Une faille donne l'occasion à des hackers de lancer des attaques contre la référence des réseaux sociaux, MySpace.com, en utilisant le lecteur QuickTime d'Apple

La référence des réseaux sociaux, MySpace.com, doit faire face à une attaque "extrêmement virulente", d'après une alerte Websense publiée le 1er décembre 2006*.

Un virus de type ver utilise une faille de sécurité, découverte il y a environ deux semaines sur MySpace, et une fonctionnalité (HREF track) du lecteur QuickTime d'Apple.

Le risque est élevé lorsqu'un utilisateur de MySpace visite un profil auquel est associé une vidéo infectée. Le film charge alors du code Javascript qui susbstitue le menu officiel par un "faux" menu. Si l'internaute clique sur une option de ce menu, il est dirigé vers une fausse page d'idenfication hébergée par un tiers dans le but de stocker ses identifiants.

Une fois les identifiants obtenus, le ver intègre une video QuickTime sur le profil de cet utilisateur et le processus d'infection se répète pour chaque visiteur. Par ailleurs, dès qu'un profil est infecté, du spam est envoyé à ses contacts. Ces spams contiennent un lien vers un site porno et des publiciels (adwares).

La direction de MySpace n'a pas, jusqu'ici, commenté l'évènement.

Créé aux USA en 2004, MySpace regroupe les pages personnelles de jeunes adultes. La plate-forme, qui a intégré le top 10 mondial des sites les plus visités, a été rachetée 580 M$ l'an dernier par News Corp. et a opté pour Google comme prestataire publicitaire.

Bien que MySpace ait indiqué, cet été, compter plus de 100 millions d'utilisateurs, le nombre de comptes actifs est estimé à 75 millions environ.

• http://www.websense.com/securitylabs/alerts/alert.php?AlertID=708