distribution de ces fraudes est l’email, et que les fournisseurs de services mail ont fortement renforcé la sécurité de leurs solutions. S’il reste possible de recevoir des arnaques bien préparées dans sa boîte mail, la majorité des attaques n’atteignent même pas le dossier spam des salariés des grandes entreprises. En 2022, les cyberattaquants ont cherché d’autres solutions et se sont tournés vers la plus évidente : les moteurs de recherche.
Le référencement Google met en avant des sites malveillants
En effet, Google présente deux types de résultats dans les recherches : le référencement publicitaire (Search Engine Advertising) et le référencement naturel (Search Engine Optimization). Le SEO se base sur un algorithme complexe pour classer les résultats, tandis que le SEA présente en haut de page les liens d’annonceurs ayant payé pour être mis en avant. Si l’on sait que certains acteurs malveillants tentent d’optimiser leur référencement naturel depuis plusieurs années, l’apparition massive de liens publicitaires liés à des sites frauduleux ne date, elle, que de quelques mois. Plusieurs entreprises de cybersécurité ont d’ailleurs identifié des groupes cybercriminels connus et utilisant cette technique spécifique. Un analyste en sécurité, Will Dormann, a montré sur Twitter que les premiers résultats de très nombreux logiciels réputés (en particulier ceux open-source, donc gratuits) sont présentés après des sites malveillants par Google : VLC, WinRar, Notepad++, Blender, VirtualBox et bien d’autres…
Pourquoi cela arrive-t-il aujourd’hui ? Les sites malveillants existent depuis longtemps, mais cette vague d’attaques via le référencement payant est quant à elle plutôt nouvelle : l’Internet Storm Center, le centre d’analyse de l’institut de formation SANS, avertissait les professionnels à ce sujet le 15 décembre dernier. Une annonce renforcée une semaine plus tard par l’alerte n°I-122122-PSA du FBI, mettant en garde les entreprises et citoyens américains contre ce danger grandissant. L’alerte est accompagnée de conseils pour se protéger : vérifier l’adresse des sites visités, préférer utiliser directement les adresses URL plutôt que les résultats du moteur de recherche, et… utiliser un bloqueur publicitaire !
L’appât du gain (publicitaire) va à l’encontre de la sécurité des internautes
Car l’apparition de ces campagnes d’arnaques propulsées par Google est très certainement liée à l’adoption de plus en plus massive des bloqueurs publicitaires. Pour l’entreprise américaine, la publicité représente 209 milliards de dollars sur un revenu annuel de 256 milliards de dollars, soit environ 80 % de ses recettes. Le gouvernement américain lui reproche d’ailleurs aujourd’hui d’avoir utilisé des techniques déloyales pour conserver son monopôle de la publicité en ligne. Or, des extensions de navigateur comme uBlock Origin ou AdBlock se démocratisent devant la quantité démesurée de contenus publicitaires présents sur internet. Si cela affecte les revenus des sites qui utilisent la publicité comme source de financement, c’est aussi le cas des autres services de Google qui sont directement impactés. En particulier, YouTube rapportait à la firme 28 milliards de dollars en 2021, principalement grâce à la publicité, car sa formule d’abonnement ne concerne que 50 millions de comptes. C’est donc un cercle vicieux : privé de ses revenus publicitaires, Google semble lâcher la bride sur le contrôle des contenus mis en avant et devient un vecteur fort d’escroqueries en ligne, encourageant les utilisateurs à installer des bloqueurs de publicités.
Comme le fait remarquer Will Dormann, repris par d’importants médias spécialisés comme Bleeping Computer, il est particulièrement regrettable pour le premier des GAFAM de ne pas contrôler ses contenus publicitaires, alors même qu’il possède la plus grande plateforme de partage d’informations sur les contenus malveillants : VirusTotal. Acquise en 2012, VirusTotal dispose d’une interface applicative (API) qui facilite fortement l’évaluation de la menace associée à un lien, un fichier ou une empreinte numérique. Il semble que Google ait fait le choix du portefeuille plutôt que celui de la sécurité de ses utilisateurs.
Olivier Schoeffel
Pour aller plus loin :