Le site internet de l'excellente émission "C'est Juste de la TV" qui est diffusée à ARTV a été hacké d'une manière sournoise et difficilement détectable.
Hier, en rédigeant un article sur les cotes d’écoute, je me suis spontanément rendu sur le site Internet de C’est juste de la TV, afin de retrouver un extrait de l’émission où on traitait de ce sujet. Une brève recherche sur Google avec les mots clés “C’est juste de la TV” furent suffisant pour trouver le site.
Cependant, je suis aussi tombé sur une autre chose légèrement plus douteuse:
Comme vous le voyez, un étrange lien de “Canada cheap viagra” apparait, de même qu’un autre lien douteux. En cliquant sur “Autres résultats de c’estjustedelatv.tv”, on voit rapidement que le site officiel de C’est juste de la TV est noyé par un millier de pages satellites faisant la promotion de viagra et de cialis cheap. Tout de suite, j’ai conclu que le site avait été hacké. Et cela fait ni plus ni moins depuis septembre 2008 que le site de C’est Juste de la TV semble avoir été hacké. On parle de près de 4 ans:
Je sais que c’est un hack, car nous-même avons été victime de ce genre de hack. Sans tomber dans le jargon technique qui risque de perdre tout le monde, je vais simplement pointer vers cet article sur le Hack Pharma WordPress que j’ai publié l’an dernier. J’explique que mon site a été victime d’une attaque difficile à discerner. Ce hack implique l’indexation par les moteurs de recherches de centaines, voire de milliers de page “satellites” qui sont invisibles pour les utilisateurs normaux. Ces pages sont uniquement visibles pour les robots des moteurs de recherche qui parcourent le web à la recherche de nouvelles pages à ajouter à leur index.
Pour notre part, nous avons été victime du hack pharma de type “BUY CHEAP” (cela veut dire qu’on retrouve sur toutes les pages hackées les mots “buy cheap” dans le titre de la page) qui exploitait une vulnérabilité de WordPress, un système utilisé pour la gestion de sites Internet. Pour sa part, le site officiel de C’est juste de la TV est victime du même genre de hack, mais de type “BEST PRICE”, en exploitant une vulnérabilité du système qui le gère, soit Joomla.
La solution à ce problème n’est pas évidente. Et les répercussions sont graves: ça peut aller jusqu’à l’exclusion purement et simplement de son site dans les moteurs de recherche. Le fait que ce hack soit resté actif pendant près de 4 ans est un fait plutôt préoccupant, sachant que C’est Juste de la TV est financé par les fonds publics et que Radio-Canada devrait, en conséquences, avoir les moyens d’exercer une sécurité plus serrée sur ses sites internet. J’ai pour ma part passé un nombre incalculable d’heures afin de régler le problème. Des experts en sécurité devraient être en mesure de le faire plus rapidement. Sinon, je demeure disponible pour aider à enrayer ce problème. 😉
D’ici là, l’équipe web de C’est Juste de la TV devrait réagir, car ce n’est pas un gage de crédibilité de voir que la majorité des pages de son site sont des pages satellites qui invitent tout le monde à se procurer du Viagra, du Levitra ou du Cialis pour pas cher. Certes en cliquant sur ces liens, on se retrouve redirigé sur la page d’accueil du site, mais si on fouille dans le cache de Google, voici ce que le moteur de recherche retient du site Internet:
Pour voir l’ensemble des pages hackées, il suffit de lancer la recherche “site:cestjustedelatv.tv best price” sur Google. À ce jour, Google retourne plus de 819 résultats.
Bonjour Daniel,
Avant toute chose, nous tenons à vous remercier de l’attention que vous portez au problème qui nous concerne et désirons donner suite à votre billet de blogue.
Nous sommes convaincus que l’analyse technique que vous partagez dans celui-ci aidera plus d’une personne aux prises avec des problématiques de type “Hack Pharma” sur leurs sites web.
Inspirés par votre geste, nous aimerions aussi contribuer aux ressources citées dans votre billet en partageant avec vos lecteurs cette analyse du problème du côté Joomla, le CMS/gestionnaire de contenu qu’utilise actuellement le site de l’émission C’est juste de la TV.
http://opensourcevarsity.hubpages.com/hub/My-Joomla-site-was-hijacked-Pharma-hijack
Dans cette même foulée, nous aimerions également préciser quelques points importants soulevés par votre billet et vous informer des derniers développements en ce qui à trait à cette attaque.
1) Mais avant tout précisons qu’ARTV est une chaîne de télévision privée, appartenant à Radio-Canada et ARTE. Elle est financée par des revenus publicitaires, des redevances des câblodistributeurs relatives aux abonnements et par différents fonds gouvernementaux (dont bénéficient plusieurs autres chaînes privées). Donc pas financée dans sa totalité par des fonds publics et ne bénéficiant ni ne requérant les mêmes dispositifs de sécurité que les plateformes numériques de la SRC/CBC.
2) À l’heure où l’on se parle, nous continuons à investiguer de notre côté pour trouver à quel moment précis le site a été infecté pour la 1e fois. En ce moment, rien ne nous permet d’établir que l’infection remonte à 2008 comme vous semblez le suggérer; la date de création d’une page dans l’index de Google pouvant être trafiquée et l’infection ayant pu se produire subséquemment, soit après la date de création d’une page.
3) Les traces de pollution publicitaire sont maintenant disparues de notre site. Cependant, il est possible que certains moteurs de recherche affichent encore les indexes piratés sur leurs pages de résultats. La situation se résorbera progressivement à mesure que les moteurs rafraîchirons leurs indexes.
4) Nous étions déjà au courant du problème et nous l’avions réglé grâce à l’aide des spécialistes de la sécurité de l’agence Phéromone, notre fournisseur/hébergeur web, et la vigilance des fans de l’émission!
Merci beaucoup pour l’intérêt que vous portez à notre chaîne et à nos émissions!
PS: Si nous avons besoin de votre input au fil de nos investigations en cours, soyez-en sûr, nous n’hésiterons pas à vous relancer!
Bonne soirée!
Andrés Restrepo
Gestionnaire des communautés ARTV
Twitter: @andresrestrepo