Infos

Base de vulnérabilités WPScan : nouvelle source de sécurité de l’information pour WordPress

Le nombre de vulnérabilités dans la plateforme ouverte WordPress, ses plug-ins et ses thèmes est à la hauteur de sa popularité comme système de gestion du contenu (à l’heure actuelle, WordPress détient 44 % du marché CMS). Le scénario où un plug-in peu fiable ou une nouvelle faille dans le noyau WordPress capable de nuire à un site Internet peut entraîner une mauvaise surprise pour le développeur, voire le troubler, est plus que probable. Lors de la conférence BruCon qui a eu lieu en Belgique au mois de septembre, Ryan Dewhurst, chercheur britannique spécialisé en sécurité de l’information, a annoncé le lancement de WPScan Vulnerability Database, une base de données unique des vulnérabilités les plus récentes dans WordPress, ses plug-ins et ses thèmes. L’auteur du projet espère que cette base de données deviendra une source d’informations incontournables pour les spécialistes de la sécurité de l’information, les administrateurs et les développeurs de produits pour WordPress.š

Ryan Dewhurst a indiqué à Threatpost que l’idée de la création de cette base était née après le développement de WPScan, un scanneur de vulnérabilités pour WordPress qu’il avait développé en langage Ruby en 2011. D’après Ryan Dewhurst, ce scanneur comblait un vide car à l’époque, il n’existait aucun outil de recherche automatique de problèmes de sécurité pour la plateforme. WPScan est passé récemment à la version 2.5 qui, d’après son auteur, recherche les bogues en arrière plan et fournit les résultats à la fin du processus.

La création de la base de vulnérabilités coïncide plus ou moins avec l’apparition de WPScan. Ryan Dewhurst n’a pas manqué de signaler que la mise en place du fonds 5by5 de BruCon a joué un rôle fondamental dans la rapidité du processus. En effet, il a bénéficié d’une aide de près de 8 000 dollars américains (6 316 euros) pour développer la nouvelle base de données. L’auteur du projet explique que "dès que WPScan a défini la version de WordPress, des plug-ins et des thèmes installés sur le blog WordPress, nous pouvons identifier sans difficulté toutes les vulnérabilités associées à cette version, à ce plug-in ou à ce thème s’ils se trouvent dans notre base de données".

Au début, la base de données (en réalité, il s’agit de trois bases : une pour le code principal, une pour les plug-ins et une pour les thèmes) était enrichie manuellement par un des quatre membres de l’équipe WPScan. Un d’entre eux modifiait les fichiers XML et les plaçait dans un référentiel spécial Github. A l’heure actuelle, les informations relatives aux vulnérabilités, d’après Dewhurst, sont saisies via une interface Internet au fur et à mesure de la réception de rapports en provenance de différentes sources telles que des listes de diffusion, des messages de personnes impliquées dans le projet ou de chercheurs tiers.

"Cette nouvelle base nous aidera également à traiter plus rapidement les vulnérabilités car nous serons en mesure d’examiner les données en mode de coopération. Nous espérons également que la qualité des entrées augmente" a déclaré Ryan Dewhurst. Cette base de données pourrait devenir une source d’informations appréciable sur les vulnérabilités WordPress.

Ryan Dewhurst poursuit : "Je pense que le public intéressé par cette base pourrait être assez large. La base devrait présenté un intérêt particulier pour les experts en sécurité de l’information. Ainsi, s’ils découvrent un plug-in particulier lors d’un audit, ils pourront vite confirmer si nous disposons d’informations relatives à d’éventuelles vulnérabilités. Cette vérification peut être réalisée via notre API."

Ryan Dewhurst espère également que ce référentiel centralisé sera consulté par les administrateurs de site qui pourront ainsi vérifier la sécurité de leurs sites développés sur WordPress ainsi que la sécurité des plug-ins utilisés. La base WPScan offrira de nouvelles possibilités aux développeurs de produits WordPress.

"J’aimerais croire que l’utilisation de nos API permettra à certains développeurs de créer un nouveau mode d’accès des utilisateurs aux données, par exemple via un module WordPress spécial qui préviendrait l’utilisateur en cas d’exécution d’un plug-in ou d’un thème vulnérable" déclare le chercheur. "Toute utilisation commerciale de nos données requiert bien évidemment une licence. L’utilisation de nos données dans des produits ou des projets open-source est quant à elle gratuite.

D’après l’auteur, la base de données centralisée devrait entraîner des modifications positives dans l’écosystème WordPress. Ryan Dewhurst conclut : "J’espère que notre projet permettra aux utilisateurs de WordPress d’être plus conscient des problèmes de sécurité propres aux versions dépassées de la plateforme, de ses plug-ins et de ses thèmes". Nous espérons également qu’il permettra d’améliorer la sécurité des blog WordPress résidents. Il se peut même que l’équipe WordPress adopte des mesures afin que les développeurs de thèmes et de plug-ins ne diffusent pas du code malveillant. On peut imaginer par exemple une analyse statistique automatique des nouveaux plug-ins avant leur publication. Ceci n’est pas la solution idéale bien entendu, mais elle pourrait être fonctionnelle".

Threatpost

Base de vulnérabilités WPScan : nouvelle source de sécurité de l’information pour WordPress

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception