Les arnaques sur le web sont légions, de la nigériane en passant par les vendeurs de rêve… Un nouveau type d’arnaque semble voir le jour et elle concerne WordPress !
Le dialogue que vous allez lire ci-après est l’extrait partiel d’un chat que nous avons eu
sur le support de WP Serveur. Un certain “Alexandre” se présente en tant qu’Expert Sécurité Offensive pour WordPress…
Alexandre
Je ne suis pas un client mais un expert en sécurité offensive spécialisé sur WordPress J’ai remarqué énormément de failles de sécurités sur votre site WPSERVEUR au niveau de plusieurs plugins. Il serait peut-être bon de faire remonter le problème à votre service technique!
Des failles SQL, XSS et d’autres… Vous avez 5 minutes à me consacrer ?
Céline de WPS
Sur quels plugins ? car nous en utilisons très peu
Alexandre
Je vous dis lesquels dans 5 minutes
Céline de WPS
Pouvez vous me laisser vos coordonnées ?
Alexandre
je vous fais le listing
Céline de WPS
Donnez moi vos coordonnées, Fabrice va vous contacter à la fin de son RDV
Alexandre
Je peux patienter ! Rassurez-vous je ne suis pas un hacker, j’aide les webmaster à sécuriser les installations WordPress
Fabrice de WPS
Bonjour Alexandre,
Céline m’a fait part de votre remarque concernant des failles dans certains de nos plugins WordPress?
Alexandre
Oui, vous êtes le gérant de WPServeur ?
Fabrice de WPS
oui tout à fait
Alexandre
D’accord, parfait ! Donc comme je disais à Céline, n’ayant aucune crainte, je ne suis pas un hacker
Fabrice de WPS
Je suis rarement inquiet, curieux surement mais pas inquiet
Alexandre
Sur Internet il faut se méfier ! Je termine les quelques vérifications sur les plugins là.
Vous utilisez Divi 2.4 en theme ?
Fabrice de WPS
non !
Alexandre
D’accord
Vous êtes le WP ENGINE à la Francaise ;)
Fabrice de WPS
on essaie
Alexandre
C’est bien ! Vous avez un rapport avec WPFORMATION ?
Fabrice de WPS
Nous sommes très proches en effet… Sic !
Alexandre
D’accord, j’ai vu un encart publicitaire c’est pour ca
Fabrice de WPS
Vous ne deviez pas nous dire quels plugins posaient problème ? C’est assez surprenant car nous en utilisons très peu et que notre expert sécurité les a déjà passé au crible.
Alexandre
Si j’ai pratiquement terminé là. Alors Utilisez-vous le plugin BlogVault version 1.05 ?
Fabrice de WPS
Non !
Alexandre
D’accord donc si vous êtes en 1.17 la faille CSRF a été corrigée
Vous utilisez aussi Contact Form 7 ?
Fabrice de WPS
Aussi oui mais à jour
Alexandre
au dessus de 3.7.2 ?
Fabrice de WPS
Oui
Alexandre
D’accord, est-ce que votre plugin Jetpack est en version 2.9.3 ou au dessus ?
Fabrice de WPS
Nos plugins sont tous à jour !
Alexandre
La liste que je vous donne me stipule que certains de vos plugins ne sont pas tous à jour
Fabrice de WPS
C’est votre script qui ne doit pas être à jour alors ;)
Alexandre
L’erreur est humaine mais là il y a pas mal de chose enfin bon c’est pour la sécurité de votre site
Fabrice de WPS
Il me semble que jusqu’à présent, vous ne m’avez pas donné une seule chose exploitable ou une seule faille non ?
Alexandre
Les plugins défectueux !
Fabrice de WPS
Lesquels ?
Alexandre
Ceux que je viens de vous communiquer
Fabrice de WPS
Ils ne le sont pas et sont à jour !
Alexandre
Mais je vais pas vous faire perdre votre temps, vous avez un expert en sécurité qui je pense travaille sur la sécurité de tous les plugins qui forment votre site, je vous souhaite une bonne journée!
Fabrice de WPS
Si vous avez quelquechose de concret, n’hésitez surtout pas à me contacter !
