{"id":11590,"date":"2019-04-08T12:15:40","date_gmt":"2019-04-08T12:15:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11590"},"modified":"2019-11-22T08:52:42","modified_gmt":"2019-11-22T08:52:42","slug":"dangerous-plugins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dangerous-plugins\/11590\/","title":{"rendered":"Probl\u00e8mes potentiels li\u00e9s aux plugins Web de tiers"},"content":{"rendered":"

Les boutiques en ligne, les portails d\u2019information, et bien d\u2019autres ressources reposent souvent sur des plateformes qui fournissent un ensemble d\u2019outils pr\u00eats \u00e0 l\u2019emploi aux d\u00e9veloppeurs. Notre blog, par exemple, a \u00e9t\u00e9 construit en suivant cette id\u00e9e. Ces caract\u00e9ristiques se pr\u00e9sentent g\u00e9n\u00e9ralement sous la forme de plugins, et permettent aux utilisateurs de les ajouter si besoin. D\u2019une part, ce syst\u00e8me est pratique puisque les d\u00e9veloppeurs n\u2019ont pas besoin de se r\u00e9inventer chaque fois qu\u2019ils ont besoin d\u2019un outil ou d\u2019une caract\u00e9ristique en particulier. D\u2019autre part, plus vous avez de d\u00e9veloppements tiers sur votre site Internet, plus vous risquez de rencontrer des difficult\u00e9s.<\/p>\n

Le probl\u00e8me des plugins<\/strong><\/p>\n

Un plugin est un petit mod\u00e8le logiciel qui ajoute des fonctionnalit\u00e9s au site, ou les am\u00e9liore. Par exemple, certains plugins affichent les widgets des r\u00e9seaux sociaux, recueillent des statistiques, et cr\u00e9ent des questionnaires, ou tout autre genre de contenu.<\/p>\n

Si vous connectez un plug-in au moteur de votre site Internet, il s\u2019ex\u00e9cute automatiquement et ne vous d\u00e9range qu\u2019en cas d\u2019erreur dans l\u2019op\u00e9ration, c\u2019est-\u00e0-dire si quelqu\u2019un remarque l\u2019erreur. Il s\u2019agit du principal danger de ces modules\u00a0: si le cr\u00e9ateur abandonne son plugin, ou le vend \u00e0 un autre d\u00e9veloppeur, il est fort probable que vous ne vous en rendiez pas compte.<\/p>\n

Des plugins qui fuitent<\/strong><\/p>\n

Les plugins qui n\u2019ont pas \u00e9t\u00e9 mis \u00e0 jour depuis des ann\u00e9es contiennent s\u00fbrement des vuln\u00e9rabilit\u00e9s non corrig\u00e9es qu\u2019un pirate informatique pourrait exploiter pour prendre le contr\u00f4le de votre site Internet, ou pour y t\u00e9l\u00e9charger un enregistreur de frappes (keylogger<\/a>), un mineur de crypto-monnaie, ou tout ce dont il aurait envie.<\/p>\n

M\u00eame lorsqu\u2019une mise \u00e0 jour est disponible, les propri\u00e9taires des sites Internet les ignorent souvent, et les modules vuln\u00e9rables peuvent encore \u00eatre actifs des ann\u00e9es apr\u00e8s que l\u2019assistance ait \u00e9t\u00e9 termin\u00e9e.<\/p>\n

Les cr\u00e9ateurs de plugins corrigent parfois ces vuln\u00e9rabilit\u00e9s mais, pour quelque raison que ce soit, ces patchs ne sont pas install\u00e9s automatiquement. Par exemple, dans certains cas, les auteurs du module oublient tout simplement de modifier le num\u00e9ro de version de la mise \u00e0 jour. Par cons\u00e9quent, les clients qui font confiance aux mises \u00e0 jour automatiques pour ne pas avoir \u00e0 tout v\u00e9rifier manuellement se retrouvent avec des plugins obsol\u00e8tes.<\/p>\n

Remplacement du plugin<\/strong><\/p>\n

Certaines plateformes de gestion du contenu de sites Internet bloquent le t\u00e9l\u00e9chargement des modules qui ne sont plus support\u00e9s. Un d\u00e9veloppeur, ou une plateforme, ne peut pourtant pas supprimer les plugins vuln\u00e9rables<\/a> des sites Internet des utilisateurs. Cela provoquerait des perturbations, ou pire.<\/p>\n

De plus, les plugins abandonn\u00e9s ne peuvent pas \u00eatre conserv\u00e9s sur la plateforme, mais sur les services publics disponibles. Lorsque le cr\u00e9ateur arr\u00eate la maintenance, ou supprime un module, votre site Internet continue d\u2019acc\u00e9der au conteneur dans lequel il se trouve. Les cybercriminels peuvent facilement capturer ou cloner ce conteneur abandonn\u00e9, et obliger la ressource \u00e0 t\u00e9l\u00e9charger un malware au lieu du plugin.<\/p>\n

C\u2019est exactement ce qu\u2019il s\u2019est pass\u00e9 avec le compteur de tweets New Share Counts<\/a>, h\u00e9berg\u00e9 dans le Cloud d\u2019Amazon S3. Une fois l\u2019assistance du plugin termin\u00e9e, le d\u00e9veloppeur a publi\u00e9 un message \u00e0 ce sujet sur son site Internet, mais plus de 800 clients ne l\u2019ont pas lu.<\/p>\n

Peu apr\u00e8s, l\u2019auteur du plugin a ferm\u00e9 le conteneur sur Amazon S3, et les cybercriminels ont saut\u00e9 sur l\u2019occasion. Ils ont utilis\u00e9 le m\u00eame nom pour cr\u00e9er un stockage et y ont inclus un script malveillant. Les sites Internet qui utilisaient encore le plugin ont commenc\u00e9 \u00e0 charger le nouveau code qui redirigeait les utilisateurs vers une ressource d\u2019hame\u00e7onnage, qui vous promettait de gagner quelque chose si vous r\u00e9pondiez \u00e0 un questionnaire, au lieu d\u2019acc\u00e9der au compteur de tweets.<\/p>\n

Changement de propri\u00e9taire, utilisateurs ignorants<\/strong><\/p>\n

Parfois, au lieu d\u2019abandonner leurs cr\u00e9ations, les d\u00e9veloppeurs les vendent et ils ne sont pas tous tr\u00e8s regardants sur l\u2019acheteur, ce qui signifie qu\u2019un cybercriminel peut facilement obtenir un module. Dans ce cas, la prochaine mise \u00e0 jour pourrait installer un malware sur votre site Internet.<\/p>\n

La d\u00e9tection de ce genre de plugins est particuli\u00e8rement difficile et souvent al\u00e9atoire.<\/p>\n

Surveillez les plugins de votre site<\/strong><\/p>\n

Comme vous pouvez le voir, il existe plusieurs m\u00e9thodes permettant d\u2019infecter un site Internet gr\u00e2ce aux plugins, et la plateforme d\u2019accueil ne peut pas toutes les neutraliser avec succ\u00e8s. Par cons\u00e9quent, nous vous conseillons de surveiller de mani\u00e8re ind\u00e9pendante la s\u00e9curit\u00e9 des plug-ins de votre site Internet.<\/p>\n