La méthode n'a rien de nouveau : des pirates exploitent un site web vulnérable afin d'en prendre le contrôle à l'insu de son propriétaire et y placer un piège. Ce dernier tente alors de déposer un code malicieux à chaque visiteur. L'objectif est bien entendu d'alimenter un réseau de bots au service des pirates.

Mais l'attaque révélée aujourd'hui par les éditeurs Trend Micro et Websense, si elle ne brille pas par son originalité, est remarquable par son ampleur : plus de dix-mille sites web auraient ainsi été détournés, essentiellement en Italie. Il s'agirait de sites grand-public dans le domaine du tourisme et même des collectivités locales. Les éditeurs ne précisent toutefois pas quelles vulnérabilités ont pu être exploitées pour prendre le contrôle de ces serveurs : y a-t-il une nouvelle faille zero-day pour un serveur web particulier ? La rapidité de l'attaque pourrait permettre de l'envisager. Mais il est nécessaire pour cela de savoir si tous les sites détournés fonctionnent sur la même version du même serveur web (IIS, Apache ou une autre solution exotique en vogue chez nos voisins transalpins ?).

Ce qui est certain en revanche, c'est que les pirates ont eu dans cette opération une approche quasi-industrielle : les sites ont étés détournés en quelques jours seulement, et à cheval sur un week-end (probablement afin de se laisser un peu de temps avant que l'alerte ne soit donnée). Une fois chaque serveur compromis, les hackers ne se sont pas embarrassés : il y ont déposé une copie de MPack, un outil bien connu vendu sous le manteau pour 700 dollars.

MPack tente d'infecter l'ordinateur de chaque visiteur en détectant son navigateur et en tentant d'utiliser une vulnérabilité adaptée (Internet Explorer, Firefox ou Opera sont ainsi reconnus). Comme d'habitude, un système à jour de ses correctifs de sécurité permettra de réduire très largement le risque de détournement.