Witchcoven : un nouveau "super-cookie" ciblant les entreprises et les gouvernements

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 16 novembre 2015 à 15h26
Une nouvelle campagne de pistage intensif a été révélée : elle infecte une centaine de sites et permet de suivre les utilisateurs à la trace pour dresser des profils spécifiques.

Le cabinet de sécurité FireEye explique avoir décelé une activité suspecte sur plusieurs dizaines de sites Internet. Concrètement, lorsque l'internaute se rend sur ces pages Web, le navigateur est redirigé vers un serveur de profilage. Selon les experts en sécurité, il s'agirait de sites Internet fréquemment consultés par les directeurs d'entreprise, les diplomates, les officiels de gouvernement ou les chercheurs.

Ces serveurs masqués contiendraient plusieurs scripts capables de récupérer un certain nombre d'informations comme l'adresse IP, le navigateur utilisé, le site précédemment consulté, la version de Microsoft Office installée ou les versions des plugins de type Flash Player ou Java. En outre, la machine de la victime accueillerait un « super cookie », baptisé Witchcoven, difficile à désinstaller et continuant à traquer ses activités sur la Toile.

Les sites en question n'ont pas été précisés mais certains appartiennent à des ambassades, des établissements scolaires, des services de passeports, des sociétés d'énergie ou des organisations médiatiques ou à but non lucratif. FireEye note que ces scripts pourraient très bien être envoyés par email et non déployés via le navigateur lui-même.

035C000008245878-photo-fireeye.jpg


A l'heure actuelle, il s'agirait simplement d'un dispositif de surveillance et aucune machine n'a reçu de code malveillant visant par exemple à bloquer l'accès à l'administrateur ou à orchestrer une attaque. Selon FireEye, l'une des possibilités offertes par Witchcoven est en revanche de dresser des profils spécifiques pour concevoir ensuite des malwares mieux ciblés et donc plus efficaces.

Par le passé, cette technique a été mise en oeuvre par des hackeurs chinois dans le cadre de l'Operation Clandestine Wolf visant à exploiter une faille de Flash Player. Un groupe russe baptisé Operation Russian Doll avait procédé à la même technique.

Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles