{"id":3967,"date":"2004-08-30T23:43:49","date_gmt":"2004-08-30T21:43:49","guid":{"rendered":"https:\/\/destinationcyber.com\/?p=3967"},"modified":"2004-08-30T23:43:49","modified_gmt":"2004-08-30T21:43:49","slug":"le-site-web-de-wanadoo-a-ete-pirate","status":"publish","type":"post","link":"https:\/\/destinationcyber.com\/?p=3967","title":{"rendered":"Le site web de Wanadoo a \u00e9t\u00e9 pirat\u00e9"},"content":{"rendered":"

Le portail de l’op\u00e9rateur Internet Wanadoo s’est fait pirater. Il diffusait un cheval de Troie \u00e0 l’ensemble des visiteurs. Une attaque qui rappelle \u00e9trangement la technique employ\u00e9e par Scob apparue au d\u00e9but de l’\u00e9t\u00e9\n<\/p>\n

C’est dans la nuit du lundi 23 au mardi 24 que l’incident est survenu mais il n’a \u00e9t\u00e9 identifi\u00e9 par les \u00e9quipes de l’op\u00e9rateur que dans la fin d’apr\u00e8s-midi du 24. Durant toute la journ\u00e9e le site compromis tentait de rediriger l’internaute vers d’autres sites malicieux qui essayaient d’installer sur sa machine un cheval de Troie. <\/p>\n

Appel\u00e9 \u00ab\u00a0loaderfox\u00a0\u00bb, il a pour mission de recueillir des donn\u00e9es personnelles sur les postes puis de les transmettre via le Web. Seuls les postes n’ayant pas mis \u00e0 jour leur version d’Internet Explorer et ne disposant pas d’un anti-virus \u00e0 jour ont pu \u00eatre touch\u00e9s. <\/p>\n

Le porte parole de Wanadoo, Caroline Ponsi, ne l’a annonc\u00e9 que le jour suivant : \u00ab\u00a0Quelqu’un a r\u00e9ussi \u00e0 compromettre notre portail et \u00e0 alt\u00e9rer le contenu de nos pages\u00a0\u00bb. Elle pr\u00e9cise par ailleurs que l’ensemble des patchs de s\u00e9curit\u00e9 \u00e9taient pourtant install\u00e9s. Etrange quand on songe au fait que les vuln\u00e9rabilit\u00e9s exploit\u00e9es \u00e9taient connues et des ‘patchs’ \u00e9taient disponibles depuis plusieurs mois…<\/p>\n

Le portail victime a \u00e9t\u00e9 d\u00e9connect\u00e9 par les \u00e9quipes techniques dans l’apr\u00e8s-midi du 24 vers 17h30. L’ensemble des visiteurs se sont vu alors redirig\u00e9s vers une page annon\u00e7ant un probl\u00e8me technique. Des investigations ont eu lieu et ont r\u00e9v\u00e9l\u00e9 des \u00e9l\u00e9ments compl\u00e9mentaires sur l’attaque. La source a \u00e9t\u00e9 identifi\u00e9e et l’ISP propri\u00e9taire de la plage d’adresses a \u00e9t\u00e9 contact\u00e9 pour mener des investigations compl\u00e9mentaires.<\/p>\n

Quelques d\u00e9tails sur l’attaque<\/p>\n

C’est la combinaison de deux \u00ab\u00a0exploits\u00a0\u00bb connus qui a permis de mettre en place l’attaque et d’installer un cheval de Troie \u00e0 l’insu des visiteurs du portail.<\/p>\n

Exploit-ByteVerify est un module \u00ab\u00a0applet\u00a0\u00bb Java qui exploite la vuln\u00e9rabilit\u00e9 Microsoft couverte par le bulletin de s\u00e9curit\u00e9 MS03-011, une vuln\u00e9rabilit\u00e9 jug\u00e9e alors critique par l’\u00e9diteur. Cette faille affecte directement la Machine Virtuelle Microsoft, install\u00e9e par d\u00e9faut sur l’ensemble des syst\u00e8mes Win32. L’exploitation de cette vuln\u00e9rabilit\u00e9 a permis la redirection vers un site tiers.<\/p>\n

MHTML URL, une autre vuln\u00e9rabilit\u00e9 critique Microsoft, avait \u00e9t\u00e9 r\u00e9cemment employ\u00e9e lors de la diffusion du virus Scob, qui s’\u00e9tait introduit sur les pages d’accueil de nombreux sites web en Juin dernier. C’est au travers de cette vuln\u00e9rabilit\u00e9 que le cheval de Troie Loaderfox \u00e9tait install\u00e9 sur le poste client.<\/p>\n

[source – Silicon.fr] Norman Girard pour Vulnerabilite.com <\/p>\n","protected":false},"excerpt":{"rendered":"

Le portail de l’op\u00e9rateur Internet Wanadoo s’est fait pirater. Il diffusait un cheval de Troie \u00e0 l’ensemble des visiteurs. Une attaque qui rappelle \u00e9trangement la technique employ\u00e9e par Scob apparue au d\u00e9but de l’\u00e9t\u00e9<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[13],"tags":[],"class_list":["post-3967","post","type-post","status-publish","format-standard","hentry","category-hackers"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/3967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3967"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/3967\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}