Google Maps complice malgré lui de piratage

Cloud

Un cheval de Troie exploite le service Google Maps pour géolocaliser les PC
victimes. Dans quel but? Les firmes de sécurité l’ignorent pour le moment.

Des pirates utiliseraient le service de géolocalisation Google Maps dans le cadre d’attaques par phishing (ou hameçonnage). C’est ce que révèlent les sociétés de sécurité Websense et Panda Software, notamment. Depuis le 19 février, un e-mail infectieux circule sur la toile. Avec, en objet, une information sur le Premier ministre australien victime d’une attaque cardiaque (Current Australia’s Prime Minister survived a hear attack) et différentes déclinaisons thématiques (The life of the Prime Minister is in grave danger).

Un clic sur le lien proposé dans le courriel charge une page Web qui amorce les téléchargement d’un certain nombre de fichiers, dont six agents malveillants, selon la description faîte par Panda Software. Parmi ceux-là, l’éditeur de solutions de sécurité IT dénombre un spyware, qui enregistre les consultations en ligne, un keylogger pour l’espionnage des frappes au clavier, deux chevaux de Troie qui préviennent les mises à jour en ligne des signatures de virus et détournent l’accès web d’un certain nombre de sites bancaire. Sans oublier un serveur Web qui donne accès aux disques durs de la machine. Panda ne détaille pas les méthode d’installation des agents malveillants. Mais ils pourraient profiter de failles systèmes non corrigées.

2500 infections dans le monde

A travers ce mail maudit, Panda et Websense ont également constaté l’usage de Google Maps dans le but de repérer géographiquement les PC infectés des victimes à partir de l’adresse IP des machines. Une analyse confirmée par la cellule de veille sécuritaire AusCERT (le CERT australien). « C’est peut-être inutile mais cela reste curieux », note l’expert Luis Corrons qui a écrit deux contributions sur ce sujet sur le blog de PandaLabs. Il n’est donc pas certain que les pirates exploitent ces données géographiques pour les corréler avec les données privées volées. Mais la localisation physique de leurs victimes leur fournit des informations supplémentaires pour renforcer la crédibilité d’un profil dans le cadre de tentatives d’usurpation d’identité.

Australie, Allemagne, Etats-Unis, Japon, Espagne mais aussi Thaïlande, Israël et Iran, l’attaque touche de nombreux pays même si elle se limite à quelques milliers de victimes pour le moment (Websense avance le chiffre de 2500 PC infectés). Avec plus de 400 machines affectées en moins de 24 heures, selon Panda, l’Australie est le pays le plus touché. La France n’apparaît pour le moment pas dans le classement des pays atteints. Ce n’est guère étonnant. Un e-mail ayant comme sujet la santé du Premier ministre australien ne doit pas beaucoup intéresser les Français plutôt absorbés par la campagne présidentielle.