LeBlogDuHacker, un site de Phishing ?
Tout à commencé suite à la publication de mon dernier article sur Facebook. Un visiteur du site signale que son extension anti publicités détecte le site Leblogduhacker.fr comme étant un site malveillant. Il s’agit de l’extension uBlock, alternative du fameux Adblock.
Immédiatement, j’ai pensé que le site avait été détecté à tort à cause des mots « hacker » ou « pirate » utilisés à plusieurs reprises dans les articles.
C’était déjà arrivé par le passé avec Avast! qui détectait du jour au lendemain tout le site comme étant malveillant…rhaaa quelle idée d’avoir nommé ce blog comme ça !!!
Seulement cela ne s’arrête pas là.
Dans la foulée, on m’indique qu’il n’est plus possible de partager mes articles sur Twitter car un message indiquant un potentiel problème de sécurité s’affiche.
Apparemment Twitter fait appel à un service « antivirus » qui scanne les liens avant publication.
Un autre visiteur du site me contacte par e-mail le lendemain en indiquant que son extension Mcafee SiteAdvisor détecte elle aussi mon site…
Un petit tour sur Virustotal me montre enfin tous les mauvais « antivirus » qui se sont visiblement passés la mauvaise information…
Certes les antivirus ne détectent pas toujours tous les programmes/sites malveillants… Mais si en plus ils commencent à détecter à tort des sites sains, il y a effectivement un gros souci.
Je me décide donc de contacter un à un les éditeurs de ces outils problématiques.
La première réponse me vient très rapidement de la part de Emsisoft. Merci donc à eux pour leur grande efficacité ainsi que pour la preuve qu’il n’y a rien de suspect avec mon site.
Quelques jours plus tard, d’autres réponses me parviennent :
À l’assaut contre les faux positifs
Durant mes recherches sur ces faux positifs, j’ai fait quelques découvertes intéressantes.
Tout d’abord, Mcafee propose gentiment une adresse e-mail de contact pour demander une investigation manuelle en vue de sortir un site d’une liste noire.
Seulement, il est impossible de les contacter car l’e-mail en lui-même est bloqué :
J’ai également découvert un service prometteur de Sucuri qui nous propose de sortir un site des listes noires.
Seulement cela coûte 300 dollars par an. Attendez ? on va quand même pas se prendre des détections à tort pour ensuite payer afin de le faire sortir de la blacklist, si ?
Le service est certainement pratique et utile pour un site qui a été piraté, mais il est inimaginable de payer pour faire sortir mon site d’une mauvaise détection.
Une semaine après…
Environ une semaine après, à la date de la publication de cet article, j’ai reçu une réponse de presque tous les éditeurs.
Le site est à nouveau marqué comme sain à plusieurs endroits…mais il faut encore attendre que toutes les mises à jour se propagent.
Ce que cette expérience me permet de conclure
Conclusion par rapport aux faux positifs
Tout d’abord, on a vu que lorsqu’un antivirus détecte quelque chose, d’autres en tendance à le suivre aveuglément.
Virustotal l’indique lui-même, les programmes ou sites scannés sont partagés entre éditeurs d’antivirus. C’est une bonne chose lorsqu’on détecte VRAIMENT un programme ou site suspect, mais à l’inverse cela amplifie le problème des faux positifs.
En quelques jours les détections sont devenues de plus en plus nombreuses chez des éditeurs différents mais pour les mêmes raisons « Phishing website ».
Et bien que les détections soient rapidement propagées, l’inverse n’est pas vrai, car une fois le faux positif partagé, les antivirus ne se suivent plus aussi vite qu’auparavant pour annuler l’erreur… et certains détecteront sûrement le site à jamais, nous verrons bien…
Dans tous les cas, le principal site de détection de Phishing appelé PhishTank n’a rien détecté de son côté tout au long de cette aventure :
Ensuite, on notera l’évident problème de crédibilité que créent ces mauvaises détections.
Il est tout à fait normal pour un utilisateur de ne pas continuer sa navigation s’il reçoit une alerte. J’ai sûrement perdu beaucoup de visiteurs entre temps.
Seulement cela porte gravement atteinte à la réputation d’un site ou d’un programme détecté à tort.
J’ai également demandé par la suite d’où venait concrètement cette détection… et tenez-vous bien…
Un de leurs « chercheurs » en sécurité aurait soumis une liste d’URL malveillantes…
LOL… et LOL…
- LOL d’abord parce qu’un soi-disant chercheur n’arrive pas à différencier un site de phishing d’un blog sur la cybersécurité.
- LOL ensuite parce qu’aucune vérification n’est faite après coup ? « Ok merci pour la liste ! hop, c’est bon demain les antivirus les détecteront ».
Conclusion par rapport à mon site
J’écris beaucoup d’articles dans le but de lutter contre les arnaques sur internet, et je n’hésite pas à utiliser le langage des pirates lorsque cela permet d’obtenir plus de visibilité auprès des internautes trop crédules.
Le but étant d’expliquer de façon simple et concrète à un maximum de personnes comment se protéger des attaques qui nous visent tous les jours. Et notamment des attaques qui nous promettent des piratages à la demande… mais qui NOUS piratent à la place.
Mais je prends note, c’est ma faute, j’aurais dû être plus proactif et prévoir cette conséquence. J’ai édité quelques articles depuis pour les rendre moins « clickbait ».
Le but de cet article est de rassurer les internautes qui auraient reçu (ou reçoivent encore) une alerte leur indiquant un potentiel souci de sécurité en visitant leblogduhacker.fr.
Vous pouvez continuer votre visite sans crainte et me poser vos questions si vous avez encore des doutes.
Jamais ce site ne cherchera, ni même n’a cherché, à pirater qui que ce soit.
