Alerte FBI : Blindez WordPress pour éviter la défiguration de vos sites Web
Le FBI veut endiguer les risques de défacement des sites Web réalisés au nom du cyber-djihadisme. Mais on trouve souvent derrière juste des script kiddies.
Aux Etats-Unis, le FBI s’inquiète de la vague de défigurations de sites Web sous WordPress pour des raisons de cyber-djihadisme, mêlant hacktivisme et terrorisme.
Le 7 avril, l’agence de police fédérale a émis une alerte relative à des attaques par l’intermédiaire de vulnérabilités exploitées dans l’outil de gestion de contenus (CMS) open source.
Ces assauts consistent à dégrader des pages Web ou bien en changer complètement le contenu d’un site Web (généralement la page d’accueil, gage de visibilité directe, est visé en premier lieu).
Le FBI pointe du doigt les offensives Web revendiquées par l’organisation terroriste Etat islamique qui sévit en Syrie et en Irak.
Mais c’est parfois compliqué d’identifier les réels auteurs : des script kiddies (« pirates en herbe ») cachent leurs méfaits en exploitant le contexte de menaces terroristes.
Ils utilisent des techniques d’amateurs de détournement de site Web en ayant recours à des outils de hacking faciles à dénicher sur Internet.
Au-delà de la menace des « petits malins du Web », les Etats-Unis et la France demeurent des cibles privilégiées pour des actions perpétrées via la Web au nom du cyber-djihadisme.
Début 2015, l’ANSSI (agence nationale de sécurité IT) avait émis une alerte dans ce sens sur fond de recrudescence des assauts en vue de défacements de sites Web français.
De son côté, le FBI signale dans son alerte des défigurations ayant affecté les activités et la communication de groupes médias ou à vocation commerciale, des instituts de nature religieuse, des gouvernements d’Etat…Et plus globalement un certain nombre de sites Web nationaux ou internationaux.
Pour éviter ce genre de désagrément, il est recommandé aux éditeurs de mettre à jour la plateforme WordPress et les fonctions déployées sous forme d’extensions (plug-in) qui sont associées au CMS.
Des outils de vérification de la sécurité IT sont mis à disposition des webmasters et des développeurs comme Security Focus ou Mitre.
Parallèlement, le FBI signale avoir reçu une série de plaintes portant sur des faux sites Web gouvernementaux visant à récupérer des données personnelles des internautes.
Rien de nouveau sous le soleil des menaces IT mais le FBI souligne qu’une campagne a été identifiée dans la période mai 2012 – mars 2015.
http://www.silicon.fr/alertes-aux-attaques-par-defacement-de-sites-wordpress-113372.html
(Crédit photo : Shutterstock.com – Droit d’auteur : Gil C)