Une firme de sécurité informatique a découvert l'existence d'une campagne visant à infecter les sites fonctionnant avec WordPress, l'un des systèmes de gestion de contenu les plus utilisés sur le web. Plus de 100 000 blogs ont d'ores et déjà été infectés.

Si vous gérez un blog utilisant WordPress, vous feriez bien de vérifier son innocuité. En effet, la société Sucuri a découvert ce week-end l'existence d'une campagne ayant pour objectif de contaminer un maximum de sites fonctionnant avec ce système de gestion de contenu (CMS). Et d'après les estimations de la firme de sécurité, plus de 100 000 blogs sont d'ores et déjà infectés.

D'après Sucuri, les auteurs à l'origine de cette opération exploitent une faille de sécurité présente dans le plugin RevSlider. Celle-ci a pourtant été corrigée en septembre, mais la mise à jour n'a pas été systématiquement appliquée, d'une part parce que la correction n'a pas été assez soulignée par l'auteur du plugin, et d'autre part parce que RevSlider est parfois intégré dans d'autres extensions.

À l'échelle de WordPress, le problème posé par SoakSoak – qui est le nom donné au logiciel malveillant, en référence au premier site qui a été contaminé par celui-ci – reste encore contenu. En effet, l'on estime à plus de 60 millions (selon des statistiques de 2012 rapportées par Forbes) le nombre de sites fonctionnant avec ce CMS. Les sites infectés représentent à peine 0,16 % de ce total.

Toutefois, il n'est pas question d'attendre que la diffusion de SoakSoak devienne critique pour prendre des mesures radicales. Ainsi, The Hacker News signale que Google a d'ores et déjà mis sur liste noire plus de 11 000 sites contaminés par ce programme. Et il n'est pas improbable de penser que Google étende la mesure a d'autres blogs, selon le risque encouru.

Afin de vérifier l'état de son blog, Sucuri fournit un outil de balayage en ligne. Il existe aussi un service équivalent proposé par Google. Pour s'en servir, il suffit de remplacer l'adresse inscrite dans l'URL (dans la barre d'adresse) par celle qui doit être vérifiée. Sucuri précise que le nettoyage du blog ne suffira pas : il faut également boucher la faille utilisée par SoakSoak, sous peine d'être à nouveau infecté.

Ce problème illustre en tout cas le rôle des extensions dans la diffusion menaces. Les navigateurs comme les systèmes de gestion de contenu peuvent en effet subir des attaques à cause de modules obsolètes (des vulnérabilités détectées ne sont plus corrigées) ou volontairement nuisibles (mais présentés de façon à inciter l'utilisateur à l'installer).

( photo : CC BY Nikolay Bachisyki )


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !