Google-nouveau-logo Récemment, une étude NSS Labs a sacré Internet Explorer 9 en véritable champion de la lutte contre les malwares par ingénierie sociale sur le Web. Typiquement, l'exemple d'une page Web où l'utilisateur est invité à installer un faux logiciel antivirus ou un plugin malveillant. Par rapport aux autres navigateurs, IE9 est ainsi arrivé largement en tête grâce à son filtre SmartScreen et la Réputation d'application ( voir notre actualité ).

Le hasard fait que Google vient de publier un rapport de sécurité qui sous certains aspects prend la forme d'une réponse aux conclusions de NSS Labs. Si pour Google ce type d'ingénierie sociale a augmenté, il est souligné qu'il est " important de remettre en perspective " cette hausse : " les sites qui s'appuient sur l'ingénierie sociale comprennent seulement 2 % de tous les sites qui distribuent des malwares ".

Ce n'est en fait pas la première fois que Google répond à l'étude comparative de NSS Labs, et cela est même devenu une tradition. Comme par le passé, Google insiste sur le fait que la pratique la plus courante sur le Web ( 98 % ) demeure de très loin des pages malveillantes qui installent un malware en exploitant une vulnérabilité dans le navigateur ou un plugin ( Drive-by Download ).

NSS Labs avait du reste bien senti venir la réponse de Google. Dans son propre rapport, NSS Labs félicite ainsi Google pour l'ajout dans Chrome d'une protection contre les malwares d'ingénierie sociale ( Chrome est passé en un an d'un taux de blocage de 3 % à 13,2 % ), et d'écrire : " nous voyons cet ajout comme une preuve que même si le service de presse de Google minimise les résultats de nos tests précédents, l'équipe d'ingénierie Chrome a travaillé dur pour s'attaquer à cette lacune connue ".

Le rapport intitulé " Trends in Circumventing Web-Malware Detection " de Google ( PDF ; Tendance dans le contournement de la détection des malwares Web ) est basé sur l'analyse de quatre années de données issues de 160 millions de pages Web de près de 8 millions de sites. Il s'appuie sur les remontées du service Safe Browsing ( API ) que l'on retrouve dans les navigateurs comme Google Chrome ou Firefox.

Afin d'éviter la détection Safe Browsing, une technique employée - et qui connaît un véritable engouement - consiste à servir une page bénigne ( sans attaque ) aux systèmes de détection ( lorsqu'une requête est issue du système Safe Browsing ), mais servir du contenu malveillant pour la page Web d'un visiteur normal.

D'après Google, les mécanismes de diffusion d'exploits sont devenus " de plus en plus complexes et évasifs ", et de recommander de manière assez convenue une approche à plusieurs volets pour améliorer les taux de détection.