13 Commentaires
Cliquez ici pour ajouter un commentaire
Salutation Michel, j’utilise F-Secure et il en va de même sur tous mes support, « Site web dangereux bloqué » pour l’adresse : https://www.leblogduhacker.fr
Pour info ?
Rootssam
Merci Rootssam, encore un éditeur à contacter ! 🙂
Bonjour Michel !
Enfin disponible le site… j’étais toutefois contraint de le joindre via Tor.
Je constate qu’il faut aussi s’authentifier dorénavant par l’ancien captcha de Google pour accéder au blog. C’est pas évidemment car cette option n’est pas permanentent fonctionnelle (serveur google return error parfois)
J’ai une question tout de même, j’utilise Let’s Crypt sur mon site mais sur certaines versions de navigateurs, Firefox 52.0 , Google Chrome 14.0.835.163, Microsoft Internet Explorer 8.0,
pour ne citer que ces exemples, les informations qui filtrent laissent croire que la connexion n’est pas sécurisée ou encore « Le certificat de sécurité présenté par ce site Web a expiré ou n’est pas encore valide.
Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web ». J’ai bien configuré sur mon serveur la redirection permanente 301 vers HTTPS. J’ai analysé l’erreur avec le support de Firefox et SSL-check mais rien.
Je te remercie d’avance pour des précieux conseils qui m’ont aider à découvrir le hacking, bref à sécuriser. Merci et que Dieu te Bénisse grand frère!
Bonjour David07,
Pourrais-je avoir plus de détails quant à la disponibilité du site et au captcha par e-mail ? Pour Let’s Crypt, je ne sais pas ce qui cloche exactement mais je pense que tu obtiendras des informations intéressantes ici : https://www.ssllabs.com/ssltest/ ?
Merci à toi et à bientôt !
Merci pour le lien. L’analyse ne me retourne aucune erreur !
Inbox pour les détails.
Bonsoir Michel,
Je parcours ton article depuis actuellement 10 mois, cherchant ainsi à devenir un white hat pour aider les personnes ayant du mal avec la sécurité informatique à devenir des personnes sachant éviter les menaces. Je tenais à dire que ton site m’aide beaucoup et que je trouve personnellement qu’il est le plus sécurisé de tout les blogs de ce type et que tu ne méritais pas une telle chose. Ton travail est propre, complet et professionnel. Je tenais à t’encourager dans cette voie et de continuer ainsi. Cette communauté que tu crée autour de ce blog est fantastique comme son contenu.
Merci encore pour tes articles très intéressants.
Kaysan
Bonjour Kaysan,
Un grand merci à toi pour ton message 🙂 Ça me fait plaisir de te compter parmi les visiteurs réguliers du site !
À bientôt !
Bonjour Michel,
c’est étonnant que seulement sur le réseau social Twitter on ne puisse pas partager tes articles. Sur Google+ et Facebook ça fonctionne. C’est vraiment étrange la façon dont Twitter scanne les sites partagés sur son réseau social.
Michel une question : Pourquoi avoir choisi uBlock au lieu d’Adblock ? est ce plus efficace ?
Hello Lucien,
Je pense que Twitter se base sur une liste de sites « malveillants » différente de Facebook et Google. Mais le problème, le vrai, c’est que Twitter se base sur ces informations sans aucune vérification au préalable ou additionnelle. Et même lorsque la liste en question a été éditée pour y supprimer mon site, Twitter ignore cette suppression. De plus, cela fait deux semaines que je contacte le support sans succès, je ne reçois que des messages automatiques. Et les quelques personnes travaillant chez Twitter que j’ai pu contacter n’ont pas répondu à mon appel. En somme, une très mauvaise expérience avec Twitter, réseau social que j’abandonnerais probablement si le problème n’est pas résolu bientôt.
Concernant uBlock au lieu d’Adblock, je ne saurais répondre, j’utilise Adblock et n’ai jamais rencontré de problèmes. J’ai du mal à recommander uBlock après sa détection de mon site…mais peut-être qu’il est équivalent à AdBlock lorsqu’il ne se trompe pas 🙂
Salut Michel K,
Apparemment Emsisoft signale encore ton site…
Salut et merci de l’avoir signalé. Oui apparemment Emsisoft aime dire qu’ils ont corrigé les faux positifs alors qu’il n’en est rien… 🙂
Bonjour Michel,
Merci pour ce super blog que vous faites.
2 Blocage a signalé
Dans Firefox sans proxy
http://www.leblogduhacker.fr utilise un certificat de sécurité invalide. Le certificat n’est pas sûr car l’autorité délivrant le certificat est inconnue. Le serveur n’envoie peut-être pas les certificats intermédiaires appropriés. Il peut être nécessaire d’importer un certificat racine supplémentaire. Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER
+
OpenDNS qui le bloque et indique que le site est un hameçonnage
Cordialement
Bonjour Maveric et merci du signalement.
Pour SSL je vais voir cela, ce n’est pas la première fois que des utilisateurs rencontrent ce message (surtout sous Chrome). Mais pourtant tout semble ok de mon côté : https://www.ssllabs.com/ssltest/analyze.html?d=www.leblogduhacker.fr&latest et je n’ai pas de message d’erreur avec le tout dernier Firefox.
Pour OpenDNS, j’ai ouvert un ticket. Dédicace à « fatts » qui a flaggué le domain sans même comprendre ce que « Adware » signifie 🙂
Cette expérience m’aura appris que bien des sites pourtant « de confiance en tant normal » se fourvoient complètement en se basant les yeux fermés sur n’importe quelle information non vérifiée qui leur vient, à un point où ça en devient comique…ou grave… 🙂
Merci encore et à bientôt !