Alexandre
Du concret il est toujours possible d’en avoir tant au niveau web que machine mais j’ai une certaine éthique et je travaille uniquement avec des contrats qui permettent d’avoir des accords sur la pénétration d’un système
Fabrice de WPS
Votre approche est très étonnante pour quelqu’un qui a une éthique, pas d’identité, vous recherchez des failles puis vous annoncez qu’il y a des problèmes, sans en citer un seul ^^
Alexandre
Je viens de vous citer les plugins défectueux, vous me dites qu”ils sont tous à jour. Pourquoi pas
Fabrice de WPS
et ils le sont…
Alexandre
Je vous laisse travailler, Bonne journée à vous
Et c’est ainsi que notre expert nous quitte… Comme c’est dommage, j’aurais bien prolongé ce dialogue si instructif…
Le principe est simple, cet Alexandre pendant qu’il me parlait était en train de scanner le site, il cherchait à obtenir la liste des plugins installés. J’ai d’ailleurs retrouvé traces de ses scans sur wpformation, wpserveur et quelques autres sites (du reste, voici son ip 77.150.172.118 pour infos).
L’idée ensuite est d’annoncer que certains plugins contiennent des failles de sécurité majeures, et de proposer ses services d’expert en sécurité offensive pour nous aider, moyennant finance, à sécuriser notre site WordPress ! Ben voyons ;)
Vous noterez qu’à aucun moment l’expert ne donne un nom, un site ou un n° de téléphone, et ce n’est pourtant pas faute de lui avoir demandé ! Il cherche également à parler au Gérant. J’ai essayé de pousser le plus loin possible ce dial, tout en sachant dès la première question (celle concernant DIVI) que l’expert était surtout expert en pipotage et que j’avais affaire à une jolie tentative d’arnaque.
Cependant, qu’aurait donné ce dial avec un utilisateur WordPress débutant ou moins aguerri ? Alors sans être alarmiste, restez vigilants ;)
Ah oui tout de même !
Si encore il avait tapé juste à un moment. S’il avait pu voir les VRAIS plugins que tu avais… Mais s’enfoncer à ce point, tout de même.
Bon, faut qu’on fasse tourner ça pour que personne ne tombe dans le panneau.
Merci de nous avoir relayé cette mésaventure !
Oui en gros il a trouvé une liste de plugins ayant eut une faille de sécurité ses derniers temps et il contacte les webmasters qui utilisent ces plugins sans même chercher si la version est obsolète ou pas…
Un peu comme les spams qui proposent de renouveler les noms de domaine à 90$ l’année…
Il ne cessait de mentionner “je ne suis pas un hacker”, ce qui est obligatoirement suspect. En effet, redoutant d’être démasqué il essayait donc de vous convaincre qu’il n’était pas ce qu’il est en réalité !
Bonjour Fabrice, merci pour ce retour d’expérience … de toute évidence cet “Alexandre” est un débutant en arnaque qui n’a même pas pris le temps de vérifier les personnes qui travaillent de près ou de loin sur WPServeur , ou alors est-ce un concurrent jaloux !?
@nicolas oui effectivement avec les vrais cela aurait été différent, sans même parler de la bonne version et du thème qui n’est pas DIVI !
@jerome au petit bonheur la chance ;) Tout le monde est en mesure de lister les plugins utilisés sur un WordPress, obtenir leur version c’est un poil plus délicat…
@frederic effectivement répéter à plusieurs reprises “je ne suis pas un hacker” c’est plus que suspect ^^
@seb Je ne crois pas au conccurent jaloux, ce serait vraiment maladroit ! Je penche plus pour qqu’un essayant de se faire de l’argent sur la crédulité des autres ;)
Visiblement, il s’est trompé de cible :)
Mais il finira par trouver, une ou plusieurs victimes qui lui donneront les clés du camion, et on peut imaginer beaucoup de choses et surtout le pire !
Personne n’est à l’abri d’un moment d’égarement et de se faire manger le cerveau.
“Alexandre
C’est bien ! Vous avez un rapport avec WPFORMATION ?
Fabrice de WPS
Nous sommes très proches en effet”
Cet échange m’a tuer ^^
@denis-debaisieux c’est bien le problème et le pourquoi de cet article !
@alex moqueur va ;)
Je vois tout à fait le genre, aller à la pêche aux infos.
