Informer les personnes et les entreprises des violations de données peut souvent être une tâche frustrante et ingrate. Malgré tous mes efforts, il arrive parfois qu’une victime de violation que j’alerte reparte convaincue que je ne suis pas un journaliste d’investigation, mais plutôt un escroc. Cela s’est produit plus récemment cette semaine, lorsque j’ai dit à une coopérative de crédit californienne que son site bancaire en ligne était compromis et qu’il l’était apparemment depuis près de deux mois.
Le 23 février, j’ai contacté Coopérative de crédit centrale de la côte, une institution financière basée à Eureka, en Californie, qui sert plus de 60 000 clients. J’ai expliqué qui j’étais, comment ils avaient probablement été piratés, comment ils pouvaient vérifier le piratage et comment ils pouvaient résoudre le problème. Deux jours plus tard, lorsque j’ai remarqué que le site était toujours piraté, j’ai de nouveau contacté la coopérative de crédit, seulement pour constater qu’ils ne me croyaient toujours pas.
La nouvelle du compromis m’est parvenue via Alex Holdenun autre rôdeur dans le milieu clandestin de la cybercriminalité et fondateur de Garder la sécurité [full disclosure: While Holden’s site lists me as an advisor to his company, I receive zero compensation for that role]. Holden m’a dit que des escrocs avaient piraté le site de la coopérative de crédit et l’avaient équipé d’un « Web shell », un simple programme de porte dérobée qui permet à un attaquant de contrôler à distance le site Web et le serveur en utilisant rien de plus qu’un navigateur Web.
Une capture d’écran du site Web piraté de la coopérative de crédit via le shell Web.
Le standard de la coopérative de crédit m’a transféré à une personne du département technique de Coast Central qui n’a donné son nom que « Vincent ». J’ai dit à Vincent que le site de la coopérative de crédit était très probablement compromis, comment il pouvait le vérifier, etc. Je lui ai également donné mes coordonnées et l’ai exhorté à faire remonter le problème. Après tout, ai-je dit, les intrus pourraient utiliser le programme shell Web pour télécharger un logiciel malveillant qui vole les mots de passe des clients directement à partir du site Web de la coopérative de crédit. Vincent n’a pas semblé terriblement alarmé par la nouvelle et m’a assuré que quelqu’un me contacterait pour plus d’informations.
Cet après-midi, j’ai rechargé la page de connexion du shell Web sur le site de la caisse et j’ai remarqué qu’elle était toujours disponible. Un appel au numéro principal a révélé que Vincent n’était pas là, mais que Patrick de l’informatique prendrait mon appel. Pour le meilleur ou pour le pire, Patrick était profondément sceptique quant au fait que je ne me fasse pas passer pour l’auteur de ce site.
Je l’ai félicité pour sa méfiance et lui ai suggéré plusieurs façons différentes de vérifier mon identité de manière indépendante. Lorsqu’on lui a demandé un contact à la caisse populaire qui pourrait parler aux médias, Patrick a dit que cette personne était lui mais a refusé de me dire son nom de famille. Il a également refusé de saisir une adresse Web sur le site Web de son propre employeur pour vérifier la page de connexion du shell Web.
« J’éspere que tu fais écrire à ce sujet », a déclaré Patrick d’un air dubitatif, après que je lui ai dit que je mettrais probablement quelque chose sur le site aujourd’hui à propos du piratage. « Ce serait drôle. »
La page de connexion du shell Web qui a été supprimée aujourd’hui du site Web de Coast Central Credit Union.
Exaspéré, j’ai dit bonne chance à Patrick et j’ai raccroché. Heureusement, j’ai entendu plus tard Ed Chrétiens, vice-président des systèmes d’information chez Coast Central. Christians s’est excusé pour l’emballement et a déclaré que tous les membres de son département étaient des lecteurs réguliers de BreachTrace. « J’espérais ne jamais recevoir d’appel de votre part, mais je suppose que je peux rayer celui-là de ma liste », a déclaré Christians. « Nous allons faire démonter cette chose immédiatement. »
La coopérative de crédit a depuis désactivé le shell Web et continue d’enquêter sur l’étendue et la source de la violation. Il existe des preuves suggérant que le site a peut-être été piraté via une version obsolète de Sauvegarde Akeeba — une Joomla composant qui permet aux utilisateurs de créer et de gérer des sauvegardes complètes d’un site Web basé sur Joomla. Des captures d’écran des fichiers répertoriés par le shell Web planté sur Coast Central Credit Union indiquent en effet la présence d’Akeeba Backup sur le serveur Web de l’institution financière.
Une recherche Web sur un composant de porte dérobée que les intrus semblent avoir déposé sur le site de la coopérative de crédit le 29 décembre 2015 – un fichier appelé « sfx.php » – apparaît ce billet de blog dans lequel ingénieur système suisse Claudio Marcel Kuenzler décrit son enquête sur un site qui a été piraté via la fonction Akeeba Backup.
« Le fichier a été téléchargé avec une simple requête GET en utilisant une vulnérabilité dans le composant com_joomlaupdate (qui fait partie d’Akeeba Backup) », a écrit Kuenzler, notant qu’il existe un correctif disponible pour la vulnérabilité.
Ces composants de shell Web sont extrêmement courants, existent depuis des années et sont utilisés par les malfaiteurs en ligne pour diverses tâches, de la vente de trafic publicitaire à la diffusion de logiciels malveillants en passant par la promotion de sites Web malveillants et de spam.
On ne sait pas encore si les pirates qui ont frappé le site de la coopérative de crédit ont fait autre chose que d’installer la porte dérobée, mais Kuenzler a écrit que dans son cas, les intrus ont effectivement utilisé leur accès pour relayer le spam. Les attaquants auraient pu facilement piéger le site de la coopérative de crédit pour imposer un logiciel malveillant déguisé en mise à jour de sécurité lorsque les clients tentaient de se connecter au site.
Holden a déclaré avoir découvert plus de 13 000 sites actuellement infectés par des Web Shells, tout comme celui qui a frappé la Coast Central Credit Union.et que la grande majorité d’entre eux sont Joomla et WordPress blogs qui sont compromis par des plugins tiers obsolètes et non sécurisés pour ces systèmes de gestion de contenu populaires. Pire encore, tous les plus de 13 000 sites protégés par des portes dérobées sont contrôlés à distance avec le même nom d’utilisateur et le même mot de passe.
« C’est un bot », a-t-il déclaré à propos du logiciel malveillant auto-répliquant utilisé pour déployer le shell Web qui a infesté le site de la coopérative de crédit. « Il va et exploite les sites vulnérables et installe une porte dérobée avec les mêmes informations d’identification. »
Holden a déclaré que son entreprise avait contacté les propriétaires de sites concernés, mais qu’elle n’avait pas eu beaucoup de chance d’obtenir des réponses. Dans tous les cas, Holden a déclaré qu’il n’appréciait pas l’idée de faire face au refoulement et aux soupçons de tonnes de victimes.
« Pour être juste, la plupart des sites vulnérables appartiennent à des particuliers ou à de petites entreprises qui n’ont pas de contacts, et une bonne partie d’entre eux se trouvent en dehors des États-Unis », a déclaré Holden. « Nous essayons de trouver des propriétaires pour certains mais très peu de réponses. »
Si vous exploitez un site Web, assurez-vous de maintenir votre système de gestion de contenu à jour avec les derniers correctifs, et ne remettez pas à plus tard l’application de correctifs ou la désactivation des plug-ins tiers obsolètes. Et si quelqu’un veut vérifier qui je suis, n’hésitez pas à me contacter via ce site, par e-mail crypté .