Faux-positifs d’alerte d’infection du site

Quelques jours auparavant, j’ai reçu un mail provenant du moteur de recherche Bing, m’informant de la présence d’un script malveillant sur mon site construit à l’aide de WordPress. Ce n’était certes pas la première fois que ce moteur de recherche m’informait de ce type d’événement, sans qu’il y ait eu d’infection ; un faux-positif. Premier réflexe, les outils de webmestre Google… Rien… Une petite analyse sur différents sites d’analyse en ligne… Rien…

Une petite visite sur les outils de webmestre Bing s’impose donc. 69 pages « infectées » mais impossible dans l’interface d’identifier le nom du fameux script malveillant ni même de voir le code en question. Pour analyser le problème, autant prendre une boule de cristal, cela ira plus vite… J’avoue d’ailleurs m’être demandé un instant, si ce n’était pas là non plus, leur méthode de traque. En attendant, mon site se voit, dans ce moteur de recherche, marqué du sceau de l’infamie informant les utilisateurs de la dangerosité du site et des risques de se voir infecter par quelque logiciel malveillant. Heureusement, ce moteur n’est pas celui qui draine le plus de trafic sur Internet, le mal est donc moindre.

Je mets quand même dans l’interface de gestion une remarque, soulignant le manque de pertinence de l’information d’une infection en l’absence de toute indication permettant de l’identifier lorsqu’ils sont les seuls à l’identifier, et que ce ne serait pas la première fois qu’un faux-positif soit découvert par le site. Autant dire que la remarque est gentillette au vu de l’angoisse ressentie à la réception du mail, du temps passé à se battre avec l’interface pour essayer de trouver des informations, du temps passé pour recouper les analyses sur différents sites et à tenter de diagnostiquer un problème dont on en vient à douter de son existence. Inutile de revenir l’immense joie, de voir son site affublé d’un avertissement dissuadant même les plus inconscients à visiter le site et de l’impact sur l’image du site. Pas besoin d’expliquer non plus que Microsoft étant une multinationale des plus sérieuses et particulièrement réputée pour la gestion de la sécurité, on bloque d’abord et on discute pas, sans même se poser la question de la pertinence de l’analyse.

Je laisse donc tomber.

Peu après, ayant publié un nouvel article, voulant vérifier le bon fonctionnement du cache, il me vient l’idée de vérifier la date de génération de la page récemment modifié. Je m’aperçois dans le pied de page, un peu par hasard, un script en JavaScript non crypté et ne correspondant pas à celui gérant les statistiques du site ou un autre que je connaisse. Je fais bien sûr immédiatement le lien avec le mail reçu quelque jours plus tôt et me demande donc si finalement, ce script ne pourrait pas être la fameuse « infection ».

Je tape les premières lignes de code dans Google et tombe sur un rapport d’analyse du site sucuri.net sur un autre site WordPress, faisant état d’un « Website Malware » nommé « malware-entry-mwanomalysp8 ». Sucuri.net étant un site que j’utilise régulièrement, et plutôt fiable, je commence à prendre cette fois les choses un peu plus au sérieux.

Vraiment au sérieux, parce que justement, cette fois, contrairement à l’outil précédent, on a un lien explicatif (même s’il est en anglais) sur la détection que je m’empresse de consulter. Je lis les explications qui me disent qu’un bloc de JavaScript ou de code dans une iframe a été identifié sur le site et que cela chargerait un code (potentiellement malicieux) d’un autre site. La conclusion du étant que le signalement de ce code ne résulte pas de l’identification d’une signature issue d’une base de virus mais d’un comportement anormal du site. Globalement, c’est probablement la même analyse qui a été faite avec les outils Bing, mais faite cette fois de manière un peu plus professionnelle (désolé je ne trouve pas d’autre mot) en indiquant le mode de détection et la menace détectée permettant d’initier des investigations. À partir de là, même si aucun virus n’a été formellement identifié (on peut donc légitimement se demander si ça valait bien le coup de bloquer le site), on doit cette fois prendre cette fois la menace au sérieux.

