C'est le nouveau piège des majors du disque : des fichiers musicaux qui exploitent en douce une faille d'Internet Explorer pour installer un adware. Pour l'instant le parasite se contente d'afficher de la publicité à outrance. Mais l'on craint que le procédé ne soit détourné par des pirates pour y installer d'autres nuisibles plus dangereux.

au sommaire


    Windows Media Player

    Windows Media Player

    Attaques et arnaques

    Les maisons de disque semblent posséder une nouvelle arme dans leur lutte contre les adeptes du peer-to-peer : des fichiers audio piégés. Et il ne s'agit pas de simples chansons endommagées comme ils en faisaient circuler il y a encore quelques temps. Aujourd'hui, le piège est encore plus sournois : les fichiers audio au format WMA sont parfaitement valides, bien que vides. Mais à leur lecture à l'aide de Windows Media Player, ils exploitent une faille d'Internet Explorer pour installer une horde de parasitesparasites sur le PC de l'internaute partageur : pas moins de 31 adwares, dans 58 dossiers et plus de onze mille clés de registre !

    L'affaire a été révélée par un lecteur du magazine PC World. En essayant d'écouter le fichier Alicia Keys Fallin' Songs In A Minor 4.wma qu'il venait de télécharger illégalement sur un réseau P2P, l'internaute s'est aperçu que des dizaines de fenêtresfenêtres publicitaires apparaissaient soudain à l'écran. Pire : la page d'accueil de son navigateur était détournée vers un site lui aussi plein de publicités, un comportement révélateur de l'infection par un adware.

    En testant plusieurs autres fichiers du même type, nos confrères de PC World ont alors découvert le pot aux roses : tous détournaient une fonction de vérification des droits (DRMDRM) de Windows Media Player. A la lecture du fichier, ils allaient télécharger un adware depuis le site de la société Overpeer, spécialisée dans les coups tordus pour le compte des maisons de disques.

    Une faille d'Internet Explorer

    Pour parvenir à cet exploit, Overpeer profite de ce que pour vérifier les droits des fichiers multimédia, Windows Media Player utilise le moteur d'affichage d'Internet Explorer. Et donc qu'il hérite de ses bugsbugs !

    Ainsi lorsque le fichier audio ou vidéo est joué, une instruction spéciale indique au lecteur qu'il doit se connecter à un site de gestion des droits pour vérification. C'est une procédure parfaitement normale qui nécessite l'affichage d'un contenu web dans une fenêtre du Media Player. Ce dernier fait appel pour cela à Internet Explorer.

    Sauf qu'ici, l'adresse fournie ne pointe pas vers un serveurserveur de gestion des droits mais plutôt vers un site web malicieux sous le contrôle d'Overpeer. Ce site est chargé d'afficher un contenu HTMLHTML piégé dans le Windows Media Player. Et grâce à un bug d'Internet Explorer, de nombreuses fenêtres de publicités apparaissent alors, des adresses sont rajoutées aux favoris du navigateur et un adware tente de même s'installer sur le PC !

    Si pour l'instant les fichiers ainsi piégés se contentent de "salir" le PC avec de la publicité et un adware un peu coriace, les spécialistes craignent cependant que la technique ne soit détournée par des pirates pour installer de vrais virus sur les PC des adeptes du P2P. Car il était facile jusqu'à présent de détecter les nombreux fichiers exécutables déguisés en morceau de musique qui circulent sur les réseaux. Mais avec cette technique, le fichier est parfaitement fonctionnel et rien ne le distingue, avant la lecture, d'un fichier audio standard. Et pour les pirates, l'exploitation est plutôt simple : ils connaissent déjà les faiblesses chroniques d'Internet Explorer et savent parfaitement en tirer profit. Windows Media Player n'est pour eux qu'un vecteur supplémentaire et les fichiers audio ou vidéo de nouveaux supports dont les utilisateurs ne se méfient pas encore. Heureusement pour eux, les fichiers WMA ne sont pas les plus courus sur les réseaux peer-to-peer, où le MP3 règne en maître.