Mettre à jour son site Internet ? C’est juste bon pour les bolos !

 

Plus de 66.000 sites Internet piratés en quelques jours. Des administrateurs qui se sont crus plus malins face aux mises à jour de leur espace web.

Sites Internet piratés ? Cela n’arrive pas qu’aux autres ! Le 26 janvier 2017 WordPress annonçait une mise à jour urgente de son outil de publication sur Internet. Une nouvelle version signée 4.7.2 ayant comme intitulé principale « Security release« . Bref, si vous lisez « Mise à jour » et « Security« , normalement, le patch ne doit pas resté dans un coin.

A première vue, plus de 66.000 administrateurs de sites sous WordPress en ont décidé autrement. Une mise à l’écart d’un correctif que les pirates ont su exploiter à leur avantage. En quelques jours, plus de 66.000 sites ont été modifiés. Google est en train de les référencer, lentement, mais surement.

Sites Internet piratés… l’idiot regarde le doigt qui pointe la lune !

J’ai repéré 6 pirates « s’amusant » à laisser leur signature. Imaginez un ours se frottant sur un arbre, pour marquer son territoire. Les « pirates » font exactement pareil, mais en mode numérique.

Par exemple, XwoLfTn, un pirate tunisien affiche entre 8092 et 8290 sites attaqués au moment de l’écriture de cet article. Même niveau de malveillance pour w4l3XzY3, Cyb3r-chiite/Cyb3r-Shia, NeT.Defacer et Hawleri_hacker. Ces deux derniers semblent être la même personne, un pirate Kurd. J’ai pu constater, pour la France, 2,400 sites infiltrés comme par exemple le site du producteur des émissions de télévision vedettes de M6 « Un Trésor dans votre maison » ou encore « Pékin Express« , GTNCO. Autres cibles, le magazine culinaire « Gourmand » ou encore Biocitech, la Cité des biotechnologies, de la santé et de l’environnement.

WordPress 4.7.2 a été libéré il y a deux semaines, dont les correctifs pour une SQLi, XSS/CSS … Il est clairement honteux de découvrir que 14 jours plus tard, la sécurité n’a pas été renforcée dans autant d’espaces web. A noter que le fait de laisser une trace n’est pas anodine chez certains pirates informatiques. Si la majorité des internautes y verront l’apanage d’un ego surdimensionné de script kiddie, de débutant, il en va surtout que les « débutants » calculent le temps de correction des sites attaqués, de la mise en place [ou non, NDR] d’un correctif. Ensuite ? Ils revendent les espaces délaissés dans le blackmarket aux professionnels du black SEO. Bilan, si dans quelques jours vous voyez apparaître une boutique de Viagra pas cher, de fausses Nikes ou de montres Rolex sur votre site, il ne faudra pas vous étonner et crier à l’attaque informatique du gouvernement Russe !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Seb Reply

    Le principale problème c’est que pour beaucoup, c’est un peu comme s’ils avaient installer un logiciel sur leur ordi et que tant qu’il fonctionne, pourquoi le mettre à jour. Sauf que là, c’est ouvert à tous sur Internet.
    J’envoie régulièrement des mails quand je trouve un WordPress vraiment obsolète aux personnes gérant leur blog. Les réponses sont très souvent inquiétantes. Soit ils (elles) ne savent pas faire et non pas les compétences pour, soit on me reproche de vouloir justement abaisser le niveau de sécurité (alors que je parle de faire une mise à jour o_O). Si tu as un mail type pour leur faire comprendre l’importance de la mise à jour, je pense que nous sommes plusieurs à être intéressé.

  2. pouetpouetcamion Reply

    Néanmoins j’aime mieux me faire defacer mon site par un guignol en manque d’attention que de découvrir une backdoor présente depuis un moment sur le serveur.
    Mais on ne peut pas nier l’intérêt que représente le deface des pages des téléréalité …

    • Damien Bancal Reply

      Bonjour,
      Aujourd’hui, le « deface » cache souvent [8 cas sur 10 que j’ai pu constater] une infiltration d’un shell, du black seo dans les semaines suivantes, …

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.