WordPress.com ne chiffre pas le cookie contenant les identifiants

Le site Wordpress.com ne chiffre pas les contenus de certains cookies, dont celui qui contient les identifiants. Un problème de sécurité important et qui a permis à l’Electronic Frontier Foundation de montrer comment les informations pouvaient être récupérées et exploitées.

Pas de chiffrement pour un cookie pourtant crucial 

Le site Wordpress.com, à ne pas confondre avec le système de gestion de contenu lui-même, contient actuellement une faille de sécurité assez importante. Lorsque l’on se connecte au service d’hébergement de blogs, un cookie contenant les identifiants est créé sur la machine. Le problème est que les informations qui y sont contenues ne sont pas chiffrées : les identifiants figurent en clair et sont donc lisibles par n’importe qui.

Yan Zhu, membre de l’Electronic Frontier Foundation, a réalisé des tests pour montrer la dangerosité de ce problème. Elle a simplement récupéré le cookie depuis son profil actif dans le navigateur, pour le copier vers un nouveau profil, donc sans aucun historique. Après la mise en place du fichier, elle s’est rendue sur Wordpress.com. Le site a directement accepté les identifiants présents dans le cookie sans poser de questions.

Le cookie en lui-même peut devenir facile à récupérer sur les réseaux Wi-Fi non protégés. Il n’est pas rare que des utilisateurs s’installent tranquillement sur une terrasse ou dans un lieu public et se mettent à écrire, notamment pour mettre à jour leur blog. Une personne malintentionnée pourrait alors surveiller les données qui transitent sur le réseau, et le cookie est d’autant plus simple à repérer qu’il contient la mention « wordpress_logged_in ».

Le compte peut être rendu totalement inaccessible 

Il est aisé d’imaginer les conséquences d’une telle récupération, et Yan Zhu les présente d’ailleurs. D’une part, l’utilisation de ce cookie traverse toute étape d’authentification, même si le facteur double a été activé. D’autre part, une fois connecté au compte, le pirate peut modifier tous les contenus à sa guise. Enfin, il peut rendre le compte totalement inaccessible à son détenteur légitime en changeant l’adresse email de contact et en activant l’authentification à deux facteurs dans la foulée. Et la validité du cookie est par ailleurs un problème en elle-même puisqu’elle est de trois ans.

Andrew Nacin, développeur en chef du système de gestion Wordpress, a cependant tenu à apporter un certain nombre de précisions dans un communiqué envoyé à Ars Technica. Ainsi, il rappelle que le site Wordpress.com n’est pas tenu par Wordpress directement, mais par la société Automattic. La gestion en est donc indépendante et n’a pas de rapport direct avec le projet open source lui-même. Par ailleurs, il est certain que l’entreprise sera capable de gérer rapidement le problème car la solution à mettre en place semble simple.

De bonnes pratiques loin d'être toujours respectées 

Il regrette cependant que l’annonce de l’EFF n’ait pas été faite plus en amont et directement aux personnes concernées avant de révéler publiquement le problème. Il ajoute également que le système Wordpress est déjà compatible avec les connexions SSL, du moins en bonne partie. Cependant, l’actuel travail sur la version majeure 4.0 sera l’occasion d’améliorer le support de SSL « out of the box », c’est-à-dire en l’activant d’office et pour tout le monde.

Le problème peut en outre être généralisé à l’ensemble des sites qui n’utilisent pas de connexion chiffrée pour des échanges importants de données personnelles. Mais dans une majorité de cas, Ars Technica note que les services d’hébergement Wordpress disposent d’un support complet du SSL avec des pages en HTTPS et de cookies chiffrés. 

Dans un monde idéal, tous les utilisateurs devraient s’inquiéter de savoir si tout a été fait pour protéger ce genre d’opération. En attendant, il est important qu’un site aussi fréquenté que Wordpress.com applique autant de règles de bonne conduite que possible dans le domaine de la sécurité.