Salut à tous et bienvenue dans ce nouveau « Point sécu » avec Julio et aujourd’hui on va voir ce qu’il faut faire quand on pense qu’un plugin contient une faille de sécurité.

Allez c’est parti !

Alors du coup Julio qu’est ce qu’on fait quand on découvre peut-être un comportement bizarre sur un site ou sur… à cause d’une extension, on l’active on se rend compte qu’il y a quelque chose qui ne tourne pas rond, qu’est ce qu’on fait ?

Julio : Tout à fait c’est pas forcément pour les développeurs, c’est à dire que même si vous n’avez pas la culture du code vous pouvez très bien vous dire : tiens c’est bizarre, j’ai l’impression qu’il y a une information qui ne devrait pas apparaître, ou dans les paramètres de l’url je vois clairement – je ne sais pas moi – mon mot de passe, ou il y a des choses qui vous paraissent un peu bizarres :

Faites-les vérifier par justement d’abord un développeur, qui va peut être vous informer un petit peu plus là dessus, si quelqu’un est un minimum formé à la sécurité, il va pouvoir vous dire : oui effectivement je ne trouve pas ça normal.

Réussir à faire un peu escalader cette information, jusqu’à trouver quelqu’un qui va vous renseigner sur : effectivement ce plugin contient quelque chose qui n’est pas normal.

Certains signes qui montrent une faille de sécurité

Donc ça peut être :

  • un partage de données,
  • un accès un peu étrange,
  • un blocage qui devait intervenir, mais finalement ça ne bloque pas : est ce que c’est normal, est ce que ce n’est pas normal ?

comment trouver une faille dans un plugin

Que faire ?

Si vous avez la possibilité, vous, de lire le code et que vous êtes développeur, vous aurez peut-être la possibilité de tester un petit peu ce code, essayer de bidouiller, essayer de vous mettre encore une fois la place du pirate :

  • Qu’est ce que je ferais si j’essayais d’accéder via ce morceau de code qui me semble un peu étrange ?
  • Qu’est ce que qu’est-ce que je peux faire ?

N’hésitez pas à bouger un petit peu le code.

Ensuite ce qui peut être fait, c’est demander de l’aide autour de vous, il y a un groupe Facebook français et anglais sur la sécurité WordPress.

Je vous invite d’ailleurs dans la description à rejoindre ces groupes si vous parlez français et anglais.

Alex : C’est WP SECURE je crois

Julio : C’est ça WP SECURE donc c’est sur Facebook

Sur Twitter n'hésitez pas à demander de l'aide, vous pouvez toujours faire le hashtag #WPAIDEClick to Tweet

Si vous êtes sur le site de WordPress, vous demandez dans le canal sécurité, postez votre fichier quelque part et puis on va regarder un petit peu si les gens ont un peu temps à consacrer.

Est-ce qu’effectivement ce code nous semble louche, quel est le plugin, on regarde un petit peu.

Une fois que tout ça c’est fait, il faut savoir d’où vient le plugin.

Donc s’il vient du dépôt officiel de wordpress, là ça va être possible de faire quelque chose de très simple, on connaît l’auteur, on le contacte via simplement le forum.

On ne lui dit pas la faille, attention, on ne parle pas de ça du tout, on lui dit juste :

« Voilà je pense qu’il y a un problème de sécurité avec le plugin contactez-moi sur telle adresse ». Là vous échangez ensuite par mail pour dire : « Voilà ce que nous on a trouvé, voilà ce que l’on pense ».

Il vérifie, il confirme ou pas, la plupart du temps si vraiment c’était une faille il est assez d’accord pour dire merci on va corriger.

On laisse un certain laps de temps, donc j’ai envie de dire un à deux mois parfois, ça dépend un peu et puis après si on sait que c’est un plugin très utilisé, on va commencer…

Il faut en parler à un moment donné donc on ne fait pas ça tout de suite, c’est ce qu’on appelle la divulgation responsable

On ne dit pas : tiens j’ai trouvé une faille ! Je le crie partout sur les toits !

