Une faille impacte 27% d’Internet

Le 5 février 2018, une faille sur Wordpress a été découverte, la CVE-2018-6389. 27 % du web utilise Wordpress et l’équipe de développement a décidé de ne pas la patcher. Pourtant, cette faille permet de mettre hors-ligne n’importe quel site en le surchargeant.

Comment la faille fonctionne ?

En appelant le fichier load-scripts.php du site, un hacker peut pousser le Wordpress à charger énormément de ressources. En appelant de manière répétée ces ressources, un hacker fera vite tomber le serveur. Le hacker Barak Tawily a publié une démonstration de la vulnérabilité sur Youtube.

Qui sont les cibles ?

Les cibles de cette vulnérabilité sont les sites à forte popularité. Des hackers malveillants pourraient mettre hors-ligne des serveurs et demander des rançons pour stopper l’attaque. Les scénarios sont infinis et au final, aucun utilisateur de Wordpress n’est à l’abri de cette faille.

Pourquoi cette faille n’a pas été patchée ?

L'équipe de Wordpress n’a pas communiqué sur cette faille. Elle a juste répondu au hacker ayant signalé la faille, que cette dernière dépendait du serveur et non de l’application Wordpress en elle-même. Pourtant, la majorité des experts en sécurité informatique sont d’accord pour affirmer qu’il y a un réel défaut de conception et que cela devrait être corrigé.
Il faut espérer que Wordpress revienne sur sa décision et patche cette faille pour que la plupart des webmasters puissent dormir sur leurs deux oreilles.

Existe-t-il des patchs pour cette vulnérabilité ?

Un script gratuit en bash a été partagé par la personne ayant dévoilé la faille. Cependant, il faudra quelques connaissances en développement pour le mettre en place. C’est pourquoi, Julien Gadanho, fondateur de la société SecureMyData, a publié un patch sur le site de son entreprise.
Il a aussi fourni une vidéo pour expliquer aux webmasters les moins confirmés comment le mettre en application. Le patch est gratuit et rentre dans le cadre d’une pratique clairement white-hat. Julien Gadanho est donc un hacker white-hat, c’est-à-dire qu’il a pour but d’aider à faire progresser la sécurité globale du web et ne se sert pas de ses compétences pour voler ou détruire.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.