Infos

Vulnérabilité de l’authentification à deux facteurs dans des plug-ins WordPress

La société Duo Security, spécialisée dans l'offre de solutions d'authentification à deux facteurs hébergées, a reconnu à la fin de la semaine dernière qu'elle avait découvert une vulnérabilité dans son plug-in WordPress (plug-in duo_wordpress) qui permettait à un utilisateur de contourner l'authentification à deux facteurs sur un réseau multisite.

Jon Oberheide, un des fondateurs de Duo, a bien précisé la semaine dernière que le problème touchait uniquement les utilisateurs qui possédaient des configurations WordPress multisite dans le cadre desquelles un site utilisait l'authentification à deux facteurs. Les utilisateurs qui déploient le plug-in globalement sur leurs sites (et qui l'activent globalement) ne courent aucun risque.

Quand un utilisateur a configuré l'authentification à deux facteurs sur un site, il doit fournir des informations d'identification primaires (un nom d'utilisateur et un mot de passe) ainsi que les informations du deuxième facteur. Mais s'il existe un autre site dans ce réseau multisite, unutilisateur du premier site peut accéder au second et il devra uniquement saisir les informations d'identification primaires. S'il possède ces informations, il sera autorisé, puis rediriger vers le premier site sans passer par l'authentification à deux facteurs. Le système est totalement contourné.

Jon Oberheide a décrit l'impact de la vulnérabilité dans une liste à puces publiée dans un billet de son blog la semaine dernière afin de rectifier les informations erronées, d'après lui, qui circulaient.

  • Seuls les déploiements "multisites" de WordPress qui ont opté pour le déploiement du plug-in sur un site individuel sont touchés.
  • Les déploiements normaux de WordPress ou les déploiements multisites où le plug-in est activé globalement NE SONT PAS touchés.
  • L'utilisateur doit toujours saisir les informations d'identification primaires correctes (par exemple, le nom d'utilisateur et le mot de passe) ; ce n'est que le deuxième facteur qui est contourné.

Duo a découvert la vulnérabilité et l'a confirmé en interne au début du mois avant de diffuser une notice d'avertissement à ce sujet la semaine dernière. Pour l'instant, les versions 1.8.1 et antérieures sont touchées.

Jon Oberheide indique que Duo travaille sur une correction définitive et coopère avec WordPress. Il laisse toutefois penser qu'il faudra introduire "une modification essentielle" dans la manière dont la plateforme traite les plug-ins pour résoudre le problème.

Le problème n'existe pas uniquement dans les plug-ins de Duo. On le retrouve également dans les plug-ins d'autres fournisseurs de solutions d'authentification à deux facteurs. Jon Oberheide et la société ont informés les éditeurs concernés et bon nombre d'entre eux, dont Duo, développent des correctifs.

En attendant, Duo encourage les utilisateurs qui ont déployé duo wordpress dans des configurations multisites à activer le plug-in globalement, puis à le désactiver pour certains rôles particuliers jusqu'à ce que le correctif soit diffusé. Les utilisateurs qui utilisent un autre plug-in WordPress d'authentification à deux facteurs sont invités à se renseigner pour savoir si l'éditeur prévoit un correctif.

http://threatpost.com/two-factor-authentication-vulnerability-identified-in-wordpress-plugins/104356

Vulnérabilité de l’authentification à deux facteurs dans des plug-ins WordPress

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception