Des experts en sécurité ont découverts, avant-hier, du code
malicieux sur plusieurs pages d'accueil de grands sites corporate.
L'origine de cette découverte vient de la société de service
en sécurité informatique NetSec qui a détecté ce jeudi un trafic
inhabituel au niveau des réseaux de ses clients.
En scannant les fichiers logs des pare-feux et les points
d'entrées des réseaux, l'entreprise s'aperçoit que lors de
visites sur certains sites Web, les internautes téléchargeaient
sans le vouloir du code Javascript attaché à une image ou
un graphique. Si ce cas peut a priori faire penser
à d'autres failles de sécurité similaires, il s'en distingue
sur plusieurs points.
Tout
d'abord, les deux failles du navigateur Internet Explorer
sur lequel le ver s'appuie pour exécuter du code Javascript
sur un poste client n'ont pas été à ce
jour réparées. Ensuite, les sites infectés sont
des sites de grandes sociétés qui drainent potentiellement
un grand nombre de visiteurs. Brent Houlahan, responsable technologie chez
NetSec, se refusait à nommer les victimes mais déclarait vendredi à la presse américaine qu'on comptait parmi elles des sites d'enchères en ligne, des institutions financières, des comparateurs
de prix et même des moteurs de recherche.
Le centre de suivi des menaces sur Internet (ISC) a d'ailleurs
confirmé la présence de grands noms du Web dans la liste des
sites infectés.
Et si les failles d'Internet Explorer laissent passer le téléchargement et
l'exécution du code Javascript malicieux, il en va de même
pour les anti-virus du marché qui n'ont pas encore recensé
cette attaque dans leur base de données respectives, précisait
M. Houlahan. Une fois le code lancé, le cheval de Troie
connecte les postes infectés à une ou plusieurs adresses IP
localisées en Russie, puis télécharge un renifleur de clavier
(détectant ce que l'utilisateur tape au clavier) et
pour finir ouvre une porte dérobée dont il peut se servir
pour prendre le contrôle de la machine ou envoyer du spam.
Si à première vue, l'objectif est d'abord de créer un réseau
de machines zombies relayant le spam à travers Internet, le
fonctionnement du ver divise les experts en sécurité. Interrogé
par News.com, Symantec évoque une cellule du crime organisé,
basée en Russie, qui aurait conduit une attaque du même type
en avril 2004. Pour étayer sa théorie, le spécialiste de la
sécurité souligne la nature très sophistiquée de l'attaque
où le code n'a pas seulement été modifié ou recopié mais bien
créé puis adapté aux besoins des créateurs, ce qui ne correspondrait
pas à un profil de spammeur type.
D'après les premières conclusions de leurs recherches, les
experts estiment que le code a été introduit sur les sites
corporate en utilisant une faille non encore découverte du
serveur Web de Microsoft, IIS, ou par des connexions non sécurisées.
Symantec recommande aux internautes de télécharger des navigateurs
alternatifs à Internet Explorer, comme Mozilla, Opera ou Netscape
qui ne sont pas ciblés par cette attaque, en attendant une
mise à jour de la part de Microsoft ou des éditeurs d'antivirus.
|