IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 494
    Points
    68 494
    Par défaut Sécurité : deux millions de mots de passe WordPress réinitialisés
    Sécurité : deux millions de mots de passe WordPress réinitialisés
    Suite à la découverte de contributions malicieuses à trois plug-ins populaires



    Automatic vient de lancer une dépêche de sécurité importante sur le blog officiel de WordPress, y notifiant tous les utilisateurs du Blogware/CMS de la découverte de plusieurs contributions malintentionnées au code de trois de ses plug-ins les plus populaires.

    Des commits acceptés sur le code de AddThis, WPtouch, et W3 Total Cache, se révèlent contenir des portes dérobées soigneusement dissimulées, créées et propagées par un ou plusieurs pirates non encore identifiés.

    Automatic assure que les contributions malicieuses ne proviennent pas des auteurs de ces extensions et qu'elles ont été annulées par la publication d'une mise à jour dont il recommande vivement l'installation aux administrateurs des installations individuelles de WordPress.

    De son côté, la firme prend la décision radicale de réinitialiser les deux millions de mots de passe de tous les comptes de WordPress.org, mais aussi bbPress.org et BuddyPress.org.

    En attendant de passer au crible le code des extensions concernées à la recherche de toute autre menace, leurs dépôts de code resteront fermés jusqu'à nouvel ordre.

    Cette découverte rappelle encore une fois que l'ouverture du code open source n'est jamais un gage certain contre l'insertion de code malicieux.
    Même pour les projets les plus populaires.


    Source : WordPress.org

    Et vous ?

    Que pensez-vous de cette découverte ?

  2. #2
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    mai 2007
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2007
    Messages : 132
    Points : 416
    Points
    416
    Par défaut
    Cette découverte rappelle encore une fois que l'ouverture du code open source n'est jamais un gage certain contre l'insertion de code malicieux.
    Même pour les projets les plus populaires.
    C'est d'autant plus vrai qu'un projet de la taille de wordpress devrait effectivement montrer l'exemple en matière de sécurité de son ecosystême.

    De son côté, la firme prend la décision radicale de réinitialiser les deux millions de mots de passe de tous les comptes de WordPress.org, mais aussi bbPress.org et BuddyPress.org.
    C'est effectivement la meilleure réaction à adopter en ce cas bien que contraignante pour l'utilisateur final. On peut quand même mettre au crédit de Wordpress d'avoir réagit rapidement et dans la bon sens.

  3. #3
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2010
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2010
    Messages : 68
    Points : 95
    Points
    95
    Par défaut
    J'aurais plutot dit que les projets les plus populaires sont les plus susceptibles d'etre la cible d'intentions malicieuses.

  4. #4
    Membre émérite
    Avatar de Franck Dernoncourt
    Homme Profil pro
    PhD student in AI @ MIT
    Inscrit en
    avril 2010
    Messages
    894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : PhD student in AI @ MIT
    Secteur : Enseignement

    Informations forums :
    Inscription : avril 2010
    Messages : 894
    Points : 2 458
    Points
    2 458
    Par défaut
    Ca me rappelle le Linux Kernel "Back Door" Attempt : http://kerneltrap.org/node/1584

    Étrange que les commits aient été acceptés...

  5. #5
    Membre éprouvé

    Inscrit en
    janvier 2009
    Messages
    467
    Détails du profil
    Informations forums :
    Inscription : janvier 2009
    Messages : 467
    Points : 1 244
    Points
    1 244
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Franck Dernoncourt Voir le message
    Étrange que les commits aient été acceptés...
    De ce dont je me souviens, le repository SVN pour les extension Wordpress n'est pas tres surveillé/organisé... Je crois qu'à partir du moment ou tu es inscrit, tu peux commiter (peut être que sur ton extension, je ne sais plus).

    Le fait est que Wordpress apprend à la dure, qu'ils vont devoir investir dans des process de gestion de code, au moins pour leur extension les plus populaires (Plus de chathédrale, moins de bazar).

  6. #6
    Membre émérite
    Avatar de Franck Dernoncourt
    Homme Profil pro
    PhD student in AI @ MIT
    Inscrit en
    avril 2010
    Messages
    894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : PhD student in AI @ MIT
    Secteur : Enseignement

    Informations forums :
    Inscription : avril 2010
    Messages : 894
    Points : 2 458
    Points
    2 458
    Par défaut
    Ah oui, effectivement les extensions souvent c'est beaucoup moins sécurisées : ce sont les auteurs de l'extension qui doivent vérifier les commits. Sur MediaWiki ça marche ainsi, plus précisément les auteurs doivent vérifier les modifications de la page "officielle" de leurs extensions (e.g. http://www.mediawiki.org/wiki/Extension:W4G_Rating_Bar). Les extensions ne sont pas vérifiées systématiquement par les auteurs de MediaWiki, et on découvre régulièrement des failles dans certaines extensions, mais celles-ci ont été introduites par leurs auteurs (involontairement en général)

    La meilleure solution que je vois est comme toi de distinguer les extensions "officielles" qui seront surveillées par les auteurs du framework des extensions "non officielles" dont l'utilisation sera aux risques et périls du webmaster... le problème étant que cela n'encourage ni les nouveaux arrivants ni les extensions non populaires mais utiles parfois.

  7. #7
    Expert éminent
    Avatar de kdmbella
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2010
    Messages
    799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2010
    Messages : 799
    Points : 7 373
    Points
    7 373
    Par défaut
    je croyais que les commits était soigneusement testés avant d'être intégré au projet il doivent donc revoir leur politique de test
    "L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent."
    - Benjamin Franklin

    De l'aide en Javascript , consultez la FAQ JS.

    De l'aide sur le FrameWork JS DHTMLX : posez vos questions sur le forum des Bibliothèques & Frameworks JS.

  8. #8
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 868
    Points
    1 868
    Par défaut
    Citation Envoyé par kdmbella Voir le message
    je croyais que les commits était soigneusement testés avant d'être intégré au projet il doivent donc revoir leur politique de test
    Faut pas se leurrer non plus. Ca prendrait plus de temps pour examiner un code en profondeur qu'à le refaire soit-même directement...
    Les commit sont probablement testés et vérifiés en surface. Mais pas à la loupe non plus.
    If it's free, you are not the customer, you are the product.

  9. #9
    Futur Membre du Club
    Profil pro
    Inscrit en
    octobre 2009
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2009
    Messages : 6
    Points : 7
    Points
    7
    Par défaut
    Moi, je dirais plus que les responsables communauté et automatic sont laxistes. Je ne veux pas m’étendre sur le sujet mais en observant quelques articles et quelques réflexions des responsables en question, on se dit que le hacking a des beaux jours devant lui.

  10. #10
    Membre habitué

    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    juillet 2009
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Ingénieur intégration

    Informations forums :
    Inscription : juillet 2009
    Messages : 62
    Points : 157
    Points
    157
    Par défaut
    Je ne suis pas plus surpris que les commits aient été acceptés. En effet le code malicieux était bien caché.

    Ayant eu ce code malicieux j'en explique les principes dans cet article : Backdoor plugin WordPress: Explication du code PHP malicieux.

    Mais on ne le dira jamais assez, chaque fois que vous installez un thème ou un plugin tiers, vous donnez potentiellement un accès total à votre blog.

  11. #11
    Membre émérite
    Avatar de Franck Dernoncourt
    Homme Profil pro
    PhD student in AI @ MIT
    Inscrit en
    avril 2010
    Messages
    894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : PhD student in AI @ MIT
    Secteur : Enseignement

    Informations forums :
    Inscription : avril 2010
    Messages : 894
    Points : 2 458
    Points
    2 458
    Par défaut
    Super article, merci lemoussel

    Néanmoins, si les auteurs originaux laissent du nouveau code apparaître sans le comprendre, je doute de la qualité du code... cela dit, je ne connais pas beaucoup WP, je me base juste de l'expérience en écriture d'extensions que j'ai sur MediaWiki notamment.

  12. #12
    Membre habitué

    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    juillet 2009
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Ingénieur intégration

    Informations forums :
    Inscription : juillet 2009
    Messages : 62
    Points : 157
    Points
    157
    Par défaut
    Je pense que le souci c'est que personnes ne s'est aperçu, pendant un certain temps, de l'ajout de cette seule ligne de code. C'est toute la subtilité de ce backdoor. Simple et futé.

Discussions similaires

  1. Réponses: 0
    Dernier message: 22/06/2011, 22h38
  2. [Sécurité] test d'un mot de passe et creation compte
    Par pascale86 dans le forum Langage
    Réponses: 1
    Dernier message: 05/12/2006, 18h38
  3. Sécurité BDD, hashage des mots de passe
    Par Link3 dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 12/10/2006, 19h39
  4. [Sécurité utilisateur]Donner un mot de passe
    Par issam16 dans le forum Sécurité
    Réponses: 1
    Dernier message: 15/08/2006, 12h55
  5. Pb de sécurité, de saisie de mot de passe
    Par gui38 dans le forum Sécurité
    Réponses: 4
    Dernier message: 06/06/2006, 11h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo