Des pirates s'en prennent à la communauté MySpace

Le site communautaire MySpace.com (blogs, partage de musique et de vidéos...) a été victime pour la troisième fois d'un piratage informatique. La société de sécurité WebSense a en effet révélé, le 1^er décembre, l'existence d'un ver qui sévissait sur le site, en exploitant une vulnérabilité du service communautaire. Capable de se propager automatiquement, l'intrus avait pour but de récupérer l'e-mail et le mot de passe des utilisateurs de MySpace, en les dirigeant vers de fausses pages imitant leur espace profil MySpace.

Baptisé JS.Qspace ou JS/Quickspace.A, ce ver utilisait tout simplement une fonction du lecteur vidéo QuickTime pour infecter des pages du site : des fichiers vidéo, disséminés par les pirates, contenaient des scripts malicieux, exécutés automatiquement par le lecteur. L'opération provoquait alors la modification de la page de profil MySpace de l'utilisateur, en y remplaçant la barre de menus (les liens menant vers de faux sites) et en ajoutant dans la page un lien vers la vidéo piégée. De plus, le ver tentait de se propager en envoyant des messages aux contacts MySpace de l'utilisateur, contenant aussi le lien vers la vidéo d'origine.

Se limitant à voler des identifiants de compte MySpace, ce code malicieux n'est pas considéré comme dangereux par les experts en sécurité. Mais il témoigne cependant du nouveau penchant des pirates : les applications Web. ' Les pirates ne recherchent plus spécialement de failles au niveau du navigateur des internautes. Depuis un an, ils se concentrent sur les vulnérabilités des applications serveur des sites ', précise Damase Tricart, chef de produit chez Symantec.

On a ainsi assisté cette année au premier ver touchant un webmail (celui de Yahoo!) et MySpace a fait l'objet de plusieurs attaques (ajout de profil ' ami ', insertion de bannières Flash dans la page de profil). Le site communautaire est particulièrement exposé ' car il permet aux utilisateurs d'intégrer eux-mêmes du contenu dynamique. C'est le risque du Web 2.0... ', explique le chef de produit. Ce type de sites doit donc être particulièrement rigoureux quant à la mise à jour immédiate de ses applications.

De son côté, le site français de partage de vidéos DailyMotion affirme prendre les précautions nécessaires : ' Nous réencodons systématiquement les contenus envoyés, ainsi aucun virus ne peut passer. De plus, le format FLV [Video Flash, NDLR] que nous utilisons ne connaît aucune faille à ce jour ', indique Olivier Poitrey, directeur technique. ' Dans tous les cas, ce type de ver n'affecte pas la machine de l'utilisateur. Il n'autorise que le phishing des informations du compte correspondant au service '.