Gimp-fr a été victime d'un pirate qui a réussi à introduire une ligne de code malicieuse dans deux des nombreux fichiers php qui composent le site. A-t-il réussi à craquer le mot de passe du site, a-t-il utilisé une faille dans un script ou chez notre hébergeur ? EDITION DU 24/06 : La faille serait en cours de colmatage chez notre hébergeur. En attendant, la plus grande vigilance s'impose donc pour les utilisateurs de Windows qui sont visés par ce code.

Concrètement le code déposait un cookie dans votre navigateur, vous pouvez donc savoir en consultant la liste de vos cookies si vous avez été infecté on non. Les cookies sont classés dans gimp-fr.org et s'appellent ymit et gho. Ensuite le cookie redirige la victime vers le domaine msiesettings.com (qui prétend être indisponible mais ne l'est pas) et active le malware msiesettings.exe.

Le code malicieux a été nettoyé, les informations collectées seront transmises aux autorités compétentes et je vais mettre en place un système de surveillance. Pour l'instant je n'ai trouvé que très peu d'informations sur le programme msiesettings et comment l'éradiquer d'un PC. À défaut, le site Zataz propose une liste de nettoyeurs en ligne.