Home Généralités Que faire quand on est victime de piratage ?

Que faire quand on est victime de piratage ?

Par francky

Piratage de WinMacSofts : Vous l’avez sans doute remarqué, mais WinMacSofts a été victime de piratage en fin de soirée dimanche 27 novembre. Hervé et moi-même n’avions rien vu jusqu’à ce que la société Bitdefender et plus particulièrement Samya Ihammouine, community manager des Éditions Profil, me prévienne de l’incident.

Description du piratage de WinMacSofts.

Comme je le disais, Samya m’a informé que winmacsofts avait un problème et en voulant le vérifier je constate que le blog est signalé comme site malveillant par Google sous prétexte que nous hébergions ou nous aidions la diffusion d’un malware. Il est évident que ce n’était absolument pas le cas et comme nous n’avions pas touché à la structure du blog depuis plusieurs jours, cela ne venait donc pas d’une modification de notre part. Nous étions bien victime d’un piratage.

Avec à l’aide apportée par Bitdefender et plus particulièrement Jean-Baptiste,  expert en sécurité, nous sommes parti à la recherche de ce malware ou en tout cas du script considéré comme tel. En regardant de près, on constate vite que certains fichiers ont été modifiés le 27/11/11 à 21h02. Hors ni Hervé ni moi ne nous sommes connecté sur le FTP à cette heure-ci et encore moins modifié quoi que ce soit. L’étau se resserre, nous pensons avoir ciblé le problème, en éditant les fichiers Php, on constate qu’il contient une portion de code javascript crypté. Grâce à un habile tour de passe-passe dont lui seul à le secret, Jean Baptiste décrypte le code et confirme notre thèse, ce code est malveillant. Ce dernier installe à l’insu de nos visiteurs (ou en tout cas tente), un malware. Pas de panique, il était réservé à un nombre restreint d’internaute puisque celui-ci s’adressait à des personnes avec un profil particulier.

Après nettoyage du fichier index.php, on constate que recaptcha.php a lui aussi été ouvert à la même heure. Après une brève analyse, nous ne constatons pas de modification. Néanmoins, il ne nous en a pas fallu plus pour nous mettre la puce à l’oreille. En me rendant sur le site du plugin wordpress associée à ce fichier, je constate qu’une mise à jour a eu lieu le 28/11 très tôt dans la matinée. Drôle de coïncidence non ? nous en déduisons donc que cette extension ouvre donc une faille importante puisqu’elle permet l’accès en lecture et en écriture sur notre compte FTP. Le pirate, ou plutôt le robot, vous comprendrez pourquoi après, qui nous a piraté a multiplié les copies de son script malveillant dans chacun des fichiers se nommant index, qu’il s’agisse de index.php, index.html, ou index.htm et dans chacun des répertoires comportant un fichier index, le robot a pris le soin de mettre une copie de recaptcha.php. Le script malicieux a été ajouté entre 2  balises <body> et placé au tout début du fichier qu’il s’agisse de php ou de html. L’ajout d’une copie systématique de recaptcha.php ainsi que le script placé un peu n’importe comment, prouve que tout a été automatisé et que nous avons subit un piratage suite à une faille fraichement découvert, comblée dans la foulée que l’on appelle généralement, Faille 0-day.

Top 5 des règles à suivre en cas de piratage.

  • Règle N°1 :  Ne paniquez pas ! Gardez votre sang froid, réfléchissez avant d’agir vous pourriez très vite le regretter dans le cas contraire.
  • Règle N°2 : Situer le problème et le corriger (soit en restaurant une sauvegarde soit en modifiant à la main)
  • Règle N°3 : Trouver la source de l’intrusion, le type de piratage et corriger le problème ne sert à rien si vous ne fermez pas la porte qui a permis ces modifications
  • Règle N°4 : Faites une analyse antivirus de votre machine dans le cas où vous auriez vous même été infecté.
  • Règle N°5 : Changer tous les mots de passe! Il faut empêcher le pirate de revenir s’il vous a volé un ou plusieurs mots de passe changer donc celui de votre compte FTP, base de donnée, WordPress , …

Je vous rappelle qu’il est très important de faire des sauvegardes régulières de votre site afin de restaurer en cas de problème, notamment en cas de piratage. Dans notre cas, le robot a simplement ajouté une portion de code, mais il aurait très bien pu supprimer le blog entièrement ! Heureusement, nous sommes paré à toutes éventualités et nous avons une copie des fichiers et de notre base de données. 🙂

Nous remercions très sincèrement Samya, Community Manager des Éditions Profil, pour nous en averti et pour m’avoir mis en relation avec notre sauveur, Jean-Baptiste, expert en sécurité et plus exactement Responsable SAV chez Bitdefender! Nous le remercions chaleureusement lui aussi, pour avoir pris la peine de nous venir en aide au pied levé. Chose qui n’a pas du être facile car je suppose qu’il n’avait pas que ça à faire dans sa journée de travail !

Je profite de cet article pour rappeler que Bitdefender est partenaire de winmacsofts depuis pratiquement le début de l’aventure WinMacSofts, jusqu’à maintenant il a toujours été un partenaire de confiance et de qualité. Grâce à mon statut de partenaire, j’ai pu entré en contact avec plusieurs employés des Édition Profil, Samya, Jean-Baptiste, Bastien, Amélia et quelques autres et très sincèrement c’est toujours un réel plaisir de converser avec eux. Ils sont disponibles, serviables et sympas, même quand on passe plus d’une heure avec eux au téléphone alors qu’une réunion attend pour commencer. (désolé Bastien :D)

Merci à eux, merci bitdefender pour leurs luttes contre ce piratage!

0 / 5 Moyenne 0 Votes 0

Your page rank:


Vous aimerez aussi

2 commentaires

Guillaume 30 novembre 2011 - 10 h 07 min

Bonjour,

Merci pour ces éléments, il y a quelques temps j’ai eu exactement le même problème. J’ai fait un petit tutoriel sur les points à vérifier de temps en temps sur votre blog : http://quick-tutoriel.com/332-comment-verifier-rapidement-l%e2%80%99integrite-de-votre-blog-wordpress

En complément de ton post.

A bientôt.

Reply
nicole 12 septembre 2015 - 16 h 39 min

que faire quand on est victime tout les jours quesques on peut faire contre ca

Reply

Laisser un commentaire