info source : http://solutions.journaldunet.com/04...securite.shtmlDes experts en sécurité ont découverts, avant-hier, du code malicieux sur plusieurs pages d'accueil de grands sites corporate. L'origine de cette découverte vient de la société de service en sécurité informatique NetSec qui a détecté ce jeudi un trafic inhabituel au niveau des réseaux de ses clients.
En scannant les fichiers logs des pare-feux et les points d'entrées des réseaux, l'entreprise s'aperçoit que lors de visites sur certains sites Web, les internautes téléchargeaient sans le vouloir du code Javascript attaché à une image ou un graphique. Si ce cas peut a priori faire penser à d'autres failles de sécurité similaires, il s'en distingue sur plusieurs points.
Tout d'abord, les deux failles du navigateur Internet Explorer sur lequel le ver s'appuie pour exécuter du code Javascript sur un poste client n'ont pas été à ce jour réparées. Ensuite, les sites infectés sont des sites de grandes sociétés qui drainent potentiellement un grand nombre de visiteurs. Brent Houlahan, responsable technologie chez NetSec, se refusait à nommer les victimes mais déclarait vendredi à la presse américaine qu'on comptait parmi elles des sites d'enchères en ligne, des institutions financières, des comparateurs de prix et même des moteurs de recherche.
Le centre de suivi des menaces sur Internet (ISC) a d'ailleurs confirmé la présence de grands noms du Web dans la liste des sites infectés.
Et si les failles d'Internet Explorer laissent passer le téléchargement et l'exécution du code Javascript malicieux, il en va de même pour les anti-virus du marché qui n'ont pas encore recensé cette attaque dans leur base de données respectives, précisait M. Houlahan. Une fois le code lancé, le cheval de Troie connecte les postes infectés à une ou plusieurs adresses IP localisées en Amérique du Nord ou en Russie, puis télécharge un renifleur de clavier (détectant ce que l'utilisateur tape au clavier) et pour finir ouvre une porte dérobée dont il peut se servir pour prendre le contrôle de la machine ou envoyer du spam.
Si à première vue, l'objectif est d'abord de créer un réseau de machines zombies relayant le spam à travers Internet, le fonctionnement du ver divise les experts en sécurité. Interrogé par News.com, Symantec évoque une cellule du crime organisé, basée en Russie, qui aurait conduit une attaque du même type en avril 2004. Pour étayer sa théorie, le spécialiste de la sécurité souligne la nature très sophistiquée de l'attaque où le code n'a pas seulement été modifié ou recopié mais bien créé puis adapté aux besoins des créateurs, ce qui ne correspondrait pas à un profil de spammeur type.
D'après les premières conclusions de leurs recherches, les experts estiment que le code a été introduit sur les sites corporate en utilisant une faille non encore découverte du serveur Web de Microsoft, IIS, ou par des connexions non sécurisées.
Symantec recommande aux internautes de télécharger des navigateurs alternatifs à Internet Explorer, comme Mozilla, Opera ou Netscape qui ne sont pas ciblés par cette attaque, en attendant une mise à jour de la part de Microsoft ou des éditeurs d'antivirus.
-----