CMS

Une grande partie des pages de phishing et des infections par drive-by download sont placées sur des sites Web administrés par des systèmes de gestion de contenu (content management system, CMS) n’ayant pas été actualisés. En 2014, pas moins de 14 failles de sécurité ont été découvertes dans le logiciel Drupal, neuf dans Joomla! et même 29 dans WordPress.9 Il est donc essentiel que chaque exploitant de site Web actualise régulièrement son logiciel CMS – activité trop souvent négligée. On trouve encore beaucoup d’exploitants qui installent un CMS, puis omettent d’effectuer des mises à jour régulières. Or il existe des outils permettant de détecter et d’attaquer automatiquement les sites Web vulnérables. Les escrocs ont donc beau jeu de découvrir et de manipuler un nombre élevé de sites Web.

Un cas particulièrement grave a conduit Google à bloquer 11 000 pages de son index de recherche. Mais le maliciel Soak Soak avait selon différentes sources déjà infecté plus de 100 000 sites WordPress, s’introduisant par ce biais sur les ordinateurs des visiteurs des pages en question.

Dans un autre cas, les escrocs ont trouvé une alternative aux failles de sécurité. Ils offraient gratuitement aux exploitants de CMS un thème graphique piraté. Le plugiciel (plug-in) contenait un logiciel malveillant, livrant accès au serveur Web. CryptoPHP, maliciel conçu pour Drupal, WordPress ou Joomla, a infecté des dizaines de milliers de serveurs. Ses victimes pratiquent le BHSEO (Black Hat Search Engine Optimization), opération consistant à ajouter des mots-clés ou des pages manipulées sur les sites compromis, afin d’en influencer le classement (ranking) dans les moteurs de recherche. Grâce à leur accès aux serveurs Web ainsi piratés, les escrocs peuvent également modifier le contenu des sites et y introduire des infections par drive-by download ou des pages de phishing, ou simplement diffuser de fausses informations. Les serveurs Web infectés par CryptoPHP agissent en outre comme un réseau de zombies.