Problèmes potentiels liés aux plugins Web de tiers

8 Avr 2019

Les boutiques en ligne, les portails d’information, et bien d’autres ressources reposent souvent sur des plateformes qui fournissent un ensemble d’outils prêts à l’emploi aux développeurs. Notre blog, par exemple, a été construit en suivant cette idée. Ces caractéristiques se présentent généralement sous la forme de plugins, et permettent aux utilisateurs de les ajouter si besoin. D’une part, ce système est pratique puisque les développeurs n’ont pas besoin de se réinventer chaque fois qu’ils ont besoin d’un outil ou d’une caractéristique en particulier. D’autre part, plus vous avez de développements tiers sur votre site Internet, plus vous risquez de rencontrer des difficultés.

Le problème des plugins

Un plugin est un petit modèle logiciel qui ajoute des fonctionnalités au site, ou les améliore. Par exemple, certains plugins affichent les widgets des réseaux sociaux, recueillent des statistiques, et créent des questionnaires, ou tout autre genre de contenu.

Si vous connectez un plug-in au moteur de votre site Internet, il s’exécute automatiquement et ne vous dérange qu’en cas d’erreur dans l’opération, c’est-à-dire si quelqu’un remarque l’erreur. Il s’agit du principal danger de ces modules : si le créateur abandonne son plugin, ou le vend à un autre développeur, il est fort probable que vous ne vous en rendiez pas compte.

Des plugins qui fuitent

Les plugins qui n’ont pas été mis à jour depuis des années contiennent sûrement des vulnérabilités non corrigées qu’un pirate informatique pourrait exploiter pour prendre le contrôle de votre site Internet, ou pour y télécharger un enregistreur de frappes (keylogger), un mineur de crypto-monnaie, ou tout ce dont il aurait envie.

Même lorsqu’une mise à jour est disponible, les propriétaires des sites Internet les ignorent souvent, et les modules vulnérables peuvent encore être actifs des années après que l’assistance ait été terminée.

Les créateurs de plugins corrigent parfois ces vulnérabilités mais, pour quelque raison que ce soit, ces patchs ne sont pas installés automatiquement. Par exemple, dans certains cas, les auteurs du module oublient tout simplement de modifier le numéro de version de la mise à jour. Par conséquent, les clients qui font confiance aux mises à jour automatiques pour ne pas avoir à tout vérifier manuellement se retrouvent avec des plugins obsolètes.

Remplacement du plugin

Certaines plateformes de gestion du contenu de sites Internet bloquent le téléchargement des modules qui ne sont plus supportés. Un développeur, ou une plateforme, ne peut pourtant pas supprimer les plugins vulnérables des sites Internet des utilisateurs. Cela provoquerait des perturbations, ou pire.

De plus, les plugins abandonnés ne peuvent pas être conservés sur la plateforme, mais sur les services publics disponibles. Lorsque le créateur arrête la maintenance, ou supprime un module, votre site Internet continue d’accéder au conteneur dans lequel il se trouve. Les cybercriminels peuvent facilement capturer ou cloner ce conteneur abandonné, et obliger la ressource à télécharger un malware au lieu du plugin.

C’est exactement ce qu’il s’est passé avec le compteur de tweets New Share Counts, hébergé dans le Cloud d’Amazon S3. Une fois l’assistance du plugin terminée, le développeur a publié un message à ce sujet sur son site Internet, mais plus de 800 clients ne l’ont pas lu.

Peu après, l’auteur du plugin a fermé le conteneur sur Amazon S3, et les cybercriminels ont sauté sur l’occasion. Ils ont utilisé le même nom pour créer un stockage et y ont inclus un script malveillant. Les sites Internet qui utilisaient encore le plugin ont commencé à charger le nouveau code qui redirigeait les utilisateurs vers une ressource d’hameçonnage, qui vous promettait de gagner quelque chose si vous répondiez à un questionnaire, au lieu d’accéder au compteur de tweets.

Changement de propriétaire, utilisateurs ignorants

Parfois, au lieu d’abandonner leurs créations, les développeurs les vendent et ils ne sont pas tous très regardants sur l’acheteur, ce qui signifie qu’un cybercriminel peut facilement obtenir un module. Dans ce cas, la prochaine mise à jour pourrait installer un malware sur votre site Internet.

La détection de ce genre de plugins est particulièrement difficile et souvent aléatoire.

Surveillez les plugins de votre site

Comme vous pouvez le voir, il existe plusieurs méthodes permettant d’infecter un site Internet grâce aux plugins, et la plateforme d’accueil ne peut pas toutes les neutraliser avec succès. Par conséquent, nous vous conseillons de surveiller de manière indépendante la sécurité des plug-ins de votre site Internet.

  • Réalisez une liste des plugins utilisés par vos ressources, ainsi que des informations de stockage. Vérifiez-les et mettez-les à jour régulièrement.
  • Lisez les informations publiées par les développeurs des logiciels tiers que vous utilisez, et sur les sites Internet qui les distribuent.
  • Ayez toujours vos plugins à jour. S’ils ne sont plus maintenus, supprimez-les dès que possible.
  • S’il s’avère que vous n’avez plus besoin d’un des sites Internet de votre entreprise et que vous arrêtez sa maintenance, pensez à supprimer tout le contenu, y compris tous les plugins. Autrement ce n’est qu’une question de temps avant que des vulnérabilités se faufilent, et que les cybercriminels les utilisent pour menacer votre entreprise.
  • Les employés qui travaillent avec des sites Internet accessibles au public devraient suivre une formation pour savoir comment gérer les menaces informatiques actuelles ; par exemple avec l’aide de notre plateforme ASAP.