Un nombre croissant de sites Web demandent aux visiteurs d’approuver des « notifications », des modifications du navigateur qui affichent périodiquement des messages sur l’appareil mobile ou de bureau de l’utilisateur. Dans de nombreux cas, ces notifications sont bénignes, mais plusieurs entreprises douteuses paient les propriétaires de sites pour installer leurs scripts de notification, puis vendent cette voie de communication aux escrocs et aux colporteurs en ligne.
Invites de notification dans Firefox (à gauche) et Google Chrome.
Lorsqu’un site Web que vous visitez demande l’autorisation d’envoyer des notifications et que vous approuvez la demande, les messages qui en résultent apparaissent en dehors du navigateur. Par exemple, sur les systèmes Microsoft Windows, ils s’affichent généralement dans le coin inférieur droit de l’écran, juste au-dessus de l’horloge système. Ces soi-disant « notifications push » reposent sur une norme Internet conçu pour fonctionner de la même manière sur différents systèmes d’exploitation et navigateurs Web.
Mais de nombreux utilisateurs peuvent ne pas comprendre pleinement à quoi ils consentent lorsqu’ils approuvent les notifications, ou comment faire la différence entre une notification envoyée par un site Web et une autre qui apparaît comme une alerte du système d’exploitation ou d’un autre programme déjà installé sur le appareil.
Cela est évident par l’ampleur apparente de l’infrastructure derrière une société relativement nouvelle basée au Monténégro appelée PushWelcome, qui annonce la possibilité pour les propriétaires de sites de monétiser le trafic de leurs visiteurs. Le site de l’entreprise est actuellement classé par Alexa.com parmi les 2 000 meilleurs sites en termes de trafic Internet dans le monde.
Les éditeurs de sites Web qui s’inscrivent à PushWelcome sont invités à inclure un petit script sur leur page qui invite les visiteurs à approuver les notifications. Dans de nombreux cas, les demandes d’approbation de notification elles-mêmes sont trompeuses – déguisées en invites à cliquer sur « OK » pour afficher le matériel vidéo, ou en demandes « CAPTCHA » conçues pour distinguer le trafic de robots automatisés des vrais visiteurs.
Une publicité de PushWelcome vantant l’argent que les sites Web peuvent gagner pour intégrer leurs scripts de notifications push douteux.
L’approbation des notifications d’un site qui utilise PushWelcome permet à n’importe quel partenaire publicitaire de l’entreprise d’afficher les messages de son choix, quand il le souhaite et en temps réel. Et presque invariablement, ces messages incluent des notifications trompeuses sur les risques de sécurité sur le système de l’utilisateur, des invites à installer d’autres logiciels, des publicités pour des sites de rencontres, des médicaments contre les troubles de l’érection et des opportunités d’investissement douteuses.
C’est selon une analyse approfondie du réseau PushWelcome compilé par LLC indélébileune entreprise de cybersécurité basée à Portland, Ore. Franck Angiollellivice-président de la sécurité chez Indelible, a déclaré que les notifications malveillantes peuvent être utilisées à des fins d’hameçonnage d’informations d’identification, ainsi que pour imposer des logiciels malveillants et d’autres applications indésirables aux utilisateurs.
« Cette méthode est actuellement utilisée pour fournir quelque chose qui s’apparente à un logiciel publicitaire ou à une activité de type fraude au clic », a déclaré Angiolelli. « L’aspect préoccupant de cela est qu’il est tellement non détecté par les programmes de sécurité des terminaux, et il existe un risque réel que cette activité puisse être utilisée à des fins beaucoup plus néfastes. »
Les sites affiliés à PushWelcome utilisent souvent des messages trompeurs pour inciter les gens à approuver les notifications.
Angiolelli a déclaré que les adresses Internet externes, les agents utilisateurs du navigateur et les autres télémétries liées aux personnes qui ont accepté les notifications sont connues de PushWelcome, ce qui pourrait leur donner la possibilité de cibler des organisations et des utilisateurs individuels avec n’importe quel nombre de fausses invites système.
Indelible a également constaté que les modifications de navigateur activées par PushWelcome sont mal détectées par les antivirus et les produits de sécurité, bien qu’il ait noté que Malwarebytes signale de manière fiable les sites d’éditeurs dangereux associés aux notifications.
En effet, Malwarebytes Pieter Arntz averti des notifications push malveillantes du navigateur dans un article de blog de janvier 2019. Ce message comprend des instructions détaillées sur la façon de savoir quels sites vous avez autorisés à envoyer des notifications et comment les supprimer.
BreachTrace a installé les notifications de PushWelcome sur une toute nouvelle machine de test Windows et a constaté que très peu de temps après, le système était parsemé d’alertes sur les menaces de logiciels malveillants supposément trouvées sur le système. Une notification était une annonce pour Norton antivirus; l’autre était pour McAfee. Cliquer sur l’un ou l’autre a finalement conduit à des pages « acheter maintenant » sur Norton.com ou McAfee.com.
En cliquant sur la notification PushWelcome dans le coin inférieur droit de l’écran, j’ai ouvert un site Web affirmant que mon tout nouveau système de test était infecté par 5 virus.
Il semble probable que PushWelcome et/ou certains de ses annonceurs tentent de générer des commissions pour recommander aux clients d’acheter des produits antivirus auprès de ces sociétés. McAfee n’a pas encore répondu aux demandes de commentaires. Norton a publié la déclaration suivante :
« Nous ne pensons pas que cet acteur soit un affilié de NortonLifeLock. Nous continuons d’enquêter sur cette affaire. NortonLifeLock prend au sérieux la fraude et les abus des affiliés et surveille en permanence la conformité. Lorsqu’un partenaire affilié abuse de ses responsabilités et viole nos accords, nous prenons les mesures nécessaires pour retirer ces partenaires affiliés du programme et mettre fin rapidement à nos relations. De plus, toutes les commissions potentielles gagnées à la suite d’abus ne sont pas payées. De plus, NortonLifeLock envoie une notification à tous nos réseaux de partenaires affiliés concernant les abus de l’affilié pour s’assurer que l’affilié n’est pas éligible pour participer à des programmes NortonLifeLock à l’avenir.
Les demandes de commentaires envoyées à PushWelcome par e-mail ont été renvoyées comme non livrables. Les demandes soumises via le formulaire de contact sur le site Web de l’entreprise n’ont pas non plus été envoyées.
Bien que les notifications frauduleuses ne soient peut-être pas la menace la plus urgente à laquelle sont confrontés les utilisateurs d’Internet aujourd’hui, la plupart des gens ignorent probablement comment cette voie de communication peut être utilisée de manière abusive.
De plus, les réseaux de notification douteux pourraient être utilisés à des fins moins visibles et plus sournoises, notamment la diffusion de fausses nouvelles et de logiciels malveillants se faisant passer pour des avis de mise à jour du système d’exploitation de l’utilisateur. J’espère qu’il est clair que, quel que soit le navigateur, l’appareil ou le système d’exploitation que vous utilisez, c’est une bonne idée d’être judicieux quant aux sites que vous autorisez à diffuser des notifications.
Si vous souhaitez empêcher les sites de présenter des demandes de notification, consultez ce guide, qui contient des instructions pour désactiver les invites de notification dans Chrome, Firefox et Safari. Faire cela pour tous les appareils que vous gérez au nom d’amis, de collègues ou de membres de la famille pourrait finir par épargner à tout le monde beaucoup de maux de tête sur la route.