Cisco est à l’origine d’une étude autour des pratiques de la société Française Tuto4PC. Selon eux, des programmes indésirables sont installés sans le consentement de l’utilisateur. Certains seraient des « malware-like ».
Cisco a commencé son enquête suite à la détection d’un trojan “générique” impossible à expliquer. Leur investigation dans des montagnes de données télémétrique a permis de découvrir l’usage d’un cheval de Troie générique nommé Wizz dans le logiciel distribué par Tuto4PC.
Tuto4PC, trojan, cheval de Troie, porte dérobée
Après l’installation, ce logiciel passerait par une série de contrôles, identiques à ceux observés avec un malware d’aujourd’hui. Le logiciel de Tuto4PC vérifierait plusieurs points dont la présence d’un logiciel antivirus, des outils sécurité, des sessions de bureau à distance, et les navigateurs installés.
Ces données seraient collectées puis transmises à un serveur via un canal chiffré, un mode proche pour ne pas dire identique à celui utilisé par les logiciels espions et de piratage de données bancaires.
Cisco note toutefois certaines incohérences dans la démarche
“La chose drôle est que, tout en dépensant beaucoup de temps sur « l’anti-sandbox » et les techniques « anti-analyses », les auteurs ne semblent pas consacrer les même efforts dans le protection du chiffrement »
Les chercheurs avancent qu’ils ont rapidement découvert que le logiciel Tuto4PC installe d’autres progiciels derrière le dos de l’utilisateur. Il est dit que l’application s’accapare des privilèges d’administrateur lors de son installation ce qui lui permet par la suite d’exécuter des installations « silencieuses ». L’utilisateur n’est naturellement pas sollicité et informé. Un examen plus approfondi révèle que le module malveillant de l’application Tuto4PC (Wizz) avait également des capacités de porte dérobée.
Tuto4PC a infecté des millions de PC ?
Selon les statistiques du site Web de Tuto4PC, Cisco affirme que 12 millions d’utilisateurs qui ont installé divers widgets et services publics de l’entreprise peuvent être concernés par cette affaire. Une porte dérobée est susceptible d’être présente permettant à Tuto4PC d’avoir les commandes.
Cisco souligne
“Pour en revenir à Tuto4PC, tous les domaines que nous avons trouvé autour de la campagne adware / spyware sont détenus par Tuto4PC ou d’ autres filiales. Il y avait une tentative de masquer les détails liés aux domaine avec l’usage d’une technique d’obscurcissement , cependant, il était trivial de passer outre”
La firme Français Tuto4PC s’est déjà faite remarquer par le passé sur de tels actes. Elle a déjà été mise en garde par les autorités Français mais sans amende à la clé.
Le 11 mars 2015, le Conseil d’Etat a donné raison à la Cnil face à Tuto4PC. Il a été rappelé à l’entreprise que selon un article du Code des Postes et Communications Electroniques, la réutilisation de données personnelles « à des fins de prospection » nécessite le consentement de l’utilisateur. Malheureusement cette décision du Conseil d’État n’a pas force de loi.
