200 000 sites Web touchés par une grave faille de sécurité
Attention aux sites Web que vous consultez en ce moment ! Un grave faille de sécurité a été découverte dans les sites fonctionnant avec WordPress, le célèbre système de gestion de contenu. 200 000 sites seraient ainsi vérolés par des malwares.
Les systèmes d'exploitation et les applications ne sont pas les seuls à être concernés par des failles de sécurité. Les logiciels qui servent à créer des sites le sont aussi. C'est notamment le cas de WordPress, le célèbre CMS (content management system ou système de gestion de contenu, en français) qui sert de "coquille" à une multitude de sites amateurs et professionnels dans le monde. En effet, les experts en sécurité de Wordfence viennent de découvrir que MW WP Form, un module complémentaire (plug-in) pour WordPress, comportait une vulnérabilité très gênante qui permettait à des pirates d'introduire des malwares dangereux. L'ennui c'est que cette extension est très populaire puisqu'elle permet notamment aux gestionnaires de sites de créer facilement des formulaires et de les insérer dans des page Web. Une nouvelle peu rassurante dans la mesure où MW WP Form est conçu pour collecter les données personnelles des visiteurs (adresse mail, nom, etc.). Du pain béni pour les hackers, d'autant que le nombre de sites qui utilise ce plug-in est impressionnant !
Faille WordPress : près de 200 000 sites infectés par des malwares
Le problème vient du fait que MW WP Form ne se contente pas de collecter des informations textuelles dans des formulaires : l'extension peut aussi récupérer des fichiers et els enregistrer dans une base de données stockée sur un serveur associé au site Web. Bien entendu, le plug-in comporte un dispositif qui analyse les fichiers qu'on lui soumet et qui supprime tous ceux qu'ils détecte non autorisés. Mais après examen approfondi du code, les chercheurs de Wordfence ont noté que, même quand il décelait bien un fichier dangereux, MW WP Form l'enregistrait quand l'option "Enregistrer les données de la demande dans la base de données" était activée dans les paramètres du formulaire. Comme il fallait le craindre, des cybercriminels se sont aperçus de cette faille. Et ils en ont profité pour télécharger des données vérolées sur les sites et les serveurs, notamment des scripts PHP leur permettant d'activer du code à distance.
Selon les experts de Wordfence, qui ont classé cette faille comme critique avec un score de 9,8 sur 10, près de 200 000 sites Web seraient ainsi été touchés par des malwares, ce qui pourrait faire de nombreuses victimes parmi les internautes qui les consultent. Certes, Wordfence a prévenu l'éditeur de MW WP Form, qui a aussitôt corrigé le problème dans une nouvelle version du plug-in, la 5.0.2. Mais il va sans doute falloir un petit moment avant que tous les propriétaires de sites sous WordPress l'intègrent. En attendant, et pour éviter tout risque, quand vous arrivez sur un site Web, vérifiez bien qu'il n'est pas construit avec WordPress : la mention est souvent indiquée en bas de la page d'accueil, parmi d'autres informations.