L’outil en question, MapReduce applique d’abord une analyse heuristique en vue d’identifier les pages essayant d’utiliser des failles connues. Le Javascript est interprété, les iframes suivies et tout accès à un site déjà connu pour héberger des malwares vient augmenter le degré de suspicion. Sur plusieurs milliards de pages à analyser, MapReduce permet ainsi de n’en garder que quelques millions.
Sur ces quelques millions d’URL suspectes, Google applique la deuxième étape : des navigateurs exécutés sur des machines virtuelles vont les visiter automatiquement. Il est alors facile d’y détecter l’exécution de nouveaux processus, des accès à la base de registre ou au système de fichiers. Ces comportements, vraisemblablement occasionnés par des malwares installés par des sites testés, selon la méthode dite du « drive-by-download » augmentent ainsi le score de dangerosité attribué à l’URL visitée.
L’utilisation de ces outils permet d’ores et déjà d’identifier dix à trente mille URL dangereuses chaque jour.
Paternalisme, prévention ou délation ?
Difficile de se faire un avis, mais ce qui est sûr c’est que la mention « site potentiellement dangereux » aura à coup sûr de effets dévastateurs sur la popularité d’un site, qui se retrouverait non seulement pointé du doigt mais certainement de facto mis au ban. Il s’agit maintenant de ne pas produire de faux positifs ...
Note : dans une récente actualité, nous vous faisions part d'une étude interne de Google qui montrait que sur 4,5 millions de sites Web considérés comme suspects (via une analyse automatique), près d'une page sur 10 serait susceptible d’installer des chevaux de Troie sur les ordinateurs des utilisateurs, et donnant ainsi accès à vos informations confidentielles. Inquiétant.
