Tous les sites WordPress courent un risque à cause de l'absence de CSPRNG

faille-wordpress

Un pirate pourrait prendre le contrôle complet d’un site WordPress à cause de l’absence d’un générateur de nombres pseudo-aléatoires (CSPRNG). Un CSPRNG est un mécanisme qui produit des nombres aléatoires sur un ordinateur. Ensuite, on les utilise dans la cryptographie pour générer des clés ou des Salts. Ce sont des nombres pseudo-aléatoires parce qu’un nombre totalement aléatoire est uniquement possible sur un niveau théorique.

La faille de sécurité est difficile à exploiter

Cette faille dans WordPress a été découverte par Scott Arciszewski, un développeur web basé à Orlando en Floride. Il a informé les développeurs de WordPress à plusieurs reprises d’intégrer un mécanisme de type CSPRNG pour éviter le moindre risque que quelqu’un puisse prédire les Tokens pour réinitialiser les mots de passe. Quelqu’un qui pourrait exploiter cette faille pourrait prendre le contrôle total d’un site WordPress. Mais les développeurs de WordPress tardent à réagir sans doute parce qu’il n’existe aucune preuve à l’appui de la démonstration de cette faille.

Les développeurs de WordPress s’en foutent !

Arciszewski a déclaré qu’il a tenté d’attirer l’attention des développeurs WordPress à plusieurs reprises sans aucun résultat. Mais le développeur propose des instructions détaillés pour implémenter ce mécanisme de type CSPRN en modifiant les fichiers de WordPress. Ces manipulations sont réservés aux utilisateurs expérimentés. Par ailleurs, même si la faille existe, il est peu probable que les pirates s’en servent à grande échelle à cause de la complexité de l’exploit. En effet, les plugins et les thèmes WordPress recèlent des failles bien plus faciles à exploiter, mais il est surprenant que les développeurs de WordPress ne prennent même pas la peine de regarder cette faille.

 

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s