All-In-One Security, un plugin de sécurité WordPress installé sur plus d’un million de sites Web, a publié une mise à jour de sécurité après avoir été surpris il y a trois semaines en enregistrant des mots de passe en clair et en les stockant dans une base de données accessible aux administrateurs de sites Web.
Les mots de passe ont été enregistrés lorsque les utilisateurs d’un site utilisant le plugin, généralement abrégé en AIOS, se sont connectés, a déclaré jeudi le développeur d’AIOS. Le développeur a déclaré que la journalisation était le résultat d’un bogue introduit en mai dans la version 5.1.9. La version 5.2.0 publiée jeudi corrige le bogue et « supprime également les données problématiques de la base de données ». La base de données était accessible aux personnes ayant un accès administratif au site Web.
Une transgression sécuritaire majeure
Un représentant d’AIOS a écrit dans un e-mail que « pour tirer quoi que ce soit de ce défaut, il faut être connecté avec les privilèges administratifs du plus haut niveau, ou l’équivalent. c’est-à-dire qu’il peut être exploité par un administrateur malhonnête qui peut déjà faire de telles choses parce qu’il est un administrateur.
Cependant, les praticiens de la sécurité exhortent depuis longtemps les administrateurs à ne jamais stocker les mots de passe en clair, étant donné la facilité relative que les pirates ont eue pendant des décennies pour violer les sites Web et s’enfuir avec les données qui y sont stockées. Dans ce contexte, l’écriture de mots de passe en clair dans n’importe quel type de base de données, peu importe qui y a accès, représente une transgression de sécurité majeure.
Le seul moyen acceptable de stocker des mots de passe pendant plus de deux décennies est un hachage cryptographique généré à l’aide de ce qui est souvent qualifié d’algorithme lent, ce qui signifie qu’il faut du temps et des ressources informatiques supérieures à la moyenne pour être déchiffré. Cette précaution agit comme une sorte de police d’assurance. Si une base de données est piratée, les acteurs de la menace auront besoin de temps et de ressources informatiques pour convertir les hachages en texte clair correspondant, donnant aux utilisateurs le temps de les modifier. Lorsque les mots de passe sont forts, c’est-à-dire composés d’au moins 12 caractères, générés de manière aléatoire et uniques à chaque site, il est généralement impossible pour la plupart des pirates de les déchiffrer lorsqu’ils sont hachés avec un algorithme lent.
Les processus de connexion de certains services plus importants utilisent souvent des systèmes qui tentent de protéger le contenu en clair, même du site lui-même. Cependant, il reste courant que de nombreux sites aient brièvement accès au contenu en clair avant de le transmettre à l’algorithme de hachage.
Le bogue de journalisation des mots de passe est apparu il y a au moins trois semaines dans un forum WordPress lorsqu’un utilisateur a découvert le comportement et s’est inquiété dans un message que cela entraînerait l’échec de l’organisation à un prochain examen de sécurité par des auditeurs de conformité tiers. Le même jour, un représentant d’AIOS a répondu : « Il s’agit d’un bogue connu dans la dernière version. » Le représentant a fourni un script censé effacer les données enregistrées. L’utilisateur a signalé que le script ne fonctionnait pas.
L’utilisateur a également demandé pourquoi AIOS ne rendait pas un correctif généralement disponible à ce moment-là, en écrivant :
C’est un énorme problème. N’importe qui, comme un entrepreneur, a accès au nom d’utilisateur et aux mots de passe de tous les autres administrateurs du site.
De plus, comme notre pentesting l’a documenté, les entrepreneurs et les concepteurs de sites ont de très mauvaises pratiques de mot de passe. Les informations d’identification de notre contrat sont les mêmes que celles qu’ils utilisent sur TOUS LEURS AUTRES SITES CLIENTS (et leurs Gmail et Facebook).
AIOS offre principalement des conseils de mot de passe solides
L’avis de jeudi indiquait: « Ce problème était important à rectifier et nous nous excusons pour le laps de temps ». Il a poursuivi en réitérant les conseils standard, notamment:
- Assurez-vous qu’AIOS et tous les autres plugins que vous utilisez sont à jour. Cela garantit que toutes les vulnérabilités identifiées par les développeurs ou la communauté sont corrigées, ce qui contribue à la sécurité de votre site. Vous pouvez voir quelle version du plugin vous utilisez dans votre tableau de bord. Vous serez informé de toute mise à jour en attente dans l’écran du plugin sur le tableau de bord WordPress. Ces informations sont également disponibles dans la section des mises à jour du tableau de bord WordPress. Un plugin comme « Easy Updates Manager » peut vous aider à automatiser ce processus
- Changez régulièrement tous les mots de passe, surtout si vous pensez que votre mot de passe a été compromis. Cela empêchera toute personne disposant de vos informations de connexion de causer des dommages à votre site ou d’accéder à vos données.
- Activez toujours l’authentification à deux facteurs sur vos comptes (WordPress et autres). Cette couche de protection supplémentaire fonctionne en vérifiant votre connexion via un deuxième appareil tel que votre téléphone portable ou votre tablette. C’est l’un des moyens les plus simples et les plus efficaces de garder vos données hors de portée des pirates : avec l’authentification à deux facteurs, un mot de passe volé ne permet toujours pas à un attaquant de se connecter à un compte. AIOS inclut un module d’authentification à deux facteurs pour protéger vos sites WordPress.
Bien que la plupart des conseils soient judicieux, la recommandation de changer régulièrement de mot de passe est obsolète. Ces dernières années, les praticiens de la sécurité ont conclu que les changements de mot de passe peuvent faire plus de mal que de bien lorsqu’il n’y a aucune raison de suspecter un compte compromis. Le raisonnement : les changements de mot de passe réguliers encouragent les utilisateurs à choisir des mots de passe plus faibles. Microsoft a qualifié cette pratique d' »ancienne et obsolète ».
Toute personne utilisant AIOS doit installer la mise à jour dès que possible et s’assurer que la suppression du journal fonctionne comme décrit. Les utilisateurs finaux ou les administrateurs qui soupçonnent que leur mot de passe a été capturé par un site Web utilisant AIOS doivent le modifier sur ce site et, s’ils utilisent le même mot de passe sur d’autres sites, ces autres sites également.