Posted in Sécurité de l'Information

Incident de sécurité chez WordPress

   Published Date: 13 avril 2011  Leave a Comment on Incident de sécurité chez WordPress

Il a été rendu publique  ce 13 avril 2011 une difficile annonce de la part de WordPress.  Des attaques au niveau root ont réussi à toucher plusieurs serveurs de la maison. Théoriquement les intrus ont pu prendre connaissance de tout le contenu des serveurs compromis.  Les investigations sont toujours en cours pour que l’on apprécie la vraie nature et l’étendue des intrusions.

Cet incident doit être un motif  supplémentaire pour encourager les utilisateurs des nouvelles technologies à  prendre conscience des dangers inhérents à l’utilisation du web et à  intégrer de plus en plus les règles de sécurité.  Cela pour plusieurs raisons.

D’abord, nos systèmes et nos données sont pour nous des actifs d’une valeur inestimable.  Ce serait dommage que des intrus puissent nous empêcher de les utiliser aux fins pour lesquelles nous les avons conçus.  De plus il est un fait connu que l’on s’attaque surtout à ce qui présente de la valeur. Ainsi c’est vers les systèmes qui représente une valeur pour son propriétaire ou pour le  public que les attaques se dirigent le plus souvent.

Ainsi les sites et les actifs qui présentent un réel intérêt pour la  communauté des internautes seront toujours les plus susceptibles d’être attaqué.

Dans le but de permettre aux  utilisateurs de WordPress  de mieux se protéger,  il est fait recommandation aux membres de la communauté  d’insister sur les mesures fondamentales de sécurité; des mesures simples, non nécessairement en relation avec l’incident.  Nous reprenons ici  les conseils prodigués par Automattic :

« Utilisez des mots de passe robustes, c’est à dire aléatoires, incluant chiffres et ponctuation.

  • Utilisez des mots de passe différents pour des sites différents.
  • Si vous avez utilisé le même mot de passe sur plusieurs sites, changez-les pour d’autres plus sécurisés.

(Des outils comme 1Password, LastPass, and KeePass facilitent la gestion de mots de passe multiples.) »

Il est intéressant de noter le jeu de la transparence réalisé par Automattic en publiant cette annonce à l’intention du public et des utilisateurs de WordPress.  Cela a la vertu de les inciter à la prise en compte de la sécurité dans leur pratique. Cela a aussi l’intérêt de montrer que les développeurs de WordPress informe la communauté sur la vie du produit même quand l’annonce a été difficile comme l’a souligné Matt Mullenweg et peut faire mal. Et c’est tout à leur honneur.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *