Attaque contre un site d’ea games pour voler les identifiants Apple
Des pirates ont réussi à s’introduire sur un serveur d’Electronic Arts Games cette semaine et à modifier un de ses sites afin qu’il ressemble à une page de connexion Apple afin d’organiser des attaques de phishing.
La société spécialisée en sécurité Netcraft établie au Royaume-Uni a découvert le site piraté mardi et l’a signalé à EA qui a bloqué le site mercredi.
D’après les hypothèses des chercheurs, le vecteur de l’attaque aurait été une vulnérabilité dans une version dépassée de l’application PHP WebCalendar qui était également hébergée sur ce serveur.
Cette vulnérabilité permet aux attaquants de modifier les paramètres et d’exécuter un code arbitraire dans la version 2008 (1.2.0) du calendrier.
Paul Mutton, testeur de sécurité chez Netcraft, écrivait mercredi:
[quote]Dans ce cas-ci, l’attaquant a réussi à installer et à exécuter des scripts PHP arbitraires sur le serveur d’EA, de là, il pouvait voir le contenu du calendrier, son code source et n’importe quelles autres données sur le serveur.[/quote]
Le fait que l’application de calendrier était dépassée a fait du système d’EA une cible naturelle.
La seule présence d’un ancien logiciel suffit souvent à motiver un pirate à cibler un système au lieu d’un autre et à consacrer plus de temps à la recherche de vulnérabilités complémentaires ou à explorer d’avantage le réseau interne. »
Les victimes qui tombaient sur le site étaient invitées à saisir:
[quote]– Leur identifiant Apple et leur mot de passe
– Leur nom complet
– Leur numéro de carte de crédit et sa date d’expiration
– Le code de vérification
– La date de naissance
– Etc… [/quote]
Ce n’est qu’après avoir saisi toutes ces informations que la victime était redirigée vers le site légitime d’Apple à l’adresse
BitSight, un service d’évaluation de la sécurité établi à Cambridge (Massachusetts), affirme que le système d’EA contenait ces vulnérabilités depuis un an, le directeur technique de cette société affirme avoir vu plusieurs serveurs associés à EA sous contrôle au cours des 12 derniers mois.
[quote]Ces machines, probablement sous le contrôle d’un adversaire externe, permettaient de communiquer avec les serveurs de commande du réseau de zombies, distribuaient des programmes malveillants et participaient à des attaques DDoS, a déclaré jeudi Stephen Boyer, fondateur et directeur technique de la société.[/quote]
Il s’agit du deuxième problème qui touche EA au cours de ces sept derniers jours.
Netcraft, dans son compte rendu, a également évoqué un site de phishing qui ciblait les utilisateurs de la plateforme Origin de la société qui avait fait son apparition en ligne il y a une semaine.
Ce site, même s’il n’est pas hébergé sur un serveur d’EA, tente malgré tout d’obtenir les informations d’identification des utilisateurs d’EA, dont les « adresses de messagerie électronique, les mots de passe et les questions secrètes et leurs réponses ».
Alors qu’EA aurait bloqué le site de phishing d’Apple, rien n’indique si elle est au courant du site de phishing Origin.
Les questions envoyées par courrier à ce sujet à la société n’avaient pas reçu de réponses jeudi.
D’autres vulnérabilités sur la plateforme Origin d’EA avaient été identifiées aux alentours de la même période l’année dernière.
[quote]Luigi Auriemma et Donato Ferrante, chercheurs chez ReVuln, ont publié en mars dernier un article dans lequel ils expliquaient à quel point il était facile d’exécuter à distance un code malveillant sur les ordinateurs des utilisateurs via Origin et Crysis 3, un des jeux de la société.[/quote]
Voir aussi:
Le Phishing c’est quoi et comment s’en protéger ?
Le Smishing, phishing via votre téléphone
Clic pour lire toutes les actus sur le phishing
