Le FBI a émis récemment un bulletin pour alerter les possesseurs de site Wordpress. Selon l’agence fédérale, des soutiens de Daesh (ISIS, État islamique) s’en prennent actuellement à ces sites en cherchant à exploiter des failles pour les défacer. Les utilisateurs sont donc invités à mettre à jour leurs installations aussi vite que possible.
Des soutiens de Daesh cherchent à profiter de failles dans Wordpress
Les sites Wordpress sont régulièrement la cible d’attaques. Le problème principal ne tient pas vraiment à la sécurité inhérente à cette solution de CMS (système de gestion de contenu), mais plutôt à la gestion des mises à jour. Beaucoup de sites n’utilisent ainsi pas la dernière version de Wordpress alors que, comme bien d’autres services et applications, des failles de sécurité sont régulièrement corrigées. Le problème grandit encore si l’on ajoute les multiples plugins qui peuvent agrémenter un site.
C’est dans ce contexte que le FBI a publié le 7 avril une note à l’attention de tous les possesseurs de sites Wordpress. Le bureau indique ainsi : « Des défacements continus de sites web sont perpétrés par des soutiens d’ISIS. Ces défacements ont affecté les opérations des sites ainsi que les plateformes de communications de nouvelles organisations, d’entités commerciales, d’institutions religieuses, de gouvernements fédéraux et locaux, de gouvernements étrangers et tout un ensemble de sites personnels et internationaux. »
Selon le FBI, ces attaques ne brillent pas par leur haut degré de sophistication, mais elles peuvent avoir un réel impact, surtout dans le cadre professionnel. Il n’y a pas non plus, a priori, d’installation de malwares et seule l’apparence du site est modifiée. Mais comme l’indique l’agence, l’exploitation des failles dans certains plugins peut permettre une élévation des privilèges, donc rien n’empêche que ces derniers soient utilisés pour insérer des scripts malveillants, voler des données ou encore créer des comptes administrateurs qui serviront plus tard.
Vérifier et mettre à jour aussi rapidement que possible
La recommandation est donc simple : vérifier son installation Wordpress, qu’il s’agisse du CMS lui-même ou de ses plugins, et mettre à jour le cas échéant. Le FBI fournit une liste de liens pour contrôler l’arrivée des failles de sécurité, comme l’US-CERT, la base CVE ou encore celle de SecurityFocus. Le site officiel de Wordpress contient également une section dédiée aux mises à jour et patchs de sécurité des plugins. Si le FBI n’en parle pas, il faut également surveiller que vos plugins sont bien encore entretenus, car certains sont tout simplement abandonnés.
Dans tous les cas, la rapidité semble de mise, le nombre d'attaques étant en hausse. Pour autant, le bureau indique qu'elles ne suivent apparemment pas de schéma défini. Les pirates semblent s'en prendre aux sites au petit bonheur la chance, en cherchant simplement lesquels sont vulnérables. Le peu de sophistication des attaques n'empêche pas en effet ceux qui les perpétuent d'utiliser des scanners pour repérer de manière automatisée les sites aux défenses percées.
Mais même si le FBI prend la parole pour un contexte particulier, la sécurité des sites Wordpress reste dans tous les cas un sujet régulier. Il est commun de voir une entreprise avertir d’une situation spécifique, et la conclusion est souvent la même : vérifier les versions installées et mettre à jour. Une problématique accentuée par ceux dont la version de Wordpress est ancienne et qui ne proposent donc pas les mises à jour automatiques.
En outre, Wordpress ne répond pas toujours sur ces problématiques. MalwareBytes avertissait ainsi récemment d’une campagne d’infections de sites dont le point d’entrée était probablement le plugin RevSlider. Nous avions discuté d’ailleurs avec Jérôme Segura qui avait présenté le problème sur le blog de l’entreprise et nous avait confirmé que Wordpress était bel et bien au courant du souci. Malgré plusieurs demandes, ce dernier n’a cependant jamais répondu à nos questions.
Commentaires (38)
#1
c’est la daesh
#2
daesh 2 en 1
Edit : Je m’en vais de suite vérifier les versions de mes blogs
#3
J’ai laissé tomber WP il y a deux mois. ça devenait un enfer à spams malgré les mises à jour et la restrictions des plugins. A contre-coeur…
#4
Toujours à jour, et Wordfence est vraiment pas mal niveau sécurité.
#5
Je ne m’attendais pas à ce que NXI relaie cette non-info..
Le FBI qui donne un conseil de sécurité et quel conseil ! Faites les mises à jour!
Franchement, ça fait 1 avril, à quand le FBI qui nous conseille de ne pas utiliser le mot de passe “qwerty”?
J’espère qu’on aura droit à une news sur ça aussi..
Edit: à la limite faite une news sur la médiocrité de la gestion des mots de passe en entreprise : http://www.koreus.com/video/tv5-mot-passe.html
#6
“pour les défacer” ???
" />
Késako ??
#7
http://www.nextinpact.com/news/74810-insolite-top-25-pires-mots-passe-annee-et-certains-font-peur.htm
number 18 will make you cry
#8
défacer
#9
C’est quand un ‘pirate’ modifie la page d’accueil d’un site ou blog pour y afficher sa propagande puante ou son lyrisme pour exprimer sa fierté d’avoir réussi à faire de la merde…
#10
Ouais enfin là c’est un conseil donné par une boîte spécialisée dans la gestion de mot de passe, rien d’anormal à ce qu’ils en parlent.
" />
Mais de là a avoir le FBI qui nous rappel un des élémentaires de sécurité web je trouve ça risible.
