Attaques: Mettez à jour vos WordPress rapidement
Clarifions bien la situation dès le départ. Cet incident ne cible pas spécialement Jean-Luc Mélenchon : président du Parti de Gauche (PG) , ces attaques de masse frappent systématiquement les systèmes de gestion de contenu (CMS) vulnérables et aux premiers abords ce blog à l'air de fonctionner sous WordPress 2.3.2 alors que la version stable correspond à la 2.8.4 ! (( *edit: de nouvelles informations indiquent que toutes les versions étaient vulnérables, lire Old WordPress Versions Under Attack ( September 4, 2009 ) et How to Keep WordPress Secure: "The tactics are new, but the strategy is not.." ( Matt, September 5, 2009 )) - Pour vous protéger, nous vous recommandons l'utilisation du plugin Bad Behavior.
A l'heure où les vives discussions politiques reprennent en France sur le très controversé projet de loi, HADOPI, je me permet de soulever la question suivante malgré le fait que j'avais décidé de ne pas participer aux débats pour les mêmes raisons exposées par Zythom. Imaginons que l'attaque du site de Jean-Luc Mélenchon avait eu pour objectif l'installation de dispositifs permettant aux pirates informatiques de s'introduire sur les ordinateurs des visiteurs afin de s'en servir comme relais et ainsi favoriser une diffusion illégale d'œuvres numériques. Voici un extrait tiré du journal LeMonde.
Selon ce texte, "des agents habilités et assermentés devant l'autorité judiciaire" constateront les faits. Les petites infractions pourront être traitées par ordonnance pénale, procédure simplifiée déjà utilisée dans les excès de vitesse automobile, par exemple. Les cas plus importants - mais le texte reste flou sur la limite entre petites et grandes infractions - seront traités au tribunal correctionnel, à juge unique (au lieu de trois juges). Une amende de 1 500 euros pourra être exigée ; s'il y a poursuite pour contrefaçon, ça sera une amende de 300 000 euros et deux ans d'emprisonnement.
L'obligation pour l'usager de sécuriser la connexion Internet reste un point délicat : si l'adresse d'un utilisateur apparaît sur un réseau pirate, c'est l'abonné titulaire de la ligne qui sera exposé aux poursuites, qu'il ait ou non piraté. Une notion de "négligence caractérisée" qui devrait à nouveau faire débat.
Autre scénario: l'intrusion aurait pu permettre l'installation silencieuse de dispositifs furtifs spécialement conçus pour nuire aux individus ; par exemple, simuler le comportement d'un utilisateur qui télécharge illégalement (* hacking-as-a-service). Négligences caractérisées ? Si oui, de la part de qui ? Est-ce le responsable légal du site internet ou le visiteur qui n'avait pas ses applications à jour ? Comment se défendre et apporter les preuves de son innocence surtout quand on a conscience qu'un juge n'a que quelques minutes pour traiter un dossier ? J'entends déjà au loin les voix s'élever,.. hérésie ! cessez vos inepties ! Vous pensez peut être que ce méli-mélo entre cet incident et l'actualité n'a pas lieu d'être ? C'est possible mais en même temps, si j'arrive à vous réveiller sur l'absurdité de la "négligence caractérisée", pourquoi pas. Et puis ça ne sera jamais pire que les comparaisons inexactes ou les amalgames burlesques de nos politiciens. Avez-vous oublié l'affaire Julie Amero ? Ces scénarios sont tout à fait plausibles et je ne semble pas être le seul à le penser de la sorte "Hadopi 2, l'avis d'un expert (droit de réponse)". Vous avez raison, mon imagination est débordante mais croyez-moi nous sommes bien loin de celle des cybercriminels quand il s'agit de gagner de l'argent...
Notre système SecuGate a enregistré l'alerte Dimanche 6 Septembre à 12:09:10:07 GTM+1
Ci-dessous, le code ayant été injecté en fin de page.
Une fois décodé, on constate qu'il s'agit d'une iFrame pointant sur un JavaScript malveillant.
DNS: SEARRA-DITOL.CN - IP: : 61.235.117.72
Organization: Justin Dickerson LTD (justin_dickerson@ymail.com)
Registration: 2009-09-04 00:41
Expiration: 2010-09-04 00:41
CRGdSzS - 61.235.117.0 - 61.235.117.255
China Railcom Guangdong Shenzhen Subbranch
Telecommunication Company
Shenzhen City,Guangdong Province
Au moment d'accéder au site compromis, une batterie d'exploits va de manière transparente, sonder la présence de certains composants vulnérables et tenter de les exploiter ; par exemple Adobe Reader et Adobe Flash. Si l'ordinateur est vulnérable le kit téléchargera et exécutera un programme malveillant ( MD5: de194af65e555bf8fcf2b235092e40e1 / SHA1: 7a74204814bcaa6c6b2ebc0d724313fa7e7fd3f2)à l'insu de son propriétaire. (2009.09.06 14:16:27 (UTC) - 5/41 (12.20%)) La date à laquelle ce fichier a été envoyé sur le serveur chinois correspond au 4 Septembre 2009 à 13:21:41 GMT. Notons que la date à laquelle la signature "Trojan.Win32.Tdss.aqgp" a été ajoutée à la base de l'éditeur russe Kaspersky correspond au 6 Septembre de même pour MalwarePatrol. Heureusement pour les personnes infectées, la désignation "Tdss" ne correspond pas au [PDF] TDSS ROOTKIT ! (Mai 2009, Virus Bulletin - Alisa Shevchenko - eSage Lab, Russia) Ici, il s'agit de PC Antispyware 2010, un faux logiciel de sécurité de la famille Braviax.
