Witchcoven : un nouveau "super-cookie" ciblant les entreprises et les gouvernements

01 juin 2018 à 15h36
0
Une nouvelle campagne de pistage intensif a été révélée : elle infecte une centaine de sites et permet de suivre les utilisateurs à la trace pour dresser des profils spécifiques.

Le cabinet de sécurité FireEye explique avoir décelé une activité suspecte sur plusieurs dizaines de sites Internet. Concrètement, lorsque l'internaute se rend sur ces pages Web, le navigateur est redirigé vers un serveur de profilage. Selon les experts en sécurité, il s'agirait de sites Internet fréquemment consultés par les directeurs d'entreprise, les diplomates, les officiels de gouvernement ou les chercheurs.

Ces serveurs masqués contiendraient plusieurs scripts capables de récupérer un certain nombre d'informations comme l'adresse IP, le navigateur utilisé, le site précédemment consulté, la version de Microsoft Office installée ou les versions des plugins de type Flash Player ou Java. En outre, la machine de la victime accueillerait un « super cookie », baptisé Witchcoven, difficile à désinstaller et continuant à traquer ses activités sur la Toile.

Les sites en question n'ont pas été précisés mais certains appartiennent à des ambassades, des établissements scolaires, des services de passeports, des sociétés d'énergie ou des organisations médiatiques ou à but non lucratif. FireEye note que ces scripts pourraient très bien être envoyés par email et non déployés via le navigateur lui-même.

035C000008245878-photo-fireeye.jpg


A l'heure actuelle, il s'agirait simplement d'un dispositif de surveillance et aucune machine n'a reçu de code malveillant visant par exemple à bloquer l'accès à l'administrateur ou à orchestrer une attaque. Selon FireEye, l'une des possibilités offertes par Witchcoven est en revanche de dresser des profils spécifiques pour concevoir ensuite des malwares mieux ciblés et donc plus efficaces.

Par le passé, cette technique a été mise en oeuvre par des hackeurs chinois dans le cadre de l'Operation Clandestine Wolf visant à exploiter une faille de Flash Player. Un groupe russe baptisé Operation Russian Doll avait procédé à la même technique.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Le logiciel libre est en croissance et il recrute
Bouygues Telecom : data illimitée le week-end sur les 6 premiers mois de 2016
Leica M Typ 262 : silencieux et 100 % photo
GFI Informatique, repris par un groupe qatarien
Face à la concurrence, Jawbone supprime des emplois
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page