Accueil » Le Point SĂ©cu » 🛡 Point SECU #16 : Mon plugin a t’il une faille de sĂ©curitĂ© ? Que faire ?

VidĂ©o : 🛡 Point SECU #16 : Mon plugin a t’il une faille de sĂ©curitĂ© ? Que faire ?



Salut Ă  tous et bienvenue dans ce nouveau « Point sĂ©cu » avec Julio et aujourd’hui on va voir ce qu’il faut faire quand on pense qu’un plugin contient une faille de sĂ©curitĂ©.

Allez c’est parti !

Alors du coup Julio qu’est ce qu’on fait quand on dĂ©couvre peut-ĂȘtre un comportement bizarre sur un site ou sur… Ă  cause d’une extension, on l’active on se rend compte qu’il y a quelque chose qui ne tourne pas rond, qu’est ce qu’on fait ?

Julio : Tout Ă  fait c’est pas forcĂ©ment pour les dĂ©veloppeurs, c’est Ă  dire que mĂȘme si vous n’avez pas la culture du code vous pouvez trĂšs bien vous dire : tiens c’est bizarre, j’ai l’impression qu’il y a une information qui ne devrait pas apparaĂźtre, ou dans les paramĂštres de l’url je vois clairement – je ne sais pas moi – mon mot de passe, ou il y a des choses qui vous paraissent un peu bizarres :

Faites-les vĂ©rifier par justement d’abord un dĂ©veloppeur, qui va peut ĂȘtre vous informer un petit peu plus lĂ  dessus, si quelqu’un est un minimum formĂ© Ă  la sĂ©curitĂ©, il va pouvoir vous dire : oui effectivement je ne trouve pas ça normal.

RĂ©ussir Ă  faire un peu escalader cette information, jusqu’Ă  trouver quelqu’un qui va vous renseigner sur : effectivement ce plugin contient quelque chose qui n’est pas normal.

Certains signes qui montrent une faille de sécurité

Donc ça peut ĂȘtre :

  • un partage de donnĂ©es,
  • un accĂšs un peu Ă©trange,
  • un blocage qui devait intervenir, mais finalement ça ne bloque pas : est ce que c’est normal, est ce que ce n’est pas normal ?

comment trouver une faille dans un plugin

Que faire ?

Si vous avez la possibilitĂ©, vous, de lire le code et que vous ĂȘtes dĂ©veloppeur, vous aurez peut-ĂȘtre la possibilitĂ© de tester un petit peu ce code, essayer de bidouiller, essayer de vous mettre encore une fois la place du pirate :

  • Qu’est ce que je ferais si j’essayais d’accĂ©der via ce morceau de code qui me semble un peu Ă©trange ?
  • Qu’est ce que qu’est-ce que je peux faire ?

N’hĂ©sitez pas Ă  bouger un petit peu le code.

Ensuite ce qui peut ĂȘtre fait, c’est demander de l’aide autour de vous, il y a un groupe Facebook français et anglais sur la sĂ©curitĂ© WordPress.

Je vous invite d’ailleurs dans la description Ă  rejoindre ces groupes si vous parlez français et anglais.

Alex : C’est WP SECURE je crois

Julio : C’est ça WP SECURE donc c’est sur Facebook

Sur Twitter n'hésitez pas à demander de l'aide, vous pouvez toujours faire le hashtag #WPAIDEClick to Tweet

Si vous ĂȘtes sur le site de WordPress, vous demandez dans le canal sĂ©curitĂ©, postez votre fichier quelque part et puis on va regarder un petit peu si les gens ont un peu temps Ă  consacrer.

Est-ce qu’effectivement ce code nous semble louche, quel est le plugin, on regarde un petit peu.

Une fois que tout ça c’est fait, il faut savoir d’oĂč vient le plugin.

Donc s’il vient du dĂ©pĂŽt officiel de wordpress, lĂ  ça va ĂȘtre possible de faire quelque chose de trĂšs simple, on connaĂźt l’auteur, on le contacte via simplement le forum.

On ne lui dit pas la faille, attention, on ne parle pas de ça du tout, on lui dit juste :

« VoilĂ  je pense qu’il y a un problĂšme de sĂ©curitĂ© avec le plugin contactez-moi sur telle adresse ». LĂ  vous Ă©changez ensuite par mail pour dire : « VoilĂ  ce que nous on a trouvĂ©, voilĂ  ce que l’on pense ».

Il vĂ©rifie, il confirme ou pas, la plupart du temps si vraiment c’Ă©tait une faille il est assez d’accord pour dire merci on va corriger.

