Le site web de Wanadoo a été piraté

La Rédaction,

Le portail de l’opérateur Internet Wanadoo s’est fait pirater. Il diffusait un cheval de Troie à l’ensemble des visiteurs. Une attaque qui rappelle étrangement la technique employée par Scob apparue au début de l’été

C’est dans la nuit du lundi 23 au mardi 24 que l’incident est survenu mais il n’a été identifié par les équipes de l’opérateur que dans la fin d’après-midi du 24. Durant toute la journée le site compromis tentait de rediriger l’internaute vers d’autres sites malicieux qui essayaient d’installer sur sa machine un cheval de Troie.

Appelé « loaderfox », il a pour mission de recueillir des données personnelles sur les postes puis de les transmettre via le Web. Seuls les postes n’ayant pas mis à jour leur version d’Internet Explorer et ne disposant pas d’un anti-virus à jour ont pu être touchés. Le porte parole de Wanadoo, Caroline Ponsi, ne l’a annoncé que le jour suivant : « Quelqu’un a réussi à compromettre notre portail et à altérer le contenu de nos pages ». Elle précise par ailleurs que l’ensemble des patchs de sécurité étaient pourtant installés. Etrange quand on songe au fait que les vulnérabilités exploitées étaient connues et des ‘patchs’ étaient disponibles depuis plusieurs mois? Le portail victime a été déconnecté par les équipes techniques dans l’après-midi du 24 vers 17h30. L’ensemble des visiteurs se sont vu alors redirigés vers une page annonçant un problème technique. Des investigations ont eu lieu et ont révélé des éléments complémentaires sur l’attaque. La source a été identifiée et l’ISP propriétaire de la plage d’adresses a été contacté pour mener des investigations complémentaires. Quelques détails sur l’attaque C’est la combinaison de deux « exploits » connus qui a permis de mettre en place l’attaque et d’installer un cheval de Troie à l’insu des visiteurs du portail. Exploit-ByteVerify est un module « applet » Java qui exploite la vulnérabilité Microsoft couverte par le bulletin de sécurité MS03-011, une vulnérabilité jugée alors critique par l’éditeur. Cette faille affecte directement la Machine Virtuelle Microsoft, installée par défaut sur l’ensemble des systèmes Win32. L’exploitation de cette vulnérabilité a permis la redirection vers un site tiers. MHTML URL, une autre vulnérabilité critique Microsoft, avait été récemment employée lors de la diffusion du virus Scob, qui s’était introduit sur les pages d’accueil de nombreux sites web en Juin dernier. C’est au travers de cette vulnérabilité que le cheval de Troie Loaderfox était installé sur le poste client. Norman Girard pour Vulnerabilite.com