#11
Mais ils veulent juste être gentil, c’est pas des méchants, c’est le FBI
" />
#12
#13
en quoi c’est risible ?
#14
Sinon on peut aussi passer à Pelican:blog.getpelican.com
Excellent moteur de blog statique.
#15
#16
C’est un peu exagéré ce que tu dis mais rappeler aux citoyens de se conduire de manière raisonnable, ça a toujours fait parti du rôle de la police aussi, non ?
" />
" />
Mon père était pédiatre et il racontait (avec amertume) qu’une bonne parti de son travail consistait à expliquer aux parents que, oui, il faut “moucher” son enfant et lui apprendre à se moucher, sinon ça va s’infecter.
Je veux dire, c’est pourtant évident, mais bon … il faut croire que ça ne l’est pas pour tout le monde
Et concernant le sujet initial, à mon avis, on serait étonné de voir le nombre de sites web non mis à jour … Beaucoup de personnes ne font pas attention à la sécurité informatique, comme le fait que le mot de passe youtube de la chaine TV5Monde c’était lemotdepasseyoutube…
#17
Je ne dit pas la contraire, rappeler les fondamentaux ça ne fait pas de mal.
" />
Mais là, la problématique n’est pas nouvelle, un CMS non mis à jour fini tôt ou tard vérolé.
C’est juste parce-que des soutiens de Daesch s’y mettent aussi que d’un seul coup il faut en faire une cause nationale.. Alors que le risque n’est pas plus grand aujourd’hui qu’hier.
Du coup je trouve risible de ne s’en “préoccuper” que maintenant, et je trouve le conseil en tant que tel “mettez à jour” d’une évidence enfantine qui ajoute au ridicule de la situation.
#18
Sauf que s’ils le rappellent c’est qu’il y a une raison. Des WP non à jour, il doit en avoir à l’appel.
Les gens ne mettent pas leur WP à jour en partie parce que :
Ici, on a Daesh qui apparemment ciblerait tous les sites sous WP indifféremment de leur “valeur” uniquement pour s’en servir pour leur propagande. Et en plus le FBI rappelle qu’on peut et qu’il faut mettre à jour WP.
#19
#20
#21
#22
Heuuu…
" />
Quand on voit ça, on se dit que les conseils du FBI ne sont pas vain, et que la reprise pas NxI est un moindre mal.
En visionnantla vidéo du reportage en HD sur dailymotion (à partir de 1:15), j’arrive à voir:
- les logins/mdp pour Youtube, Instagram et facebook (ou twitter je sais pas)
- les nom/prénom/tel/mail du superviseur et de 3 membres du personnel informatique (pas de mail)
- nom/prénom et tel direct du Community manager
- et un numéro d’urgence qu’on peut saturer à l’envie
Bref, avec toutes ces données, il y a de quoi faire encore un beau carnage chez TV5monde, alors même que c’est censé être le branle-bas de combat et que l’entreprise vient de prendre soi-disant des mesures de sécurité adéquate.
Le mdp utilisé pour youtube est quand même: lemotdepassedeyoutube.
Es-tu donc toujours aussi sur que cette news n’a pas d’intérêt?
#23
C’est tellement gros.. qui peut continuer de tomber dans le piege ?
DAESH ISIS toussa c’est made in Isreal & CIA & Cie
Piratage par ci par la, justement pour faire voter des lois et mettre fin a la liberté sur le net ;)
Comme de par hazardddddeuuh
#24
#25
Ca c’est de la faute aux hébergeurs. Ils brident trop les serveurs du coup les mises à jour automatiques ne marchent pas et du coup il reste plein d’anciennes versions avec des failles. Si tout se mettait à jour automatiquement sans manipulation il y aurait moins de problème de sécurité.
#26
#27
Ouah le coup de pub, les autres CMS (tout aussi faillés) n’ont pas ce moment de gloire
" />
#28
Certains dans les commentaires oublient que ce n’est pas juste une question de mettre à jour wordpress, mais que certains plugins comportent des failles, et que des thèmes reprennes des vieilles versions desdits plugins…
#29
#30
#31
Daesh = CIA
Vous n’avez toujours pas compris…
#32
Je profite du sujet pour poser une question : ma version de Wordpress est vraiment vieille (4.5.x) et j’ai l’occasion de la mettre à jour automatiquement, mais j’ai peur que ça me casse tout à cause de l’âge de ma version. Est-ce que c’est sûr ? Dois-je faire attention à quelque chose ?
#33
Pardon, 3.5, pas 4.5.x
" />
#34
Déjà, commencer par faire un backup (perso je backup tout, médias, base de données…). Ensuite, ils conseillent plutôt de faire des migrations incrémentales : passer de 3.5 à 3.7, puis de 3.7 à 3.9, et enfin, de 3.9 à 4.1
https://codex.wordpress.org/fr:Mettre_a_Jour_WordPress
https://codex.wordpress.org/Upgrading_WordPress_Extended#Upgrading_Across_Multip…
#35
“Le FBI fournit une liste de liens … ”
Désolé mais là, déjà , ça commence mal !
Note : Un admin sérieux (ou webmestre) a t-il attendu le FBiAIlle pour mettre à jour son site ?
#36
#37
#38
En meme temps, il a juste raison. Je ne comprends toujours pas pourquoi la sécurité informatique n’est pas partie de l’éducation comme l’est la sécurité physique…
On préfère ignorer en donnant ça aux geeks et dire qu’ils ont mal fait leur boulot si ça merde.