DNS: SEARCH-NOWS.CN - IP: 112.137.162.135
Registrant Name: LucasSteven (steven_lucas_2000@yahoo.com)
Registration Date: 2009-07-30 20:24
Expiration Date: 2010-07-30 20:24
DNS: WONDER-HOW.CN - IP: 83.133.126.46
Registrant Name: LucasSteven (steven_lucas_2000@yahoo.com)
Registration Date: 2009-07-30 20:24
Expiration Date: 2010-07-30 20:24
<t>Don't miss this information, check that http://myfxadvice.com forex investment offer.</t>
<t>Haven't seen such http://myfxadvice.com forex market before.</t>
<t>hey, just check this great http://myfxadvice.com metatrader opportunity.</t>
<t>you know, this http://myfxadvice.com forex trading information can be very useful for you</t>
<t>have you checked this http://myfxadvice.com forex system?</t>
<t>Don't miss this investment opportunity, check that http://myfxadvice.com forex investment offer.</t>
<t>Here, just read this opportunity I trust http://myfxadvice.com trading platform provider.</t>
<t>Here, read this http://myfxadvice.com trading platform provider.</t>
<t>By the way, forgot to tell you that i found http://myfxadvice.com managed forex trading company. Check them.</t>
<t>i've got a http://myfxadvice.com forex trading business for you.</t>
<t>Have you ever seen this http://myfxadvice.com automated forex platform?</t>
<t>here is an http://myfxadvice.com investment process you might be interested in</t>
<t>have you ever checked this http://myfxadvice.com forex system?</t>
<t>Look, i've marked for me this http://myfxadvice.com profitable forex system.</t>
DNS: MYFXADVICE.COM - IP: 61.235.117.72
Organization: Justin Dickerson LTD (justin_dickerson@ymail.com)
Creation Date: 21-aug-2009
Expiration Date: 21-aug-2010
Name: Justin Dickerson
Address: 5454 Dorr Street C8
City: Toledo
Province/state: OH
Country: US
Postal Code: 43615
Ce matin, le site a été corrigé mais observez les commentaires des jours précédents... Négligence caractérisée ?
5 septembre 2009 à 16:14
Cher Jean-Luc, j’ai déjà eu l’occasion de te signaler un sondage OpinionWay dans lequel, à la question des préférences partisanes, tous les partis étaient représentés, sauf le PG. C’est un oubli qui me paraît volontaire. Aujourd’hui, je me rend sur ton site, et j’ai, à répétition, le message suivant : ” Le site web que vous visitez semble contenir un logiciel malveillant. Celui-ci peut endommager votre ordinateur ou s’exécuter sans votre consentement. Votre ordinateur pourrait être infecté en naviguant simplement vers un site contenant un logiciel malveillant, sans action supplémentaire de votre part.” Pour plus d’informations sur les problèmes détectés sur ce site ou sur l’une de ses portions, veuillez visiter la page de diagnostic ” Google Safe Browsing” pour sarra-ditol.cn. ” Et le message me donne le choix de cliquer sur “ignorer l’avertissement” ou “fermer la page”.
Évidemment j’ai ignoré l’avertissement, sinon je ne serais pas là à t’écrire…
Et le plus triste, c'est que ce n'est pas la seule à réagir ainsi, vous comprenez mieux pourquoi la sécurité informatique se transforme souvent en un échec. Ma dernière phrase me fait penser aux excellents commentaires de Mr. news0ft, je vous invite d'ailleurs à lire son billet sur l'irruption des états dans le domaine de la SSI.
ps: Je tiens à remercier Bruno pour les photos en direct de la FRHACK !
Vous avez manqué cet évènement ? Rassurez-vous les DVD seront disponibles, ici.
Liens connexes:
- PC Antispyware 2010's Scheming Password Protection ( Zarestel Ferrer (CA), September 9, 2009 )
- Unpatched WordPress Users Hit by Worm ( David Oxley (BytesAndBadges), September 8, 2009 )
- WordPress attacks hit unpatched blog platforms ( Chuck Miller (SC Magazine US), September 8, 2009 )
- Hacking Services On the Rise ! ( Dennis Fisher (Digital Underground), September 9, 2009 )
