Avr 112012
 

ZeuS, ce n’est pas le dieu à la tête du panthéon grec. C’est un botnet (un réseau d’ordinateurs zombies aux ordres d’un ordinateur maître) qui fait rage en ce moment, et contre lequel la plupart des grands opérateurs de l’informatique (éditeurs de logiciels et de machines, spécialistes de la sécurité) ont déclaré la guerre.

ZeuS a fait une nouvelle victime, et de taille : assassinscreedfrance.fr, un site de fans français du jeu édité par Ubisoft (mais non affilié à Ubisoft directement), publié grâce au CMS WordPress, décidément de plus en plus populaire sur le web. Depuis 8 semaines, le site est infecté par un cheval de Troie, un code javascript qui redirige les visiteurs vers un site malicieux russe, qui les connecte directement au botnet ZeuS. Ce matin, lors de la rédaction de cet article, l’infection était toujours active :

Jusqu’ici, avast! a protégé plus de 180.000 utilisateurs sur ce site, en bloquant le javascript avant qu’il ne les envoie vers le réseau zombie. Et assassinscreedfrance.fr n’est qu’un des près de 1850 sites qui ont été infectés dans le monde par ce code javascript spécifique durant le mois de mars. Cette infection, malgré une récente décente de Microsoftt qui a saisi une dizaine de serveurs infectés, continue à se propager sur le web, et a déjà coûté plus de 100 millions de dollars aux petites et moyennes entreprises dans le monde.

L’infection sur le site assasinscreedfrance.fr est localisée dans le compte à rebours d’un script Javascript régulièrement utilisé dans WordPress.

WordPress, à jour et bien utilisé (avec des plugins de sécurité et hébergé chez un hébergeur sérieux), est tout à fait sûr. Mais sa facilité d’utilisation le rend très populaire, y compris auprès d’un public jusque là peu habitué à avoir la possibilité de créer facilement un site professionnel, ce qui le rend évidemment particulièrement vulnérable.

Comme nous ne le répéterons jamais assez sur ce blog, les pirates visent généralement les systèmes les plus répandus et leurs failles laissées ouvertes à n’importe quel robot infectieux, pour pouvoir toucher rapidement le plus de monde possible. Le meilleur moyen de s’en protéger ? Mettez régulièrement votre système et vos outils à jour, qu’ils soient sur votre ordinateur ou bien à distance comme votre infrastructure WordPress. En effet, le plugin Javascript infecté d’assassinscreedfrance.fr semble à jour, mais pas la version de WordPress utilisée par le site.

Et bien sûr, avoir un bon antivirus vous permet de bloquer les liens infectieux que vous rencontrerez lors de votre navigation, voire de détecter très tôt si l’un d’eux s’est glissé dans votre site et le supprimer tout de suite, avant que votre site soit blacklisté par la plupart des antivirus.

 Laisser un commentaire

Vous pouvez utiliser ces tags et attributs HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(requis)

(requis)