Des pirates ont profité d'une brèche dans des plug-in populaires pour siphonner les coordonnées personnelles bancaires utilisées et stockées par plusieurs milliers de sites. Les deux failles sont comblées mais l'ampleur du piratage reste inconnue.


au sommaire


    Lorsque des pirates parviennent à attaquer et à s'immiscer sur les serveurs d'un site Internet qui utilise un CMS comme Wordpress ou Drupal pour publier son contenu, c'est de plus en plus souvent à cause d'une faille de sécurité présente dans un plug-in. Ce qui signifie qu'un serveur a beau être parfaitement sécurisé, si un plug-in est mal codé, il devient une porteporte d'entrée ! Pour les hackers, c'est beaucoup plus facile à attaquer puisqu'il suffit de repérer les plug-in et widgetswidgets les plus populaires, de tester leurs vulnérabilités, et ensuite d'introduire le malwaremalware pour frapper.

    C'est, hélas, le cas de ces milliers de sites qui ont été piratés ces derniers jours, dans une attaque repérée par le fondateur de Sanguine Security, Willem de Groot. Cet expert en sécurité explique que les hackers ont modifié les codes Javascript des plug-in Picreel et Alpaca Forms pour injecter du code malveillant dans près de 5.000 sites Internet.

    Tout ce qui est saisi dans un formulaire est piraté...

    Objectif ? Récupérer les données saisies par les internautes dans les formulaires de ces sites piratés. Ce qui implique donc les pages avec des formulaires de contact et de paiement sur lesquels les internautes saisissent leurs coordonnées personnelles et bancaires. Toutes ces données sont enregistrées dans une base de donnéesbase de données et permettent ainsi au site Internet de les exploiter à des fins marketing et commerciales, tandis que les internautes, qui créent leur profil, n'ont plus besoin de les saisir à chaque connexion.

    Dans le détail, le malware a été vu sur plus de 1.200 sites qui utilisent le plug-in Picreel (liste des sites infectés), et sur près de 3.500 sites intégrant Alpaca Forms (liste des sites infectés) dont la dernière mise à jour date de... mars 2018 ! Grâce à l'alerte de Willem de Groot, les codes ont été neutralisés, mais pour l'instant, on ne connaît pas l'ampleur des données récupérées par les hackers.