Google a mis en liste noire plus de 11 000 domaines suite à la détection d’un malware baptisé SoakSoak. Les experts ont découvert que le vecteur d’attaque est RevSlider, un plugin de slideshow pour WordPress très populaire (utilisé sur ce blog!). La campagne malveillante a exploité une faille dans ce plugin. La plupart du temps, ces attaques sont surmontées par des mises à jour logicielles qui comportent les correctifs nécessaires. Mais, dans le cas de RevSlider, la situation a dégénérée pour deux raisons, d’une part parce que l’éditeur n’as pas suffisamment insisté sur l’urgence de la mise à jour, d’autre part parce que l’intégration de ce plugin ne facilite pas sa mise à jour. La qualité du plugin lui avait valu d’être intégrée par défaut comme solution de slideshow sur bon nombre de thème WordPress. Du coup, le plugin n’est pas recensé dans le journal des mises à jour des plugins, et il convient d’effectuer la mise à jour du plugin manuellement, sans toucher au reste du thème. En plus, pour ne rien arranger, certaines versions du plugin sont payantes, ce qui pu éventuellement dissuader certains blogueurs d’envisager la mise à jour.
Résultat : plus de 11 000 sites WordPress ont été corrompus, détectés comme malveillants par les systèmes de sécurité de Google et finalement blacklistés par Google (qui affiche dans ce cas un message d’alerte à l’attention de l’internaute lorsque celui-ci tente de se connecter).
Da façon plus générale, il faut rappeler que les malwares sont un mal quotidien qui touche en permanence le web. L’agence de sécurité Sucuri a par exemple annoncé avoir identifié des failles sur plus de 100 000 sites WordPress, à travers des plugins très populaires dont l’incontournable All In One SEO Pack (qui totalise à lui seul 2à millions de téléchargements).
La morale de cette histoire est double. Côté développeurs, c’est une faute que de sous-estimer la portée d’un problème de sécurité ; en minimisant la faille de son logiciel, le développeur a sapé l’outil de travail de milliers d’utilisateurs. Côté utilisateurs, on ne saurait trop leur conseiller d’ouvrir occasionnellement le capot du moteur de blog, histoire de prévenir plutôt que guérir. C’est cette recommandation qui a sauvé ce blog de la disgrâce de googelienne!