On laisse un certain laps de temps, donc j’ai envie de dire un Ă  deux mois parfois, ça dĂ©pend un peu et puis aprĂšs si on sait que c’est un plugin trĂšs utilisĂ©, on va commencer…

Il faut en parler Ă  un moment donnĂ© donc on ne fait pas ça tout de suite, c’est ce qu’on appelle la divulgation responsable

On ne dit pas : tiens j’ai trouvĂ© une faille ! Je le crie partout sur les toits !

Ben non, parce qu’il y a des gens qui l’utilisent. La faille serait dans la jungle sauvage du net et lĂ  elle serait utilisĂ©e et c’est pas cool, donc on informe l’auteur, on lui laisse le temps de corriger, il met Ă  jour, il fait ses tests et ensuite on peut en parler pour dire voilĂ  dans l’ancienne version il y avait une faille qui vient d’ĂȘtre corrigĂ©e, lĂ  c’est la façon correcte.

Ensuite si cet auteur n’a pas rĂ©pondu, ce qui peut arriver, dans ces cas-lĂ , toujours sur le dĂ©pĂŽt, on contacte directement WordPress, donc il y a l’adresse que je vous met dans la description ici plugins[at]wordpress.org

Là vous donner bien les détails :

  • l’url du plugin,
  • le fichier,
  • le bloc de code incriminĂ©,
  • quelle est la faille,
  • si possible comment est ce qu’on fait pour dĂ©clencher cette faille, donc l’exploiter

Alex : Pour qu’ils puissent la reproduire de leur cĂŽtĂ©

Julio : VoilĂ  un minimum pour qu’effectivement si vous connaissez les noms des failles : XSS, CSRF, SQL injection remote execution lĂ  ils vont regarder ça

Ce qu’ils font, ils dĂ©sactivent le plugin, de nouveau ils essayent de contacter l’auteur, ils lui font corriger ou pas et dans ces cas lĂ  le plugin il tombe dans les limbes et c’est tout il ne peut pas ĂȘtre maintenu.

On ne laisse pas une faille comme ça sur le net.

Inversement si ça n’Ă©tait pas sur le dĂ©pĂŽt de wordpress, lĂ  vous devez contacter, on va dire que c’est un premium, vous contactez l’auteur de ce plugin premium, leur support qui, je j’espĂšre pour eux, sera assez rĂ©actif, puisque pour tout ce qui est produit payant normalement ils sont plus rĂ©actifs.

Donc pour mettre Ă  jour aussi leurs produits, vous leur laissez le temps de se mettre Ă  jour, publier le patch.

Je pense que souvent quand c’est une faille critique, ils en parlent, si c’est suffisamment dangereux ils font d’eux-mĂȘmes un article de blog lĂ -dessus.

S’ils ne le font pas alors que c’Ă©tait critique, lĂ  c’est dommage parce qu’on pense parfois que si on dit qu’on avait une grosse faille critique, c’est mal vu

Inversement, ce qu’il faut penser c’est qu’elle n’existe plus, nous l’avons corrigĂ©e, donc maintenant nous sommes plus secure qu’hier, donc c’est trĂšs important en fait finalement de le signaler et puis ça pousse les gens Ă  se mettre Ă  jour plus rapidement.

Si vous dites : « ouais j’ai encore fait une mise Ă  jour, j’ai encore fait une mise Ă  jour, oui bon… je la ferai le mois prochain !

Si vous dites « mise Ă  jour de sĂ©curitĂ© critique », lĂ  c’est bon, lĂ  on va la faire la mise Ă  jour, on ne va pas faire patienter c’est trop dangereux.

Voilà les bonnes recommandations, les bons comportements à avoir face à une faille de sécurité.

VoilĂ  Ă  quel endroit est-ce qu’on peut chercher de l’aide.

VoilĂ  qui on peut consulter, qui on peut alerter en cas de faille avĂ©rĂ©e bien sĂ»r et si vous n’ĂȘtes pas sĂ»r, encore une fois, vous demandez de l’aide autour de vous.

Est ce que tu as déjà trouvé toi un plugin avec des failles, au comportement bizarre ?

Alex : Non je n’ai jamais eu l’occasion, non.

Julio : Tant mieux, tant mieux !

Alex : OK super ! Merci d’avoir visionnĂ© cette vidĂ©o.

J’espĂšre que vous en savez un petit peu plus maintenant sur cette procĂ©dure Ă  suivre si jamais ça vous arrive et donc n’oubliez pas de vous abonner Ă  la chaĂźne YouTube de la Marmite et bien sĂ»r d’aller jeter un oeil Ă  SecuPress pour sĂ©curiser au mieux votre site.

Sur ce merci de nous avoir suivi et Ă  trĂšs bientĂŽt ciao !

Et vous ? Avez-vous déjà suspecté une faille de sécurité dans un plugin ?



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

Partagez
Tweetez
Partagez
ut Aliquam Sed id tempus commodo consequat. mattis eget felis mattis id