Le site du populaire gestionnaire de téléchargements a été la cible de hackeurs et a hébergé des liens malveillants pendant 48 heures. Des milliers d’utilisateurs sont à risque.
Les 6 et 7 mai, le site du développeur du gestionnaire de téléchargements JDownloader a été la cible d’un piratage. Pendant 48 heures, des liens de téléchargements ont renvoyé vers un logiciel malveillant pouvant infecter un ordinateur. Selon le développeur du logiciel, seuls deux liens ont été affectés : l’option «Download Alternative Installer» proposée pour Windows, et le lien pointant vers l’installateur en ligne de commande pour Linux, souligne le média NextInk.
Les internautes qui ont utilisé ces liens avant ou après les 6 et 7 mai n’ont rien à craindre. Pour être sûr que votre ordinateur n’a pas été compromis, JDownloader recommande de vérifier la signature d’un logiciel téléchargé via le gestionnaire. Les fichiers sécurisés doivent afficher la mention «AppWork GmbH» uniquement.
JDownloader est un logiciel en open source qui permet d’automatiser et organiser le processus de téléchargement de fichiers, depuis des hébergeurs comme Rapidgator, Dailymotion, YouTube ou encore Mega. Utilisé notamment sur les sites de «direct download», il est très pratique pour les internautes habitués au téléchargement de fichiers volumineux.
Intrusion du CMS
Pour piéger le gestionnaire, les hackeurs ont attaqué le système de gestion de contenu (CMS) qui permet aux entreprises de gérer leur contenu digital. Ils ont pu modifier les pages du site et remplacer les liens de téléchargements authentiques par d’autres malveillants. Mais le logiciel en lui-même n’a pas été attaqué, et son code est intact. «L’attaquant n’a pas obtenu d’accès à la pile serveur sous-jacente — en particulier aucun accès au système de fichiers hôte ni à un contrôle plus large au niveau du système d’exploitation au-delà du contenu Web géré par le CMS», signale JDownloader dans un communiqué en ligne.
Sur leur site, l’équipe de JDownloader détaille la chronologie de l’incident. Dans la soirée du 5 mai, les hackeurs ont d’abord modifié une page peu exposée du site, avant d’insérer les deux liens piégés sur la page principale, le 6 mai. L’équipe de JDownloader a pu réagir le lendemain, grâce au signalement d’un utilisateur Reddit qui a détecté des téléchargements suspects. Une procédure de gestion d’incident a alors été lancée, provoquant la mise en arrêt du site, remis en route dans la nuit du 8 au 9 mai.
Le problème est désormais maîtrisé, et les équipes de JDownloader ont partagé une série de recommandations pour les personnes susceptibles d’avoir installé, et exécuté, un fichier malveillant. Le développeur invite à la réinstallation du système d’exploitation, et à modifier les mots de passe de compte sensibles. Sur votre ordinateur, «effectuez une analyse complète avec une protection à jour et vérifiez les programmes inconnus ainsi que les entrées de démarrage. Ne restaurez vos fichiers personnels qu’à partir de sauvegardes dont vous êtes sûr», ajoutent-ils.