lundi 18 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Une attaque affecterait 80 000 sites Web, selon un expert en (...)

Une attaque affecterait 80 000 sites Web, selon un expert en sécurité

Alexis Grondin, 01net

lundi 6 octobre 2008, sélectionné par Spyworld

logo

Ian Amit, chercheur chez Aladdin, annonce avoir découvert un serveur pirate ayant collecté 200 000 identifiants à travers le monde.

80 000 sites dans le monde entier. Joli palmarès pour quelques pirates dont l’attaque aurait été détectée vendredi par Aladdin Knowledge Softwares. « L’attaque a concerné plus de 200 000 identifiants avec lesquels les criminels ont réussi à accéder à plus de 100 000 serveurs FTP », explique Ian Amit, directeur de recherche en sécurité à Aladdin Knowledge Systems. A l’aide du kit de développement Neosploit 3.1, revenu de l’au-delà puisque annoncé comme mort dans le courant de l’été, les pirates ont réussi à infecter des serveurs de 86 pays à partir d’un seul serveur pirate.

Cheval de Troie

Les piégés sont infectés lors de la visite d’un site dont le contenu est infecté par le serveur pirate. Un cheval de Troie s’installe alors automatiquement sur leurs PC. Il reste inactif jusqu’à ce que l’utilisateur se connecte à un service requérant des droits d’accès (site Internet, serveur, etc.). Le cheval de Troie récupère alors les codes d’accès et les envoie aux pirates, qui recueillent toutes ces informations et les mettent en ligne sur le serveur pirate. Celui-ci teste la validité des identifiants, les utilise puis scrute les contenus Web sur les serveurs auxquels les identifiants valides lui ont ouvert l’accès.

Les pirates ajoutent un script malveillant au contenu du site, afin d’infecter de nouveaux visiteurs puis de nouveaux sites Web. La boucle est ainsi bouclée. Les identifiants validés, mais ne permettant pas l’accès à du contenu Web sont gardés pour plus tard, permettant éventuellement d’accéder à des informations financières.

1 500 identifiants français retrouvés sur le serveur pirate

« Nous estimons que deux groupes de criminels européens et un groupe américain sont impliqués dans cet incident, précise Ian Amit. Nous basons nos accusations sur les données retrouvées sur le serveur pirate, qui d’ailleurs concernaient 1 500 identifiants français ». Les sites de TF1, des 3 Suisses et de Bouygues Telecom sont notamment concernés.

Comment savoir si votre site Web est infecté ? Aladdin a mis à disposition sur son site un formulaire pour déposer les noms de domaines sur lesquels il y a une interrogation. « Pour les administrateurs, assurez-vous que les identifiants pour gérer et accéder à votre site Internet sont protégés et changés régulièrement, afin d’éviter les vols et autres abus. Et essayez autant que possible de gérer au plus près les accès externes au site de votre entreprise, afin de minimiser les risques d’agressions ». Quant aux internautes, ne faites jamais confiance à un site Internet.

Cependant, on attend toujours la confirmation des organismes officiels, dont le CERT-US, qui, selon Ian Amit, aurait aidé à la découverte de cette attaque. Un silence du CERT-US qui pousse certains spécialistes à douter de cette attaque. Il est vrai que les rumeurs comme les virus se répandent tellement vite en automne...


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :