Pirater un million de sites web pour oublier de verrouiller sa propre porte : difficile d’inventer pareille ironie. C’est pourtant exactement ce qui vient de se produire avec un groupe cybercriminel dont les chercheurs en sécurité ont pu observer le mode opératoire en temps réel, pendant trois semaines entières.
Les faits sont aussi simples que savoureux. Le groupe en question a mené une campagne d’exploitation massive ciblant des sites tournant sous WordPress et Joomla, deux CMS qui propulsent ensemble une part considérable du web mondial. La méthode utilisée ne relevait pas du génie : des failles publiques, connues, documentées, balayées à grande échelle via des outils de scan automatisés. L’équivalent numérique de tenter chaque serrure d’un immeuble avec un passe-partout vendu en quincaillerie.
Plus d’un million de cibles auraient ainsi été scannées et piégées. Le tableau d’ensemble dessine une opération industrielle, sans finesse particulière, mais potentiellement très rentable si elle aboutit à des prises de contrôle, des injections de malwares ou des vols de données.
Sauf que le groupe a commis une bourde monumentale : son propre serveur de travail, celui depuis lequel étaient orchestrées toutes ces opérations, est resté grand ouvert pendant vingt-et-un jours. Pas de protection, pas d’accès restreint, tout en libre consultation pour quiconque savait où regarder. Les chercheurs en cybersécurité qui l’ont découvert ont pu documenter méthodiquement l’intégralité du dispositif.
Un cybercriminel qui oublie de sécuriser son propre serveur, c’est l’équivalent d’un cambrioleur qui laisse sa carte de visite sur les lieux du crime.
Ce type d’erreur opérationnelle n’est pas si rare dans le milieu, mais elle prend ici une dimension particulièrement instructive. Elle révèle d’abord que la sophistication technique d’une attaque ne présuppose absolument rien sur la rigueur de ceux qui la mènent. On peut automatiser des scans sur un million de sites et rater la base : appliquer à soi-même les règles de sécurité élémentaires qu’on exploite chez les autres.
Elle illustre ensuite pourquoi la cybersécurité offensive et défensive restent un jeu d’humains avant d’être un jeu de machines. L’outil automatisé ne fait pas d’erreur ; l’opérateur derrière, si. Les systèmes de détection, les honeypots, la veille active des chercheurs tirent leur efficacité précisément de ces moments où l’attaquant baisse sa garde.
Pour les millions de propriétaires de sites WordPress ou Joomla, le message est moins réjouissant : les campagnes de ce type, opportunistes et massives, ne ciblent personne en particulier. Elles frappent ce qui traîne : extensions non mises à jour, mots de passe faibles, configurations par défaut laissées telles quelles. La meilleure défense reste la maintenance la plus banale qui soit.
Quant aux hackers exposés, leur serveur grand ouvert leur a probablement coûté plus cher que n’importe quelle contre-offensive. La prochaine fois, ils penseront peut-être à installer un pare-feu chez eux avant de s’attaquer au reste du web.
En savoir plus sur Glorieux Geek
Subscribe to get the latest posts sent to your email.