Tu peux nous donner le user agent de ses requêtes ? Je mise sur “wpscan”.
Je pense que tu as été très sympa de dire “non on utilise pas”, “non on est à jour”, si le mec est un expert sécu, go téléphone et email avec avatar, site etc. Sinon pipo faut même pas répondre.
Tu peux aussi jouer le jeu inverse “je vois que vous êtes en train de scanner le site, votre IP sera envoyée à la gendarmerie car n’ayant pas votre identité, vous êtes pour le moment un bidouilleur (cf hacker)”
et bim calmé :)
@julio-potier tu as parfaitement senti le truc et tu as raison, c’est bien du “wpscan” ;)
J’ai laissé venir pour voir jusqu’où il irait mais je penserais, la prochaine fois, à la menace et au dépot de plainte !
Il le dit lui même, il n’est pas un hacker.
Pour rappel selon la définition du “jargon” (http://jargonf.org/wiki/hacker), un hacker est un expert (souvent en informatique).
Il ne faut pas confondre pirate et hacker même si la vulgate (http://www.linternaute.com/dictionnaire/fr/definition/hacker/) le fait couramment. Le pirate est un expert qui utilise ses compétences à des fins frauduleuses contrairement au hacker. En l’occurrence l’individu en question avait plutôt l’air d’être un arnaqueur de base.
J’espère que vous êtes tous des hackers WP… donc des passionnés capables de comprendre et maîtriser le fonctionnement de WP.
@cyrille bien sûr que nous sommes tous des hackers WordPress mais des “gentils hackers” qui n’extorquent pas les gens ;)
@wpformation pléonasme.
Dans mon monde à moi, tous le hackers sont gentils. Ils mangent des arcs-en-ciel et ils font des cacas papillon (https://www.youtube.com/watch?v=6xvv0UGtQHg).
Ce n’est pas ça qui va nous aider en tant que prestataires sérieux à vendre des services de qualité et légitimes, si de tels guignols essaient de faire du fric sur la méconnaissance de webmasters WP. Bon là il est mal tombé ;-)
Après la vente de sites Web gratuits de 4 pages à 8000 € sur 5 ans sans propriété ni accès, voici les gentils audits de sécurité qui misent sur la méconnaissance et la peur.
Déjà scanner un site sans accord est plus que limite, pour peu que ce script kiddie marketeur mette en mode agressif du genre provocation d’erreurs et charge serveur, je le calme tout de suite avec menaces légales – même si un scan comme ça provoque rapidement un blacklisting d’IP ;-)
Edit: mode full disclosure, il m’est arrivé de constater qu’un site WP pas fait par nous présentait une faille énorme et même qu’un autre était déjà piraté, auquel cas j’ai contacté le proprio avec mes coordonnées complètes et en donnait le détail de la faille et du plugin, ainsi que le constat du hack (liens hidden en footer). Le message précisait bien qu’on était prestataires et qu’on savait résoudre s’il n’avait personne, mais on est dans un cas éthique bien différent à mon avis…
@pierre je suis entièrement d’accord et je trouve cela complétement différend. Proposer ses services en bonne et due forme, ne s’apparente pas à ce qu’à essayé de faire ce soit disant “expert” en sécu.
A l’instar de @julio-potier qui lorsqu’il trouve un plugin avec une faille, prévient le dév du plugin de cette dernière, gratuitement qui plus est. Si besoin de plus alors c’est facturé mais c’est tout à fait normal ;)
Hello Fabrice,
Quand j’ai lu cet échange, j’ai tout de suite pensé que le mec utilisait WPScann.
En effet cet outil est très discutable sur la pertinence de ses résultats et donne des rapports éronnés. J’en ai fait la malheureuse expérience récemment.
En ce qui me concerne, toutes les infos sur les failles indiquées par WPSann étaient fausses car faisait référence à des version de plugin antérieures à celles que j’avais sur mon serveur.
Donc à mon avis le fameux “Alexandre” qui se fait passer pour un expert sécurité n’est qu’un amateur qui a découvert en WPScann le moyen de tirer du fric auprès de gérant non informaticien. Ce que le pauvre Alexandre semble ne pas avoir compris c’est que son outil magique qui le fait passer pour un expert est loin d’être fiable.