Il faut toujours vérifier l’adresse des sites que l’on visite, y compris quand on se rend sur un VPN. D’après la firme de cybersécurité Doctor Web, des pirates ont créé des répliques frauduleuses de la page de NordVPN, un des principaux services d’anonymisation en ligne, dans le but de propager un virus bancaire.
Les attaquants n’en sont pas à leur coup d’essai pour propager Win32.Bolik.2, le cheval de Troie en question. Leur tactique précédente était de pirater des sites légitimes pour y insérer des liens de téléchargement frauduleux, comme celui du logiciel d’édition multimédia VSDC, attaqué en avril 2019 et aujourd’hui sain et sauf. Mais pour des raisons de simplicité, les hackeurs auraient opté pour la solution moins coûteuse de créer leur propre copie d’un site légitime (nordvpn.com), en l’occurence avec la fausse adresse nord-vpn[.]club.
Contrairement à la plupart des sites de hameçonnage, nord-vpn[.]club utilise un certificat SSL valide, qui permet de passer le site en HTTPS et d’afficher un petit cadenas dans la barre du navigateur web. Le certificat a été délivré le 3 août dernier via Let’s Encrypt, un service tout à fait respectable qui permet librement à chacun de sécuriser son site web, avec une date d’expiration le 1er novembre 2019. Des milliers d’internautes auraient déjà visité le site depuis sa mise en ligne.
Win32.Bolik.2 permet de réaliser « des injections web, des interceptions de traffic, du keylogging, et de voler des informations de différents systèmes client bancaires ». D’après le chercheur Ivan Korolev de Doctor Web, les cibles visées sont essentiellement des particuliers anglophones.
« Parce que NordVPN est une entreprise de sécurité en ligne à laquelle beaucoup font confiance, les escrocs se font aussi passer pour nous », a déclaré Laura Tyrell, porte-parole de NordVPN. Le vrai site est bien nordvpn.com. C’est pour cela que l’on doit toujours être sur ses gardes en ligne, et ne pas se fier uniquement aux certificats SSL.
Pour aller plus loin
Quel est le meilleur VPN en 2024 ?
Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !
Pour être clair sur le certificat SSL : Le cadenas vert ne veut pas dire que le site est sécurisé (avec tout le bullshit autour de ce mot). Il veut dire qu'on est bien sur le site qu'on a tapé dans l'URL. Si je crée un site faceboook.fr (avec un 'o' de plus), je peux avoir le cadenas vert, mais ça ne voudra jamais dire que vous êtes bien sur facebook.fr (avec le bon nombre de 'o'). Au passage, il veut également dire que les données sont chiffrées, c'est à dire un intermédiaire entre le site et moi (par exemple notre FAI, l'hôtel dans lequel je suis ou le copain qui me partage sa connexion 4G) ne peut pas lire le contenu précis de l'échange (notamment les identifiants de connexion). Sans le cadenas vert : je ne suis pas sûr que le site est le bon, n'importe quel intermédiaire peut lire tout ce que je fais.
vu le nombre qu'il en reste, cela doit pas interesser les hakers🤣
Pour être clair sur le certificat SSL : Le cadenas vert ne veut pas dire que le site est sécurisé (avec tout le bullshit autour de ce mot). Il veut dire qu'on est bien sur le site qu'on a tapé dans l'URL. Si je crée un site faceboook.fr (avec un 'o' de plus), je peux avoir le cadenas vert, mais ça ne voudra jamais dire que vous êtes bien sur facebook.fr (avec le bon nombre de 'o'). Au passage, il veut également dire que les données sont chiffrées, c'est à dire un intermédiaire entre le site et moi (par exemple notre FAI, l'hôtel dans lequel je suis ou le copain qui me partage sa connexion 4G) ne peut pas lire le contenu précis de l'échange (notamment les identifiants de connexion). Sans le cadenas vert : je ne suis pas sûr que le site est le bon, n'importe quel intermédiaire peut lire tout ce que je fais.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix