A l’occasion du panorama de la cybercriminalité présenté par le Clusif ,nous avons pu interroger deux spécialistes du domaine sur les attaques récentes de sites web français.Pour Hervé Schauer, le président du cabinet de conseil en sécurité (HSC), en photo ci contre, récemment acquise par la société de service Deloitte, l’affaire n’est pas si grave.
« Il s’agit principalement de modifications de pages d’accueil, ce que l’on appelle des defacements, une forme de tags de djihadistes pour marquer leur passage. Il ne s’agit pas à ma connaissance d’attaque en profondeur, c’est plutôt de la « com » pour marquer leur fureur. Les pirates ont simplement attaqué les principaux CMS, en particulier les applications Drupal, Joomla et WordPress qui sont tout simplement non mises à jour. Cela va obliger les propriétaires de sites à renforcer les accès, à changer d’administrateurs de sites, à revoir les hébergements pour rehausser leurs gardes. Mieux vaut que ce soit une campagne de communication plutôt que des concurrents qui cherchent à détruire ces sites. »
La gendarmerie suit l’évolution mais ne s’inquiète pas excessivement
Pour le colonel Eric Freyssinet en charge de la cyber sécurité à la Gendarmerie (photo ci dessous), c’est effectivement une campagne de communication. » Pour l’instant, les attaques, principalement autour de PHP sont symboliques comme celle du mémorial de Caen. C’est grave, mais c’est apparemment encore assez facilement réparable. On ne sait pas si les attaquants sont parvenus à atteindre et collecter les fichiers d’adresses de clients, ce qui serait plus inquiétant. Il n’y a pas eu d’attaques majeures en déni de service alors que pour de simples jalousies, des gamins français de 15 ans, des fans de jeux vidéos, louent des réseaux zombies, des bots pour paralyser leurs concurrents. L’attaque de ces trois deniers jours reste, à notre connaissance, d’abord une campagne de communication. «
« 
Les failles des CMS sont exploitées »
On trouverait facilement sur internet des outils pour prendre la main sur des sites PHP. En 2013 , le site hackersrepublic.org précisait que pour devenir un bon spécialiste de la sécurité, il fallait au moins maîtriser les principales failles de ces trois grands types de CMS ( content management system) conçus en PHP. Début février 2013, on dénombrait 8 millions de sites internet fonctionnant avec WordPress. Joomla arrivait en second avec plus de 2 millions et Drupal en troisième avec environ 555 000 sites constituants le haut du panier. En France, plus de 34 000 sites ont aussi été crées avec SPIP.
Mais dans la plupart des cas, il s’agit de failles liées à des extensions, des Plug in, dont le blog secupress spécialiste de WordPress a souvent parlé pour son domaine de prédilection. Celles-ci permettent d’injecter sur le site un fichier PHP contenant du code malicieux qui permet l’accès à la plupart des fonctions, comme sur un FTP. La backdoor est d’abord ajoutée dans un dossier, puis lors de son premier lancement, elle se duplique dans l’entête de tous les fichiers PHP du site. Ci-dessous la liste des Plug pour WordPress in qui permettent d’entrer via leurs failles en communication avec les sites. MailPoet serait en particulier l’outil de prédilection de pas mal de hackers. Une liste de Plug in dangereux pour wordpress, car souvent modifiés pour y insérer des malwares
- WPTouch Authenticated File Upload
- CopySafe PDF Protection 0.6 Shell Upload
- Tidio Gallery 1.1 Shell Upload / XSS
- Download Manager 2.6.8 Shell Upload
- BSK PDF Manager 1.3.2 SQL Injection
- MailPoet wysija-newsletters Unauthenticated File Upload
- NextGEN Gallery 2.0.63 Shell Upload
- blogstand-smart-banner.1.0 Cross Site Scripting
- ml-slider 2.5 Cross Site Scripting
- wp-construction-mode.1.8 Cross Site Scripting
sans oublier Simple Share Buttons Adder 4.4 CSRF / XSS Gallery Objects 0.4 SQL Injection .
puis