L’annonce de la compromission de deux cent mille serveurs à travers le monde, dont 80 000 déjà infectés, soulève de nombreuses questions. Notamment de la part d’acteurs officiels qui affirment ne pas être au courant de l’évènement
Mise à jour du 6 octobre à 19h11

     Ian Amit, le chercheur à l’origine de l’alerte a bien voulu répondre à nos questions. Il confirme avoir prévenu CERT (www.cert.org ), qui aurait affirmé avoir prévenu à son tour les organismes ad-hoc dans 86 pays. Ian Amit n’a en revanche eu aucun lien direct avec US-CERT, CERTA ou CERT-IST, entre autres.

     Le serveur pirate a été découvert en suivant des indications remontées par le service SecureSurfing d’Aladdin. Il ne s’agit pas d’un serveur FTP, et il n’était pas protégé par une paire login / mot de passe. Sa seule protection était un filtrage par adresse IP.

     D’après Ian Amit, les CERTs locaux ont généralement entrepris d’alerter les entreprises par ordre d’importance. Aladdin a également mis en place un formulaire de demande de renseignement, afin d’aider les entreprises à déterminer si elles sont concernées par cette alerte.

     Enfin, Ian Amit précise qu’il ne s’agit pas de 82 000 sites web détournés, mais de 82 000 identifiants utilisés pour modifier (et donc infecter) des sites web.

     Mise à jour du 6 octobre à 15h00

     Le CERTA (organisme de veille français destiné aux administrations) a demandé à ne pas être cité dans cet article en attendant que nous puissions faire le point avec l’organisme prochainement.

Le week-end achevé, l’agitation provoquée par l’annonce de Ian Amit retombe et les questions fusent. En l’occurrence, plutôt les demandes de preuve. Car le doute s’installe : le CERT-US, l’organisme officiel pourtant cité dans l’alerte initiale d’Aladdin, a déclaré n’être au courant de rien et surtout ne pas avoir été consulté. En France, où un millier de sites seraient concernés, le CERT-IST (dédié au secteur de l’industrie), ne cite encore qu’un important correctif publié par VMware dans son alerte datée d’aujourd’hui (6 octobre). De son côté, le SANS-IST, un organisme américain souvent cité en référence lors de telles attaques, n’en parle pas non plus aujourd’hui, et titrait encore vendredi soir sur le même correctif publié par VMware.

Bien entendu, comme toute alerte publiée la veille d’un week-end, il est légitimement difficile d’obtenir une confirmation immédiate de la part d’organismes officiels ou de grandes entreprises. Nous n’avons pas été en mesure pour notre part de trouver vendredi soir la trace de cette annonce sur le blog de Ian Amit. Nous devrions toutefois être en mesure de joindre le chercheur aujourd’hui afin de valider les points obscurs de son annonce.

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

 Laisser un commentaire