Alerte au ver sur MySpace

La semaine dernière, de nombreux utilisateurs du service d’hébergement et de partage de fichiers MySpace ont été victimes d’une vague de phishing due à un nouveau ver très virulent baptisé Quickspace.A par l’éditeur d’anti-virus F-Secure.

Même si l’attaque est désormais contrée, les utilisateurs de MySpace et d’autres plateformes d’échanges de fichiers multimédias pourraient subir de nouvelles versions de ce ver qui exploite une vulnérabilité bien connue du logiciel Quicktime.

Le mode d’infection du ver Quickspace s’est révélé redoutablement astucieux et efficace : il suffisait de se connecter une fois à une page de profil d’utilisateur MySpace pour être à son tour infecté. Le ver était dissimulé dans une un fichier vidéo xxxx.mov dont l’adresse URL était intégrée dans les pages de profil d’utilisateur MySpace.

A chaque fois qu’un internaute ouvrait un profil d’utilisateur infecté avec son navigateur, il téléchargeait automatiquement le fichier vidéo infecté. La tentative de phishing pouvait alors commencer.

En effet, les dernières versions de Quicktime intègrent le HREF Track, une fonction « avancée » que certains considèrent comme une grave faille de sécurité car elle permet au lecteur multimédia d’Apple de prendre le contrôle du navigateur web à partir de scripts intégrés dans les fichiers vidéos. Ainsi quand le fichier vidéo infecté est lu par Quicktime, le script viral modifie le profil d’utilisateur MySpace en y intégrant un lien vers la vidéo infectée et en remplaçant la barre de navigation «officielle» par une factice.

Cette fausse barre de navigation pointe sur des fausses pages web qui invitent l’internaute à saisir à nouveau son identifiant et son mot de passe MySpace. En effet, le véritable but de ce genre d’attaque était d’accéder aux détails et aux carnets d’adresse MySpace de milliers d’utilisateurs afin de collecter des adresses électroniques en masse. Des adresses qui sont ensuite revendues aux spammeurs du monde entier.

Les sites hébergeant les vidéos infectées et les fausses pages de login ayant été définitivement fermés, l’attaque semble désormais endiguée. Mais les experts en sécurité pensent que tant qu’Apple ne proposera pas de correctif de sécurité empêchant toute utilisation abusive de la fonction HREF Track, les fichiers Quicktime pourront être utilisés pour propager des vers sur les réseaux d’échange multimédias.

Pour stopper le début de panique provoqué la semaine dernière par la propagation très rapide du ver dans la communauté MySpace, son fondateur Tom Anderson a adressé un message aux membres utilisant Quicktime pour les informer du problème et les inviter à télécharger un patch de sécurité temporaire pour le lecteur. Ce patch, fourni officieusement par Apple et réservé aux utilisateurs d’Internet Explorer, est distribué via une page spéciale MySpace.