De nombreux sites web hébergés sur des serveurs dédiés ont récemment été exploités, à leur insu, pour diffuser des quantités massives de spam.
Pour parvenir à leurs fins, les auteurs de ces spam se servent de formulaires utilisés sur les sites, tels que des pages de contact.
Ce type de détournement n’est pas nouveau: Les spammeurs détournent déjà les scripts d’envoi d’e-mails mal sécurisés, qui permettent de stipuler directement l’adresse du destinataire.
L’originalité vient ici du fait que les webmasters victimes avaient pris soin de protéger leur script d’envoi de courriers.
Et lorsqu’ils développent un formulaire chargé d’envoyer du courrier depuis leur site, ils limitent les destinataires à quelques adresses prédéfinies, inscrites « en dur » dans le code PHP.
En spécifiant ainsi les seuls destinataires possibles, ils pensent empêcher l’utilisation du script pour relayer des courriers à n’importe qui.
Une fois le formulaire repéré, le spammeur procède à une tentative de détournement: il utilise le formulaire pour envoyer un courrier tout simple.
Mais après avoir inscrit une adresse quelconque dans le champ « Expéditeur », il ajoute un caractère de nouvelle ligne (« r » ou « n ») suivi, par exemple, de la mention BCC:, puis d’une adresse e-mail de test.
On appelle cela une attaque par « injection d’en-têtes ».
En détournant habilement les limites imposées par les webmasters, ces spammeurs rendent souvent le serveur inutilisable pour ses tâches légitimes.
Si les sites ont été conçus par un prestataire pour une TPE ou une PME, voire une grande entreprise, c’est l’image de cette dernière qui en souffre, et peut-être même sa responsabilité qui se trouve engagée.
Fanch