Menaces Internet : des attaques plus insidieuses

• Imprimer

Le classement mensuel de Fortinet fait apparaître pour mars 2007 l'émergence d'une attaque au phishing ciblant un nouvel établissement financier, le retour de l'adware 180Solutions et l'entrée inhabituelle au Top 10 du rootkit Everda. Ce dernier est utilisé pour masquer les données de fichier et de répertoire en corrigeant la table de description du système à la racine. À l'instar des autres technologies de rootkit récemment développées, Everda est à même de perturber l'exécution des logiciels anti-virus et anti-spyware sur un ordinateur hôte : une fois installés, les rootkits sont en effet plus difficiles à détecter. L'équipe de recherche en sécurité informatique de Fortinet a découvert ce mois-ci une nouvelle forme de « ver hameçon» ciblant les utilisateurs du service de mise en relation MySpace, le premier ver de ce type ayant été identifié en novembre 2006. Dans sa forme originale, ce ver hameçon s'était largement répandu en exploitant le réseau personnel d'utilisateurs particuliers : l'internaute touché par le ver diffusait un message - à son insu - à tous ses contacts les invitant à s'inscrire au service MySpace. Le destinataire du message était dirigé vers un fausse page d'inscription. Le faux site dérobait ensuite l'identifiant et le mot de passe de l'internaute, avant qu'un programme hébergé sur le faux serveur ne diffuse le message initial aux contacts de l'internaute « fraîchement » piégé. La toute dernière variante de ce ver emploie un procédé analogue en utilisant une base de données de profils volés que les pirates ont achetée ou constituée à partir des données collectées dans le cadre d'une attaque au phishing antérieure. Fiables en apparence, les profils MySpace.com sont en réalité recouverts d'une image transparente. En cliquant sur cette image, l'internaute est redirigé vers une page « hameçon ». Lorsque l'internaute saisit ses données personnelles sur le faux site, le programme hébergé par le faux serveur injecte le code malveillant dans son profil. L'image transparente apparaît alors automatiquement dès qu'un internaute consulte le profil de l'internaute piégé, favorisant ainsi la propagation à grande échelle du ver hameçon.