Au cours des deux derniers jours, les visiteurs du site officiel de langage de programmation PHP ont pu voir leur ordinateur infecté par des logiciels malveillants. Les pirates ont réussi à injecter du code JavaScript dans un fichier du site appelé userprefs.js. Ce code appelle un site web tiers qui scanne les navigateurs des utilisateurs à la recherche de faille dans les plug-in. Une fois la vulnérabilité découverte, un malware est installé, constate Daniel Peck, chercheur chez Barracuda Networks.

Les attaques constatées par la société de sécurité ont pris la forme de fichiers SWF malveillants, en passant probablement par une faille dans Flash Player d'Adobe. Cependant, les chercheurs de Barracuda mènent toujours leur enquête, précise Daniel Peck. Par ailleurs, il existe des incertitudes sur le type de malware installé. Mais ce dernier se connecte à environ une douzaine de serveurs de commandes et contrôle différents à travers le monde et parvient à établir la communication avec 4 d'entre eux.

Banni temporairement de Chrome et de Firefox


Le site Php.net a été blacklisté par le service Safe Browsing de Google, utilisé aussi par Mozilla. En conséquence, Chrome et Firefox avertissaient les internautes que le site contenait un logiciel malveillant. Dans un premier temps, le PHP Group qui gère le site a d'abord pensé que le service de Google s'était trompé. « Il semble que Google ait trouvé un faux positif et a considéré tous http://php.net comme suspect » écrit Rasmus Lerdorf, créateur de PHP sur Twitter. Une enquête approfondie a montré que le fichier userprefs.js a été modifié à plusieurs reprises à la suite d'une intrusion. « Nous enquêtons toujours sur la façon dont quelqu'un a pu modifier ce fichier, mais en attendant nous avons migré www/static vers de nouveaux serveurs », précise le groupe en ajoutant « ne pas avoir de preuve de compromission des fichiers de la distribution PHP ».

Par ailleurs, les motivations de l'attaque restent floues. Est-ce en raison de l'audience du site (228 ème le plus visités au monde selon Alexa) ou parce que la plupart des visiteurs sont des développeurs ? Ces derniers peuvent détenir de la propriété intellectuelle sur leur ordinateur, comme du code source par exemple. Cependant, le nombre d'utilisateurs touchés par l'attaque a probablement été limité car le code malveillant ajouté à userprefs.js est enlevé périodiquement par un processus de synchronisation existant.