Sur plus d’un milliard de sites web sur Internet, plus d’un tiers ont été conçus et alimentés par quatre « Content Management Systems »(CMS – Systèmes de gestion de contenu) : WordPress, Joomla!, Drupal et Magento. Le défaut de mise à jour des CMS est souvent la cause des failles, selon une récente étude de la firme américaine SUCURI.
Dans un rapport consacré aux « Tendances de piratage des sites web », au premier trimestre 2016, la société SUCURI Security estime que les trois plateformes « Content Management Systems »(CMS – Systèmes de gestion de contenu) les plus être touchées sont WordPress, Joomla! et Magento. « Mais cela ne veut pas impliquent ces plateformes sont plus ou moins sûres que d’autres », explique l’étude.
SUCURI Security estime que sur plus d’un milliard de sites web actuellement en ligne, plus d’un tiers ont été conçus et alimentés par quatre CMS, à savoir WordPress, Joomla !, Drupal et Magento. Le CMS WordPress détient plus de 60% de parts de marché, mais représente 75% des sites Web infectés (contre 14% pour Joomla!). « Cette explosion et domination de WordPress est facilitée par l’adoption mondiale des utilisateurs d’une plate-forme très extensible, concentrée sur les utilisateurs finaux », affirme l’étude. Le document explique aussi que d’autres CMS ont « connu une croissance dans plusieurs marchés de niche ». Il s’agit de Magento « dans le domaine du commerce en ligne, et Drupal très utilisé par les grandes entreprises et les organismes fédéraux. Cependant, une large adoption d’un CMS n’est pas sans dangers. Elle pose des « défis sérieux à l’Internet dans son ensemble », car elle « introduit un grand afflux de webmasters et de fournisseurs de services non qualifiés responsables pour le déploiement et l’administration de ces sites.
« Cette évaluation est amplifiée dans notre analyse, ce qui montre que sur plus de 11.000 sites Web infectés analysés, 75% d’entre eux étaient sur la plateforme WordPress et plus de 50% de ces sites ont été mis à jour. Comparez cela à d’autres plateformes similaires qui ont placé moins l’accent sur la compatibilité, comme Joomla! et Drupal, le pourcentage de logiciels non mis-à-jour était supérieur à 80% », lit-on dans le document.
Selon l’étude, « Google rapporte, en mars 2016, que plus de 50 millions internautes Web ont été accueillis avec l’avertissement que des sites Web visités ont soit tenté de voler des informations privées ou d’installer des logiciels malveillants ». Un an plus tôt, « ce nombre était 17 millions ». Actuellement, Google met sur blackliste près de 20.000 sites par semaine pour les logiciels malveillants et quelque 50.000 par semaine pour phishing. « Ces chiffres ne reflètent que les infections qui ont un effet négatif immédiat sur le visiteur, et ne comprennent pas les sites Web infectés par le spam SEO et d’autres tactiques non détectées par ces entreprises », explique SUCURI Security.
Composants vulnérables et défaut de mise à jour
En dehors des statistiques d’infection par CMS, l’étude estime que « dans tous les cas, quelle que soit la plateforme, la principale cause de l’infection pourrait être attribuée à l’exploitation des vulnérabilités logicielles dans les modules d’extension (plugins, ndlr) de la plateforme, et non pas son noyau ». Les principales sources de vulnérabilité dans WordPress sont les plugins « RevSlider » et « GravityForms » et le script « TimThumb ». Pour Magento, c’est le plugin « ShopLift Supee 5344 », patché en 2015, la vulnérabilité « Remote Code Execution – RCE » ou encore « Stored Crosssite Scripting (XSS). « Mais La vulnérabilité de Shoplift est la plus grave » connue concernant Magento.
L’étude de SUCURI Security insiste sur l’aspect « mise à jour » des plateformes CMS. A ce titre, sur plus de 11.000 sites infectés répertoriés, WordPress avait un taux appréciable de 56% de plugins non mis-à-jour, mais bien loin des plateformes Joomla! (84%), Magento (96%), et Drupal (81%). Sur les 11.000 sites analysés, 4.900 contenaient des backdoors (portes dérobées) pouvant surveiller l’utilisateur ou lui injecter des virus, indique le rapport.
Le défi de la mise à jour « provient principalement de trois sources », estime l’étude qui cite les « déploiements hautement personnalisés », des « problèmes avec la compatibilité ascendante », et le « manque de personnel disponible pour aider dans la migration ». Les propriétaires de sites « sont incapables de suivre les menaces émergentes », de plus, « les conseils qu’ils reçoivent à « rester à jour » ou « simplement mettre à jour » ne sont pas suffisants », explique-t-on.
En conclusion, l’étude estime que s’il y a quelque chose à retenir c’est que « le logiciel vulnérable est un gros problème », et que l’argument selon lequel les « propriétaires de sites doivent simplement mettre à jour, ne va pas être suffisant ». Car la plupart de ces sites « ne sont qu’une pièce dans environnement complexe ». Les propriétaire des sites ne doivent pas « se concentrer » seulement sur les aspects de sécurité de WordPress, Joomla!, Magento ou Drupal, mais plutôt sur toutes les plateformes dans le même environnement pour « éviter des problèmes comme la contamination inter-site ». Ce qui reste « très compliqué » par les « différents déploiement et options de configuration » possibles, ainsi que le « manque général de connaissances par le propriétaire des sites Web ». L’étude conclue en regrettant que « la diffusion des connaissances et de l’éducation ne soit pas aussi rapide que son adoption par les utilisateurs ».
