Depuis quelques heures, Chrome indique que le site PHP.net « contient un logiciel malveillant », même situation pour Google qui précise que « ce site risque d'endommager votre ordinateur ». Véritable danger ou faux positif ? Rasmus Lerdorf, créateur du PHP, penche pour la seconde hypothèse.
Vous avez été nombreux à nous alerter, notamment via Twitter : selon Google, PHP.net serait un site contenant un logiciel malveillant. Résultat, que ce soit depuis le moteur de recherche, ou bien en tapant directement l'adresse du site dans son navigateur, un message d'alerte apparaît. Même situation avec Firefox, tandis qu'il ne se passe rien de particulier avec Internet Explorer.
Google précise que « sur les 1613 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (4) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2013-10-24, et le dernier contenu suspect sur celui-ci a été détecté le 2013-10-23. Parmi les logiciels malveillants, les éléments suivants sont présents : 4 trojan(s) ».
Faux positif ou véritable souci de sécurité ? D'après Rasmus Ledorf, le créateur du PHP, il s'agit d'un faux positif. Toujours selon ce dernier, le souci viendrait du fichier php.net/userprefs.js, c'est du moins ce qui serait indiqué dans le Webmaster Tools de Google :
It appears Google has found a false positive and marked all of http://t.co/yKzgbWewmH as suspicious. pic.twitter.com/YDlHcUnCK6
— Rasmus Lerdorf (@rasmus) October 24, 2013
Changement de règle concernant les javascript, ou bien simple faux positif ? Cela reste à voir. Nous tâcherons d'en savoir plus avec Google et nous mettrons cette actualité à jour si besoin.
Commentaires (15)
#1
Le site fonctionne sans problème chez moi avec Firefox et Chromium. C’est juste sous Windows ?
#2
#3
#4
J’ai eu l’erreur sous Firebox Grosbuntu.
#5
#6
Ca ne bloque apparemment plus sous Firefox en effet. Sous Chrome en direct non plus, reste le cas du moteur de recherche de Google
Chrome en direct ça bloque chez moi.
#7
Faux positif ou pas , y’avais apparement quand même anguille sous roche , avec un code obfusqué contenu dans le javascript , code qui créer une iframe sur la page et redirige faire un autre domaine …
cf :https://news.ycombinator.com/item?id=6604156
#8
Jusqu’au jour où ils vont faire un faux positif sur Google
http://goo.gl/Dk6YVD
#9
“and marked all ofhttp://t.co/yKzgbWewmH” => TOUT ça pour écrire php.net ??? non mais sérieux ??? " />
#10
J’ai gagné 2h de café car sans la doc, je n’ai pas les conditions minimales pour travailler " />
#11
#12
#13
Visiblement c’était pas vraiment un faux positif :
http://arstechnica.com/security/2013/10/hackers-compromise-official-php-website-…
#14
Ouai pas du tout un faux positif!
http://php.net/archive/2013.php#id2013-10-24-1
http://php.net/archive/2013.php#id2013-10-24-2
N’empêche c’est super intéressant comme attaque, ça cible les devs php qui ont été consulter la doc. Du coup si le dev est infecté tu peux potentiellement récupérer les infos sur ses projets, les accès, …
#15
En aparté, il n’est pas très étonnant que les trois cas cités donnent le même résultat car ils s’appuient tous sur “safebrowsing” de google (une petite recherche dans about:config de firefox le confirmera).