Je pousse un peu plus loin mes investigations et découvre finalement que ce code JavaScript est utilisé par mon extension de cache (HyperCache) pour gérer la mise en cache des commentaires et leurs auteurs sur mon site (fonctionnalité dont je ne me sert d’ailleurs plus). Tout cela pour ça. La désactivation de l’option a suffi à faire disparaître le fameux script suspect.

Je dois avouer que, n’utilisant pas les commentaires, je ne m’étais – à tord – pas intéressé suffisamment à cette fonctionnalité apparemment mal comprise par certains systèmes de sécurité un peu trop chatouilleux, ce qui m’a fait finalement perdre beaucoup de temps et quelques visiteurs.

Pour conclure, en cette période de questionnement sur une éventuelle position dominante de Google, on comprend que cette position repose quand même sur une qualité du travail fourni par rapport à ses concurrents. Depuis les nombreuses années d’existence de mon site, et de mon expérience dans le support de site WordPress, je ne suis rarement arrivé à le prendre en défaut sur ce type d’analyse au contraire de son concurrent qui m’a déjà fait plusieurs frayeurs dont je me serait bien passé. Ceux qui me connaissent, savent pourtant que l’on ne peut guère m’accuser de sympathie vis à vis de la firme de Mountain View et que je désespère de voir que cette entreprise à quel point, la firme a mis la barre très haut pour ses concurrents.

Il faut aussi arrêter d’avoir une confiance aveugle dans la technologie au point de bloquer inutilement à l’aide de messages anxiogènes sans s’inquiéter de la pertinence du travail d’un algorithme aussi intelligent soit-il et de crier « Au loup ! » avant même d’avoir réellement identifié la menace. L’humain a toujours sa place dans les processus technologiques, il faudrait voir à ne pas l’oublier.

Merci pour le blocage du site au passage sur une menace qui n’est pas identifiée, belle illustration sans doute de l’application aveugle du principe de précaution.

Doit-on systématiquement faire les mises à jour WordPress ?

Question récurrente sur le forum WordPress, mais qui se pose de manière beaucoup plus large, doit-on systématiquement faire les mises à jour ? C’est souvent source de débat sans fin entre deux extrêmes. Une qui considèrent que les mises à jour ne se résument qu’à un processus marketing destiné à vendre du conseils, des services ou des antivirus et la seconde ou que ces mises à jour sont absolument indispensables et qu’elles doivent être faite systématiquement sans attendre.

Pour moi, c’est un faux débat qui n’a pas lieu de provoquer de polémique et qui dont la solution se trouve dans un théorème simple qui se résume à ces deux questions :

 « Est-ce que votre application est accessible à un public restreint ? Êtes-vous en mesure de dire et comprendre quels sont les correctifs de sécurité apportés par la mise à jour ? »

 Si vous répondez oui à au moins une des deux questions, les mises à jour n’ont pas besoin d’être appliquées systématiquement. Dans tous les autres cas, les mises à jour doivent être systématiquement appliquées sans se poser de questions.

Cela, est bien sûr valable pour WordPress, ses extensions, ou ses thèmes, mais le concept est beaucoup plus général et peut être étendu à l’informatique dans sont ensemble. Essayez avec votre système d’exploitation, vous verrez que cela fonctionne également.

Mise à jour de sécurité Mailpoet wysija-newsletters à faire d’urgence

Suite à la découverte d’une faille de sécurité en début de mois sur l’extension Mailpoet wysija-newsletters faites d’urgence la mise à jour de l’extension. Vérifiez sur le site que vous disposez au minimum de la version 2.6.8.
En effet ces derniers jours les attaques et les infections se multiplient ces derniers jours sur

C’est encore une fois la bonne occasion de rappeler l’importance de faire les mises à jour régulièrement, en particulier lors de publication de correctifs de sécurité

Relayez l’information autour de vous le plus largement possible pour mettre fin à cette vague d’attaque.

1 3 4 5 6 7