Une technique de piratage inquiète les experts en cybersécurité. Il s'agit de l'empoisonnement SEO, qui permet aux pirates de placer des sites malveillants en tête des résultats Google, transformant de simples recherches en portes d'entrée pour les virus.

Un chat, bien qu'adorable, peut s'avérer parfois dangereux lors de vos recherches © Alexandre Boero / Clubic
Un chat, bien qu'adorable, peut s'avérer parfois dangereux lors de vos recherches © Alexandre Boero / Clubic

Prenons la direction de l'Australie, où une banale recherche sur les chats du Bengale peut désormais compromettre un ordinateur. L'entreprise de cybersécurité Sophos attire l'attention sur une technique d'attaque sophistiquée baptisée « empoisonnement SEO », grâce à laquelle des cybercriminels manipulent le référencement Google pour propulser leurs sites malveillants en première page des résultats. Cette méthode d'attaque, particulièrement sournoise, exploite notre confiance naturelle envers les premiers résultats de recherche Google.

Comment fonctionne cette attaque au moteur de recherche ?

Comme souvent, les cybercriminels exploitent une faille dans notre confiance collective, et cette fois-ci, elle se porte vers le grand Google. En manipulant habilement les techniques de référencement, les hackers parviennent à positionner leurs sites malveillants parmi les premiers résultats de recherche. L'exemple australien est édifiant : une simple requête sur la légalité des chats du Bengale dirige les utilisateurs vers un site compromis… sans qu'ils le sachent évidemment.

Une fois arrivée sur le site piégé, la victime se voit proposer un fichier ZIP en apparence inoffensif, correspondant parfaitement à sa recherche initiale. Ce fichier contient en réalité un logiciel malveillant appelé GootLoader, conçu pour dérober des informations personnelles et potentiellement déployer des ransomwares.

Le malware GootLoader est particulièrement sophistiqué, disent les spécialistes. Il utilise des scripts JavaScript fortement obscurcis et établit une présence persistante sur l'ordinateur infecté, via des tâches planifiées Windows, qui offrent aux pirates sur un plateau la possibilité de maintenir un accès persistant, à long terme donc, au système compromis.

Voici l'exemple d'un site "empoisonné" par le référencement, hébergeant un fichier .ZIP malveillant © Sophos
Voici l'exemple d'un site "empoisonné" par le référencement, hébergeant un fichier .ZIP malveillant © Sophos

Comment se protéger de cette menace ?

La première ligne de défense consiste à redoubler de vigilance, même face aux premiers résultats Google. Évitez systématiquement de télécharger des fichiers depuis des sites méconnus, même s'ils apparaissent en tête des résultats de recherche. On sait désormais que sur notre immense internet, la position élevée d'un site dans Google n'est plus forcément une garantie de sécurité.

L'installation d'un antivirus performant et maintenu à jour reste essentielle. Certains, comme Sophos, en sa qualité d'auteur de cette étude, sont capables de détecter et de bloquer GootLoader grâce à plusieurs mécanismes de protection comportementale. Insistons sur le fait que la prudence doit particulièrement s'exercer face aux résultats de recherche proposant des téléchargements directs.

Ce qu'il faut savoir, c'est que cette campagne d'attaque, observée depuis mars 2024, n'est pas limitée à l'Australie ni aux recherches sur les chats du Bengale. Les cybercriminels adaptent constamment leurs leurres selon les pays et les centres d'intérêt locaux. Tout cela rend la menace particulièrement versatile et dangereuse, à l'échelle mondiale.