|
sécurité
Une attaque massive transforme des sites Web en nids à virus
En prenant le contrôle de serveurs Web insuffisamment protégés, des pirates infectent de nombreux sites, y compris en France.
Ludovic Nachury,
01net., le 29/04/2008 à 17h15
|
Un éditeur de livres religieux, un revendeur informatique, un forum pour développeurs, une agence de l'ONU, un site d'offres d'emploi... Jour après jour, la liste ne cesse de s'allonger. Une vague d'attaques informatiques contre
des serveurs Web transforme actuellement de nombreux sites Internet, y compris en France, en vecteurs de virus.
Selon la fondation spécialisée dans la sécurité informatique Shadowserver, les étapes de l'agression sont les suivantes :
— des robots logiciels scannent les sites Web à la recherche de zones exécutant des instructions et y injectent du code malicieux. Les sites concernés sont ceux qui utilisent ASP et ASP.net, selon Shadowserver ;
— lorsqu'une zone est mal sécurisée, ce code permet aux pirates de prendre le contrôle du serveur Web ;
— ceux-ci ajoutent alors un
iframe
(un type d'élément HTML) JavaScript vérolé (qui porte le nom de « bonjour » en chinois) sur des pages Web du site ;
— lorsqu'un internaute dont l'ordinateur ne dispose pas des bonnes mises à jour de sécurité passe sur ces pages, il se retrouve dirigé vers un site qui, à son insu, va essayer d'installer un logiciel de
keylogging,
capable de détecter tout ce qu'il tapera au clavier.
Taper le nom du JavaScript malicieux en question sur Google.fr fait remonter 350 000 pages Web (voir capture ci-dessous), balayant des types de sites extrêmement variés. A l'heure où nous publions cet article, certaines sont
peut-être encore infectées. Google a d'ailleurs ajouté à côté de l'URL de plusieurs de ces pages la mention « Ce site risque d'endommager votre ordinateur ».
Lesjeudis.com touché
Des sociétés ont déjà fait le ménage, a l'instar du site d'offres d'emploi high-tech Lesjeudis.com, qui - la chose n'est guère courante - a joué la carte de la transparence et nous a décrit l'attaque.
« Le problème a commencé avec une mise à jour d'IIS
[le serveur Web de Microsoft, NDLR]
que nous étions en train de valider pour nous assurer de son utilité »,
raconte
Ludovic Majerus, responsable technique de la société.
« Nous avons pris connaissance de cette mise à jour en début de soirée. A 22 heures, nous étions attaqués, avant de l'avoir installée. Vers 22 h 30,
nous avons été prévenus et avons coupé rapidement les serveurs. Notre hébergeur a travaillé dessus toute la nuit, jusqu'à 2 ou 3 heures du matin. »
Entre le moment de l'attaque et celui de la correction, des internautes au poste mal protégé - autrement dit qui n'ont pas fait toutes les mises à jour de sécurité - ont donc pu subir une infection informatique.
Depuis, le site de Lesjeudis.com est de nouveau sécurisé. Ce qui n'est sans doute pas le cas de tout le reste du Web français.
« La semaine dernière, l'administrateur d'un site, qui a trouvé la trace de notre infection dans
Google, nous a contactés pour savoir que faire »,
poursuit Ludovic Majerus.
En soi, la correction ne présente aucune difficulté. Il suffit d'appliquer immédiatement toutes les mises à jour de son serveur Web. Mais, celles-ci pouvant modifier sensiblement le fonctionnement de ce serveur, nombre d'entreprises
préfèrent réaliser des tests avant leur intégration. Un délai qui peut se révéler fatal, comme le prouve le cas de Lesjeudis.com.
Quant aux suites pénales, il ne devrait pas y en avoir, du moins pour Lesjeudis.com.
« Nous n'avons pas porté plainte. Le site qui envoie le script infecté se trouve en Chine. »
Difficile,
voire impossible, alors de remonter la trace du pirate.
Photos
