PHP.net compromis par un logiciel malveillant
Ce n’est pas la première fois qu’un site légitime se voit compromis au point de diffuser à son insu des logiciels malveillants.
Tout a commencé jeudi dernier, 24 octobre. Comme l’expliquent les responsables du site PHP.net, c’est ce jour-là que Google a commencé à indiquer que le site colportait un logiciel malveillant. Une information analysée initialement comme un faux positif.
Mais après enquête, il s’est avéré que deux serveurs utilisés par PHP.net avaient bel et bien été compromis. Tous les services concernés ont alors été migrés vers des serveurs sains.
C’est un logiciel malveillant écrit en Javascript qui a été diffusé. Mais seulement « un faible pourcentage » d’utilisateurs du site ont été affectés entre le 22 et 24 octobre. Aucun code source n’a en revanche altéré. Les utilisateurs du site vont devoir changer leurs mots de passe.
L’une des craintes des administrateurs du site est que la clé privée du certificat SSL du site ait été compromise par les attaquants. Dès lors, les administrateurs ont purement et simplement décidé de révoquer immédiatement ce certificat afin d’éviter tout risque d’attaque du type man-in-the-middle à l’encontre des utilisateurs du site et de ses services. La sécurisation des connexions par SSL sera réactivée lorsqu’un nouveau certificat aura pu être déployé.
Mais pour l’heure, le mode de compromission des services de PHP.net reste inconnu.