Ben non, parce qu’il y a des gens qui l’utilisent. La faille serait dans la jungle sauvage du net et là elle serait utilisée et c’est pas cool, donc on informe l’auteur, on lui laisse le temps de corriger, il met à jour, il fait ses tests et ensuite on peut en parler pour dire voilà dans l’ancienne version il y avait une faille qui vient d’être corrigée, là c’est la façon correcte.

Ensuite si cet auteur n’a pas répondu, ce qui peut arriver, dans ces cas-là, toujours sur le dépôt, on contacte directement WordPress, donc il y a l’adresse que je vous met dans la description ici plugins[at]wordpress.org

Là vous donner bien les détails :

  • l’url du plugin,
  • le fichier,
  • le bloc de code incriminé,
  • quelle est la faille,
  • si possible comment est ce qu’on fait pour déclencher cette faille, donc l’exploiter

Alex : Pour qu’ils puissent la reproduire de leur côté

Julio : Voilà un minimum pour qu’effectivement si vous connaissez les noms des failles : XSS, CSRF, SQL injection remote execution là ils vont regarder ça

Ce qu’ils font, ils désactivent le plugin, de nouveau ils essayent de contacter l’auteur, ils lui font corriger ou pas et dans ces cas là le plugin il tombe dans les limbes et c’est tout il ne peut pas être maintenu.

On ne laisse pas une faille comme ça sur le net.

Inversement si ça n’était pas sur le dépôt de wordpress, là vous devez contacter, on va dire que c’est un premium, vous contactez l’auteur de ce plugin premium, leur support qui, je j’espère pour eux, sera assez réactif, puisque pour tout ce qui est produit payant normalement ils sont plus réactifs.

Donc pour mettre à jour aussi leurs produits, vous leur laissez le temps de se mettre à jour, publier le patch.

Je pense que souvent quand c’est une faille critique, ils en parlent, si c’est suffisamment dangereux ils font d’eux-mêmes un article de blog là-dessus.

S’ils ne le font pas alors que c’était critique, là c’est dommage parce qu’on pense parfois que si on dit qu’on avait une grosse faille critique, c’est mal vu

Inversement, ce qu’il faut penser c’est qu’elle n’existe plus, nous l’avons corrigée, donc maintenant nous sommes plus secure qu’hier, donc c’est très important en fait finalement de le signaler et puis ça pousse les gens à se mettre à jour plus rapidement.

Si vous dites : « ouais j’ai encore fait une mise à jour, j’ai encore fait une mise à jour, oui bon… je la ferai le mois prochain !

Si vous dites « mise à jour de sécurité critique », là c’est bon, là on va la faire la mise à jour, on ne va pas faire patienter c’est trop dangereux.

Voilà les bonnes recommandations, les bons comportements à avoir face à une faille de sécurité.

Voilà à quel endroit est-ce qu’on peut chercher de l’aide.

Voilà qui on peut consulter, qui on peut alerter en cas de faille avérée bien sûr et si vous n’êtes pas sûr, encore une fois, vous demandez de l’aide autour de vous.

Est ce que tu as déjà trouvé toi un plugin avec des failles, au comportement bizarre ?

Alex : Non je n’ai jamais eu l’occasion, non.

Julio : Tant mieux, tant mieux !

Alex : OK super ! Merci d’avoir visionné cette vidéo.

J’espère que vous en savez un petit peu plus maintenant sur cette procédure à suivre si jamais ça vous arrive et donc n’oubliez pas de vous abonner à la chaîne YouTube de la Marmite et bien sûr d’aller jeter un oeil à SecuPress pour sécuriser au mieux votre site.

Sur ce merci de nous avoir suivi et à très bientôt ciao !

Et vous ? Avez-vous déjà suspecté une faille de sécurité dans un plugin ?