Le site web de Wanadoo piraté et utilisé dans attaque à la Scob
|
F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours
|
|
En se connectant sur la page d'accueil du site, les internautes étaient redirigés vers des sites tentant d'installer un cheval de Troie sur leur machine. Une méthode inaugurée par le virus Scob en juin dernier.
Wanadoo, la filiale Internet de France Telecom, a été victime dans la nuit du lundi 23 au mardi 24 août d'une attaque ayant infectée la page d'accueil de son site Internet. L'attaque est susceptible d'avoir contaminé les visiteurs du site jusqu'au mardi après midi, heure à laquelle le fournisseur d'accès en a bloqué l'accès.
En se connectant au site www.wanadoo.com, l'internaute était redirigé vers d'autres sites qui essayaient d'installer sur sa machine un cheval de Troie. Le programme utilisait pour cela deux failles logicielles connues, Exploit-ByteVerify et MHTML URL.
|
|
|
L'une d'entre elles, MHTML URL avait déjà été employée lors due la diffusion du virus Scob en juin dernier, un virus qui s'était introduit sur les pages d'accueil de plusieurs grands sites Internet.
Les ordinateurs infectés ont reçu un programme malveillant appelé "loaderfox" qui a pour mission de recueillir des données personnelles sur les postes puis de les transmettre via le Web. Seuls les postes n'ayant pas mis à jour leur version d'Internet Explorer et ne disposant pas d'un anti-virus ont cependant pu être touchés. En effet, depuis le début du mois d'août, Microsoft a comblé la faille de sécurité Download.ject autorisant le téléchargement de données automatiques et n'importe quel anti-virus peut bloquer l'exécution du troyen.
Tandis que le fournisseur d'accès français s'employait à découvrir l'origine de l'attaque, les visiteurs étaient redirigés vers la page France des abonnés. Jeudi, le problème était en partie résolu selon une porte parole du groupe. "Quelqu'un a réussi à s'introduire sur le site et à altérer une page" et ce "malgré le fait que tous nos logiciels soient à jour". Le réseau d'origine emprunté par le pirate a été retracé et l'équipe informatique "a découvert la façon dont le pirate s'y est pris".
La page reste toutefois fermée jusqu'à ce que "l'ensemble des machines soient testées afin qu'il ne puisse pas pénétrer à nouveau le réseau". Le service technique de Wanadoo se tiendra à la disposition des personnes souhaitant obtenir de plus amples renseignements sur une possible infection de leurs machines.
Par Yves DROTHIER (JDN / 28.08.2004)
|
|
|