Le site Suisse de 20 Minutes infiltré par un code malveillant

Infiltré par un code malveillant ! Vous êtes sur Internet et votre machine commence à afficher des faiblesses. Soudain, votre navigateur se bloque. Vous appuyez sur CTRL ALT SUPPR, vous sélectionnez Gestionnaire de tâche et vous découvrez que le processus lié au player FLASH d’Adobe a un étrange comportement. Fermez le, un code malveillant est peut-être en cours de lancement.

C’est le genre de problèmes qu’auront vécu, jeudi 7 avril, des milliers de visiteurs du site Suisse du journal 20 Minutes. Une tentative de piratage classique. Le pirate a caché un code malveillant dans le code source du quotidien. Mission de ce code, lancer l’exécution d’un couteau Suisse pirate, un kit de hacking. La finalité de ce kit, lancer des commandes qui devaient permettre l’installation d’un logiciel espion dans les ordinateurs des lecteurs helvétiques.

Pour que cet espionnage puisse fonctionner, il fallait des ordinateurs ne possédant pas les mises à jour du navigateur, de l’antivirus et du lecteur Flash d’Adobe. C’est d’ailleurs par ce biais, et un 0Day que l’éditeur américain de logiciels a corrigé d’urgence, que le pirate a tenté son tour de passe-passe. Le malware de 20 Minutes sera resté sur le serveur une dizaine d’heures. « Nos serveurs sont attaqués des dizaines de fois par jour, souligne la rédaction du journal. Tous les trois mois environ, un hacker trouve le moyen de déjouer les systèmes de sécurité.« 

Bien évidement, ici pas de hacker, mais des pirates informatiques spécialisés dans l’infiltration. Ils tentent par ce biais de mettre la main sur des milliers d’ordinateurs qui, une fois infiltrés, deviennent des aides involontaires pour d’autres attaques : DDoS, cyber surveillance, diffuseurs de spams …

Infiltré par un code malveillant

Pour ce protéger de ce genre d’attaque, les webmasters doivent être en perpétuelle alerte ; écouter leurs lecteurs sur les réseaux sociaux ; mettre à jour les plugins et autres logiciels exploités sur Internet. Pour conclure, même si cela semble compliqué encore aujourd’hui, bannissait définitivement Flash, véritable nid d’idées malsaines pour les pirates. Au pire, mettez à jour d’urgence l’outil.

Infiltration de 4,5 millions d’internautes

Le site 20 Minutes Suisse n’est qu’une victime parmi des millions d’autres. L’éditeur Avast a détecté l’infiltration de 4,5 millions d’utilisateurs de sites web sous le CMS WordPress, ainsi que de sites fonctionnant sous Joomla. Des internautes, et donc autant d’ordinateurs, touchés par l’injection d’un code pirate à partir de sites piégés.

Je vous parle très souvent, malheureusement, de ce genre d’attaque. Elles sont sournoises, personne ne s’en rend compte, à moins de mettre le nez dans le code source de chaque site visité. Pour le cas d’Avast [étonnant que les autres éditeurs d’antivirus n’aient rien vu] le code pirate se rajoute juste avant la balise de fermeture d’en-tête </head>. Bref,  infiltré par un code malveillant !

Les pirates, pour agir, utilisent un bot dédié. Il cherche le site faillible et injecte sa « cochonnerie ». 70 millions de sites auraient été touchés par ce faux script. Il se faisait passer pour jQuery : jquery.min.php. Une attaque qui aurait débuté en novembre 2015. Le Brésil, la Russie, les USA et la France sont dans la liste des pays les plus touchés par cette infiltration.