Christopher Boyd (IT security)

Christopher Boyd, opérant sous le pseudonyme Paperghost, est un chercheur en sécurité informatique qui s'est forgé sa réputation grâce à des enquêtes précoces sur les spywares, les adwares et les réseaux de distribution de malwares. Il a occupé des postes seniors de recherche chez FaceTime, Sunbelt Software (devenu GFI Software) et Malwarebytes. Son travail au milieu des années 2000 a mis au jour des menaces significatives, dont le premier rootkit connu diffusé par messagerie instantanée et un botnet comptant 150 000 nœuds.

Premiers travaux en sécurité

Christopher Boyd, largement connu sous son pseudonyme en ligne Paperghost, s'est imposé comme chercheur en sécurité informatique au début des années 2000. En juillet 2004, il a lancé Vitalsecurity.org, un site web dédié à porter à l'attention du public les enjeux de vie privée et de spyware. Le site est devenu une plateforme de documentation des menaces émergentes, à un moment où les spywares et adwares évoluaient rapidement en sophistication.

En novembre 2004, Boyd a documenté une technique de piratage modulaire qui compromettait les utilisateurs Windows en visant les serveurs Apache. Une fois piratés, ces serveurs redirigeaient les visiteurs vers une série tournante de pages d'infection déployant des virus recompilés, des chevaux de Troie, des malwares et des spywares — une technique ensuite largement adoptée par les groupes à l'origine du spyware CoolWebSearch.

Découvertes notables

En mars 2005, Boyd a remis en cause l'idée reçue selon laquelle les navigateurs alternatifs tels qu'Opera et Firefox offraient des avantages significatifs en matière de sécurité par rapport à Internet Explorer. Il a identifié une applet Java qui, une fois acceptée par l'utilisateur, installait un large bundle d'adware indépendamment des listes de blocage ou des outils de sécurité. Un installateur XPI mis à jour de Firefox qui infectait par la suite Internet Explorer a également été détecté dans certains de ces déploiements.

En juin 2005, Boyd a découvert que les distributeurs d'adwares se tournaient de plus en plus vers les forums BitTorrent et les sites de partage de fichiers comme canaux de distribution. Il a établi qu'Aurora, un programme produit par Direct Revenue, et plusieurs autres adwares majeurs étaient packagés et distribués par l'intermédiaire de Metrix Marketing Group (MMG). L'enquête a également exposé des fichiers potentiellement contrefaisants, de la pornographie illégale et des pratiques de divulgation absentes ou incorrectes. Les conclusions ont conduit Direct Revenue, 180solutions et d'autres sociétés à annoncer publiquement l'arrêt de ces méthodes de distribution.

L'enquête a suscité une attention médiatique importante, dont une chronique de John C. Dvorak dans PC Magazine alléguant que Boyd faisait partie d'un complot visant à discréditer BitTorrent au profit de Microsoft — une caractérisation qui a généré une controverse considérable. Dave Methvin de PC Pitstop a ensuite produit ses propres constats, alléguant que certains films distribués contenaient de la pornographie de mineurs potentiellement illégale. MMG est par la suite passée hors ligne et les sociétés d'adware se sont retirées de ce réseau de distribution.

En octobre 2005, Boyd a découvert une fausse Google Toolbar diffusée via messagerie instantanée. La barre d'outils permettait aux utilisateurs de stocker leurs coordonnées bancaires et ouvrait une page de recherche Google frauduleuse. Boyd a retracé la barre d'outils jusqu'en 2003 à travers trois versions distinctes, chacune exploitant des vulnérabilités du système d'exploitation Windows.

Toujours fin 2005, Boyd a identifié ce qui est considéré comme le premier cas connu de rootkit diffusé via messagerie instantanée, dissimulé dans un large paquet d'adware et de spyware. Au cours de plusieurs mois, le groupe à l'origine des attaques a déployé un éventail de charges utiles — y compris une installation forcée de BitTorrent utilisée pour diffuser des fichiers vidéo — et a finalement été remonté jusqu'au Moyen-Orient.

Recherches de 2006

Boyd a continué à produire des découvertes significatives en sécurité tout au long de 2006. Parmi elles figurent la découverte d'un botnet de 150 000 machines utilisant un script Perl sur mesure pour voler les données de paiement d'applications de panier d'achat tierces, une enquête sur un navigateur web qui redirigeait les utilisateurs vers de la pornographie potentiellement illégale, un ver de messagerie instantanée qui installait son propre navigateur web et des éléments prouvant que l'éditeur d'adware Zango faisait la promotion de contenus via MySpace. Il a également documenté une chaîne d'infection multi-étages qu'il a baptisée « Pipeline Worm », une infection par messagerie instantanée employant des tactiques de type botnet pour la fraude au clic, ainsi qu'un ver utilisant des fichiers QuickTime pour se propager sur MySpace afin de pousser l'adware Zango.

Carrière

Boyd a été Director of Malware Research chez FaceTime, puis Senior Threat Researcher chez Sunbelt Software, qui est par la suite devenue GFI Software. En décembre 2013, Malwarebytes a annoncé que Boyd rejoignait son équipe Malware Intelligence pour étudier les nouvelles menaces.

Reconnaissance et critiques

Boyd s'est forgé une réputation de critique acharné des sociétés d'adware. Son examen attentif de 180solutions a conduit l'entreprise à le qualifier publiquement de « fanatique » sur son blog. Ses travaux étaient régulièrement repris par des voix antispyware de premier plan, dont Sunbelt Blog, le blog ZDNet de Suzi Turner et le site web de Ben Edelman.