JS/Wonka, la nouvelle menace sur Internet

Les pirates informatiques redoublent d'imagination pour piéger leurs proies. Voici leur dernière trouvaille.

Une nouvelle méthode de piratage informatique est en train de faire son apparition. Inspirée du "phishing", elle met en oeuvre des codes malicieux écrits en JavaScript, et les professionnels de la sécurité informatique ont baptisé cette nouvelle famille de vermine "JS/Wonka".

A la base, il s'agit de transposer certains caractères contenu dans une URL (Uniform Ressource Locator), ou adresse Internet, ou de les remplacer par d'autres caractères Unicode. JavaScript a la particularité de convertir automatiquement les caractères accentués dans leur équivalent non-accentué (par exemple, pour passer de "é" à "e") et vice-versa, sans augmenter sensiblement les besoins en ressources système. L'opération passe presque complètement inaperçue, et ne demande pas une grande finesse d'écriture pour être exploitée.

La plupart du temps, cette particularité du JavaScript est mise à profit par les pirates grâce aux IFRAMES (Inline Frames), qui permettent aux navigateurs Internet, notamment Internet Explorer, d'ouvrir certains liens sous forme de fenêtres de dimensions inférieures à celles de la fenêtre principale.

Une fois l'URL "trafiquée" introduite dans la barre d'adresse suite à un clic malencontreux sur un lien non sûr, le mal est fait, car derrière cette adresse se cache un site qui n'a rien à voir avec celui que l'internaute piégé comptait visiter...

En général, la redirection se fait en plusieurs étapes, profitant des réseaux à haut débit et de la vitesse naturelle des navigateurs Internet récents. Une fois le piège refermé, plusieurs symptomes peuvent apparaître: filtre anti-popup désactivé apparemment sans raison, résultats de recherches sur votre moteur favori assez éloignés de ce qui était attendu, spywares en tous genres qui se jettent sur la machine touchée, la liste est longue.

La plupart des navigateurs Internet sont sensibles à ces failles JavaScript, y compris ceux renommés pour leur haut niveau de sécurité, comme Mozilla Firefox ou Opera. Le problème provient pourtant moins de la nature des failles en question que de leur recrudescence. Selon la firme WebSense, on dénombrait en septembre dernier plus de 10.000 sites pirates employant ces méthodes pour piéger les internautes.

Il semblerait qu'un véritable réseau de piratage se soit constitué, car certaines adresses sont enregistrées sous le nom de propriétaires identiques, alors qu'elles sont supposées n'avoir aucun lien entre elles.

Les trois-quarts de ces sites se trouveraient aux Etats-Unis. WebSense met à disposition des internautes soucieux de leur sécurité une liste de codes JavaScript (PDF) identifiés comme étant frauduleux.