Les attaquants utiliseraient abusivement le protocole Certificate Transparency (CT) pour pirater de nouveaux sites WordPress pendant la priode gnralement brve qui prcde l’installation et la scurisation du CMS. CT est une norme de scurit web pour le contrle et l’valuation des certificats TLS, qui sont utiliss pour confirmer l’identit des sites web et sont fournis par les autorits de certification (CA).
Notons que WordPress est un systme de gestion de contenu gratuit, libre et open source. Ce logiciel crit en PHP repose sur une base de donnes MySQL et est distribu par la fondation WordPress.org. Pour pouvoir fournir un trafic chiffr ses utilisateurs, un propritaire de site Web doit d’abord faire une demande de certificat auprs d’une autorit de certification de confiance. Ce certificat est ensuite prsent au navigateur afin d’authentifier le site auquel l’utilisateur tente d’accder.
Au cours des dernires annes, en raison de failles structurelles dans le systme de certification HTTPS, les certificats et les autorits de certification mettrices se sont rvls vulnrables aux attaques et la manipulation. Le projet de transparence des certificats propos par Google a pour but de sauvegarder le processus d’mission des certificats, en fournissant un cadre ouvert pour le contrle et l’audit des certificats HTTPS.
L’autorit de certification DigiCert a t la premire adopter cette norme en 2013, qui exige des autorits de certification qu’elles signalent instantanment tous les certificats frachement mis dans des journaux publics, dans un souci d’ouverture et de dtection rapide des certificats vreux ou abusifs. Cependant, les preuves s’accumulent que de dangereux pirates observent ces journaux pour localiser de nouveaux domaines WordPress et configurer eux-mmes le CMS aprs que les administrateurs web ont tlcharg les fichiers WordPress mais n’ont pas encore verrouill le site avec un mot de passe.
Plusieurs tmoignages ont fait tat de sites pirats quelques minutes, voire quelques secondes, aprs la demande de certificats TLS. L’apparition d’un fichier malveillant (/wp-includes/.query.php) et des sites contraints de participer des attaques DDoS ont t signals par des propritaires de domaines. Un dveloppeur de Certbot a dclar que les attaques se produisaient depuis quelques annes sur un fil de discussion connexe sur le forum d’assistance de Let’s Encrypt, une autorit de certification qui donne des certificats gratuits et a introduit son propre journal CT en 2019.
L’astuce SSL est qu’en raison de la transparence automatise des certificats, les domaines sont publis dans un journal lors de l’activation, qui prcde apparemment la fin de l’installation dans un certain nombre de cas, de sorte que les attaquants peuvent surveiller les journaux et bondir , dclare cet internaute qui se fait appl matthieum. Le vritable problme est bien sr que l’installation doit tre scurise avant d’tre rendue publiquement accessible, et mme mieux ds le dpart , ajoute-il.
L’hypothse de l’ingnieur sur les tactiques d’espionnage des attaquants est soutenue par Josh Aas, directeur excutif de l’Internet Security Research Group, qui gre Let’s Encrypt. Si l’attaquant interroge directement les journaux de CT, il verra les nouvelles entres de certificats plus rapidement, ce qui lui donnera une plus grande fentre de temps pour raliser l’attaque , a dclar Aas. L’analyse de crt.sh, un domaine de recherche de certificats, peut galement fonctionner, mais il faut plus de temps pour que les nouveaux certificats se propagent depuis CT .
Les attaques ne sont pas imputes au systme CT, qui, selon Let’s Encrypt, a conduit de nombreuses amliorations de l’cosystme des autorits de certification et de la scurit du Web et devient rapidement une infrastructure critique . Toutes les autorits de certification de confiance publique, selon Aas, sont obliges d’envoyer les certificats aux journaux CT sans dlai aprs leur mission. Il a indiqu que les propritaires de domaines et les fournisseurs d’hbergement sont finalement responsables de la scurisation des nouveaux sites WordPress.
Obtenir un certificat de Let’s Encrypt peut faciliter la dtection d’une nouvelle installation, mais personne ne devrait mettre des installations WordPress sur l’internet public tant qu’elles ne sont pas scurises. Si un hbergeur ou toute autre entit fait cela, veuillez le signaler comme une vulnrabilit dans leur processus de dploiement.
Selon Josepha Haden, directrice excutive du projet WordPress d’Automattic, les cyberattaques n’affectent que les installations directes, si un site est sur n’importe quel hbergeur recommand, ou si le processus d’installation est automatis, il y a gnralement un fichier prconfigur de sorte que le processus d’installation est complet ou ne soit pas interactif et il y a peu de chances pour cette attaque.
White Fir Design, une entreprise de conception de sites Web base dans le Colorado, a dclar que WordPress pourrait rsoudre le problme en fournissant au propritaire du domaine le contrle du site Web ds le dbut, disons, en ajoutant un fichier [modle]. Christopher Cook, crateur de Let’s Encrypt Windows UI Certify the Web, a suggr sur le forum Let’s Encrypt que WordPress pourrait randomiser l’URL d’installation et ne la prsenter qu’ vous dans la console, ou exiger un jeton usage unique.
L’astuce SSL est qu’en raison de la transparence automatise des certificats, les domaines sont publis dans un journal lors de l’activation, qui prcde apparemment la fin de l’installation dans un certain nombre de cas, de sorte que les attaquants peuvent surveiller les journaux et bondir , dclare cet internaute qui se fait appeler matthieum. Le vritable problme est bien sr que l’installation doit tre scurise avant d’tre rendue publiquement accessible, et mme mieux ds le dpart , ajoute-t-il.
Pour certains analystes, WordPress tant le CMS le plus utilis, il est la plus grande victime des attaques de pirates informatiques. Utiliser WordPress impliquerait dappliquer plus de mesures pour protger son site contre ces attaques courantes. Selon les statistiques de W3Techs, le CMS WordPress est dsormais utilis sur 39,5 % des sites web.
En fin danne dernire, les chercheurs en scurit de Wordfence, une socit spcialise dans l’ingnierie logicielle et la scurit, ont rvl que des vulnrabilits dans OptinMonster, un plugin de marketing par courriel pour WordPress, ont expos un million de sites une prise de contrle distance. Les vulnrabilits permettent un cybercrinel d’accder des informations sensibles et d’ajouter du code JavaScript malveillant aux sites WordPress.
OptinMonster est un plugin conu pour aider les propritaires de sites WordPress gnrer des campagnes de marketing par courriel. L’quipe Wordfence Threat Intelligence aurait inform les dveloppeurs de ce plugin de la faille le 28 septembre de lanne dernire et une version entirement corrige d’OptinMonster, la version 2.6.5, a t publie le 7 octobre. Wordfence a publi un avis de scurit dtaillant ses conclusions.
Et vous ?
Quel est votre avis sur le sujet ?
Quel CMS utilisez-vous ?
Que pensez-vous de WordPress ?
Voir aussi :