10.01.2023 - Le nombre de signalements reçus par le NCSC durant la première semaine de 2023 s'élève à 559, ce qui représente une augmentation par rapport à la semaine précédente. L'un des signalements concernait les résultats suspects d'une recherche Google, dont la cause était en fait une manipulation du moteur de recherche. De nombreux sites Web ont en effet été piratés dans le but de tromper l'algorithme de recherche de Google.
Selon un signalement transmis au NCSC la semaine dernière, la recherche du nom d'une école sur Google avait donné des résultats douteux. Parmi ces résultats, un fichier JavaScript attirait particulièrement l'attention. La recherche sur Google du domaine suspect dans ce fichier a révélé pas moins de 5500 sites Web au comportement identique: les titres des sites de la liste de résultats étaient corrects, mais divers messages d'erreur apparaissaient à la place de l'extrait des pages usuellement affiché. Ces messages d'erreur continuaient de s'afficher à l'ouverture du site Web au moyen de Google Cache, c'est-à-dire d'une copie du site enregistrée temporairement par Google. En revanche, l'ouverture de la page au moyen de l'URL fonctionnait normalement, sans message d'erreur.
Dans le cas en question, on soupçonnait que des contenus différents apparaissent à l'ouverture de la page en fonction de l'agent utilisateur (user agent). Ce dernier est transmis au serveur d'un site Web à chaque consultation de la page et lui fournit des informations concernant le système d'exploitation et le navigateur de recherche utilisés. Ces données sont exploitées à des fins de relevés statistiques, mais elles peuvent également servir à optimiser les contenus d'une page pour un navigateur donné. Dans le cadre de la conception de sites Web, elles permettent notamment de reconnaître le type d'appareil utilisé (ordinateur, tablette, téléphone portable) et ainsi d'adapter l'affichage des pages à la taille de l'écran. Les moteurs de recherche utilisent eux aussi un identifiant spécifique lorsqu'ils parcourent Internet afin d'être reconnus comme tels.
Un test effectué sur les sites Web trouvés dans le cas présent a permis de vérifier les soupçons: la page attendue s'ouvrait correctement lorsque l'agent utilisateur d'un navigateur courant (désigné par «nix» dans l'exemple ci-dessous) était sélectionné.
En revanche, si l'agent utilisateur sélectionné était Google, une page radicalement différente s'affichait et une série de liens, représentés par des combinaisons de lettres et de chiffres, apparaissait à la place du contenu attendu.
Optimisation pour les moteurs de recherche
Mais quel est le but des cybercriminels à l'origine de ce piratage? Il s'agit en fait d'une tentative typique de manipulation des résultats proposés par un moteur de recherche. Ce qu'on appelle l'optimisation pour les moteurs de recherche (search engine optimization) regroupe différents procédés. Dans le cas présent, les cybercriminels se sont servis de sites Web piratés, dans lesquels ils ont introduit un code malveillant destiné à améliorer le positionnement de la page dans les résultats de recherche en trompant l'algorithme de Google. Ce procédé augmente la probabilité que des victimes potentielles ouvrent la page piratée et qu'elles accèdent ainsi à des sites frauduleux. En l’occurrence, une grande partie des sites Web touchés était exploitée par le système de gestion de contenu (content management system, CMS) «Kentico». Des failles non corrigées dans le CMS ont probablement permis le piratage des sites.
Le code malveillant introduit dans la page sert à identifier l'agent utilisateur. S'il s'agit de Google, la série de liens mentionnée précédemment s'affiche. Ceux-ci sont alors sauvegardés et indexés par Google. Comme les liens s'affichent sur les différents sites piratés et qu'ils apparaissent donc fréquemment, l'algorithme considère qu'ils sont intéressants et les catégorise comme étant plus pertinents qu'ils ne le sont en réalité. Ils apparaissent par conséquent plus haut dans les résultats de recherche, ce qui augmente leur visibilité. Le propriétaire du site Web et les personnes qui se servent directement de l'URL pour y accéder voient toutefois apparaître le contenu normal de la page. La manipulation déploie ainsi ses effets sur une longue période en passant inaperçue.
Recommandations destinées aux exploitants de sites Web
- Il est possible de réduire considérablement les attaques sur les CMS en procédant régulièrement à des mises à jour de sécurité.
- En plus de l’authentification usuelle (nom d’utilisateur et mot de passe), le NCSC recommande la mise en place d’une authentification à deux facteurs pour l’accès à l’interface d’administration.
- L'accès à l'interface d'administration devrait en outre être limité aux adresses IP utilisées par les administrateurs.
De plus amples informations concernant les moyens de protéger les CMS figurent sur le site du NCSC:
Mesures de protection pour les systèmes de gestion de contenu
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 10.01.2023
