Panama Papers : une faille d’un plug-in de WordPress aux conséquences très fâcheuses

Lees in het Nederlands - Read in English

L’importance que revêt le fait d’installer les mises à jour dès que ces dernières sont disponibles est une fois de plus démontrée dans l’affaire des Panama Papers. Les informations n’auraient en effet pas été dévoilées par une personne de l’intérieur, mais bien détournées via une faille qui n’a pas été corrigée à temps…

Panama Papers : 2,6 To de données dans la nature

Ces derniers jours, des individus haut placés, mais aussi des personnes ordinaires, ont été embarrassés aux quatre coins de la planète lorsque le public a appris qu’elles avaient monté, par l’intermédiaire du cabinet d’avocats Mossack Fonseca, des sociétés-écrans offshore à Panama. De tels montages financiers peuvent avoir pour objectif d’éloigner de l’argent et d’autres biens de la main avide du fisc ou d’autres organismes publics et ont donc été fortement désapprouvés par la presse du monde entier. Si tel était vraiment le but de ces sociétés, nous n’en débattrons pas, tout comme nous éluderons la question portant à savoir si ces pratiques sont bien responsables sur le plan éthique. Mais en tant qu’hébergeur, qui se soucie de la sécurité des données de ses utilisateurs, nous tenions surtout à comprendre comment cette fuite de données a pu se produire.

Jamais auparavant une telle quantité de données s’étaient retrouvées dans la nature : 2,6 téraoctets de données, composées de 11 millions de documents. À titre de comparaison, pour le Cablegate de Wikileaks, c’était 1,7 Go de données qui avaient été piratées, chez Sony Pictures 230 Go, et chez Ashley Madison 30 Go.

Le problème ne vient pas de l’intérieur, mais bien d’une faille de sécurité

Sécurisez vos sites WordPress avec mises à jour et patchesCe que l’affaire des Panama Papers a de particulier, c’est que les révélations ne seraient nullement l’œuvre d’une personne de l’intérieur qui aurait transmis les données aux journalistes. Tout le monde s’accorde en effet à dire que ce piratage serait plutôt la conséquence d’un inexplicable manque de mesures de sécurité chez Mossack Fonseca.

Bien que le cabinet d’avocats disposait de données de ses clients qui devaient être traitées avec la plus grande discrétion, la correspondance par e-mail n’aurait par exemple pas été chiffrée. WordFence, une société spécialisée dans la sécurisation du SGC WordPress, a en outre constaté que le serveur web ne se trouvait pas derrière un pare-feu, et qu’il se trouvait carrément sur le même réseau que les serveurs mail à Panama. De plus, des données sensibles des clients ont été servies via le portail web, via une simple connexion client.

Une ancienne version de Drupal pour le portail clients

Forbes a également constaté que la version de Drupal utilisée pour le portail destiné aux clients était la 7.23, alors que la version 8 est déjà disponible. L’ancienne version comprenait au moins 25 failles connues ; en 2014, Drupal avait d’ailleurs lancé un avertissement signalant l’existence d’exploits. En d’autres termes, en raison de toutes ces failles, cela faisait déjà plus de deux ans et demi que les serveurs de Mossack Fonseca étaient vulnérables aux attaques de hackers.

Est-ce une ancienne version du plugin Revolution Slider qui aurait ouvert la porte aux pirates ?

D’après WordFence, il serait cependant encore plus probable que ce soit le plugin WordPress Revolution Slider qui aurait rendu l’attaque possible. En raison d’une erreur de code, le plugin permet en effet aux utilisateurs qui ne disposent d’aucun privilège d’appeler une fonction AJAX (ou dynamic browser HTTP) qui ne devrait en fait pouvoir être utilisée que par les utilisateurs disposant de privilèges, puisqu’elle permet à tout pirate de télécharger un fichier sur le serveur. La vidéo avec la démo de cet exploit montre à quel point cela est facile.

Il faut aussi ajouter à cela le fait qu’en octobre 2014, un exploit permettant de profiter de cette faille de Revolution Slider avait déjà été publié, et qu’un site web vulnérable face à cet exploit est facile à repérer en créant un robot qui recherche des URL comme http://mossfon.com/wp-content/plugins/revslider/release_log.txt.

Dans les nombreux forums tels que The Register et Slashdot, les réactions sont unanimes : personne ne comprend ce manque de sécurité vu la nature si sensible des données à protéger.

Mises à jour, mises à jour, mises à jour !

Combell Shield arrête les attaquesLa leçon qu’il faut tirer de cette histoire ? Nous ne le répéterons jamais assez : installez continuellement les mises à jour et les patchs disponibles ! Cela est d’une importance capitale pour tous les systèmes d’exploitation, systèmes de gestion de contenu et leurs add-ons et plugins qui se connectent à Internet. Lorsque vous recevez un avertissement comme quoi une mise à jour est disponible, installez-la sur-le-champ.

Si vous avez un hébergement chez Combell, vous êtes toujours mis au courant des mises à jour les plus critiques. Grâce à Combell Shield, des vérifications sont effectuées sur tous les SGC et les clients sont avertis dès que des bugs ou problèmes critiques sont détectés. Bientôt, nous pourrons également installer des mises à jour automatiquement, mais nous parlerons de cela ultérieurement. À suivre !

 

Découvrez les différentes possibilités d’hébergement de Combell