Base de vulnérabilités WPScan : nouvelle source de sécurité de l’information pour WordPress

Le nombre de vulnérabilités dans la plateforme ouverte WordPress, ses plug-ins et ses thèmes est à la hauteur de sa popularité comme système de gestion du contenu (à l’heure actuelle, WordPress détient 44 % du marché CMS). Le scénario où un plug-in peu fiable ou une nouvelle faille dans le noyau WordPress capable de nuire à un site Internet peut entraîner une mauvaise surprise pour le développeur, voire le troubler, est plus que probable. Lors de la conférence BruCon qui a eu lieu en Belgique au mois de septembre, Ryan Dewhurst, chercheur britannique spécialisé en sécurité de l’information, a annoncé le lancement de WPScan Vulnerability Database, une base de données unique des vulnérabilités les plus récentes dans WordPress, ses plug-ins et ses thèmes. L’auteur du projet espère que cette base de données deviendra une source d’informations incontournables pour les spécialistes de la sécurité de l’information, les administrateurs et les développeurs de produits pour WordPress.š

Ryan Dewhurst a indiqué à Threatpost que l’idée de la création de cette base était née après le développement de WPScan, un scanneur de vulnérabilités pour WordPress qu’il avait développé en langage Ruby en 2011. D’après Ryan Dewhurst, ce scanneur comblait un vide car à l’époque, il n’existait aucun outil de recherche automatique de problèmes de sécurité pour la plateforme. WPScan est passé récemment à la version 2.5 qui, d’après son auteur, recherche les bogues en arrière plan et fournit les résultats à la fin du processus.

La création de la base de vulnérabilités coïncide plus ou moins avec l’apparition de WPScan. Ryan Dewhurst n’a pas manqué de signaler que la mise en place du fonds 5by5 de BruCon a joué un rôle fondamental dans la rapidité du processus. En effet, il a bénéficié d’une aide de près de 8 000 dollars américains (6 316 euros) pour développer la nouvelle base de données. L’auteur du projet explique que "dès que WPScan a défini la version de WordPress, des plug-ins et des thèmes installés sur le blog WordPress, nous pouvons identifier sans difficulté toutes les vulnérabilités associées à cette version, à ce plug-in ou à ce thème s’ils se trouvent dans notre base de données".

Au début, la base de données (en réalité, il s’agit de trois bases : une pour le code principal, une pour les plug-ins et une pour les thèmes) était enrichie manuellement par un des quatre membres de l’équipe WPScan. Un d’entre eux modifiait les fichiers XML et les plaçait dans un référentiel spécial Github. A l’heure actuelle, les informations relatives aux vulnérabilités, d’après Dewhurst, sont saisies via une interface Internet au fur et à mesure de la réception de rapports en provenance de différentes sources telles que des listes de diffusion, des messages de personnes impliquées dans le projet ou de chercheurs tiers.

"Cette nouvelle base nous aidera également à traiter plus rapidement les vulnérabilités car nous serons en mesure d’examiner les données en mode de coopération. Nous espérons également que la qualité des entrées augmente" a déclaré Ryan Dewhurst. Cette base de données pourrait devenir une source d’informations appréciable sur les vulnérabilités WordPress.

Ryan Dewhurst poursuit : "Je pense que le public intéressé par cette base pourrait être assez large. La base devrait présenté un intérêt particulier pour les experts en sécurité de l’information. Ainsi, s’ils découvrent un plug-in particulier lors d’un audit, ils pourront vite confirmer si nous disposons d’informations relatives à d’éventuelles vulnérabilités. Cette vérification peut être réalisée via notre API."

Ryan Dewhurst espère également que ce référentiel centralisé sera consulté par les administrateurs de site qui pourront ainsi vérifier la sécurité de leurs sites développés sur WordPress ainsi que la sécurité des plug-ins utilisés. La base WPScan offrira de nouvelles possibilités aux développeurs de produits WordPress.

"J’aimerais croire que l’utilisation de nos API permettra à certains développeurs de créer un nouveau mode d’accès des utilisateurs aux données, par exemple via un module WordPress spécial qui préviendrait l’utilisateur en cas d’exécution d’un plug-in ou d’un thème vulnérable" déclare le chercheur. "Toute utilisation commerciale de nos données requiert bien évidemment une licence. L’utilisation de nos données dans des produits ou des projets open-source est quant à elle gratuite.

D’après l’auteur, la base de données centralisée devrait entraîner des modifications positives dans l’écosystème WordPress. Ryan Dewhurst conclut : "J’espère que notre projet permettra aux utilisateurs de WordPress d’être plus conscient des problèmes de sécurité propres aux versions dépassées de la plateforme, de ses plug-ins et de ses thèmes". Nous espérons également qu’il permettra d’améliorer la sécurité des blog WordPress résidents. Il se peut même que l’équipe WordPress adopte des mesures afin que les développeurs de thèmes et de plug-ins ne diffusent pas du code malveillant. On peut imaginer par exemple une analyse statistique automatique des nouveaux plug-ins avant leur publication. Ceci n’est pas la solution idéale bien entendu, mais elle pourrait être fonctionnelle".

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *