A votre avis, quel est le pire cauchemar d’un blogueur ? Que le serveur qui héberge son blog soit planté, qu’une mauvaise manipulation lors d’une mise à jour rende le blog inaccessible, que Google blacklist ses pages ou encore de subir un piratage ? Pour les deux premiers, je m’appuie sur un hébergeur 1and1 qui m’offre une bonne disponibilité et je procède avec méthode lors des mises à jour de WordPress. Pour la 3ème hypothèse, je veille à respecter les bonnes pratiques pour ne pas abuser de Google. Quant au dernier point, je pensais avoir établi suffisamment de mesures de sécurité autour de mon blog pour éviter un piratage. C’était sans compter sur une baisse de vigilance de ma part et sur une faille énorme de sécurité de mon client FTP Filezilla, qui stockait sur mon disque dur mes mots de passe en clair dans un simple fichier texte XML.

Les mot de passe stockés en clair dans FileZilla

Mon blog planté au petit matin

Mercredi matin, lors d’un banal accès à mon blog, j’ai eu la mauvaise surprise de découvrir que mon blog était catalogué par Google comme un site web dangereux et qu’il était impossible d’accéder à sa page d’accueil. Elle ne s’affichait d’ailleurs plus et présentait un beau message d’erreur, alors que tout fonctionnait parfaitement la veille au soir.

Compte tenu du message de Google quand j’essayais d’accéder à mon blog, il ne faisait aucun doute que mon blog avait été piraté dans la nuit et que des hackers avait inséré un code malveillant (Malware). D’ailleurs mon anti-virus Microsoft Security Essentials me confirmait vite cela en m’alertant de la présence d’un code intrus sur les pages du blog. Rien de bien méchant mais ce code pirate essayait d’envoyer mes visiteurs sur quelques sites de pilules magiques ! Une attaque somme toute bénigne, aucune donnée n’avait été détruite et l’affichage de ces pages malveillantes ne fonctionnait pas. Le code avait été inséré de manière brutale, sans tenir compte du moteur WordPress qui affiche mon blog. Il s’agissait d’une attaque par FTP qui avait consisté à insérer le code pirate dans de nombreux fichiers de WordPress.

Mon blog affiche ses articles grâce à un logiciel, le moteur de blog WordPress, installé sur un serveur. Pour manipuler les fichiers sur ce serveur, un logiciel FTP me permet de faire des copier-coller de fichiers, comme sur un simple disque dur.

Le diagnostic de l’attaque et les remèdes

Par où sont-ils rentrés ?

Une fois les dégâts évalués, qui pouvaient être vite réparés en repartant d’une sauvegarde, je devais trouver la faille qui avait permis aux pirates de commettre leur forfait :

  • Une faille de sécurité dans WordPress ? A priori non, j’utilise la dernière version du logiciel.
  • Une faille de sécurité chez mon hébergeur ? Celui-ci me certifiait que tout était en règle chez lui.
  • La découverte de mon mot de passe FTP pour modifier les fichiers à ma place ? Normalement aucun dictionnaire ne permet de trouver mes mots de passe, ils sont construits par une méthode et ne représentent aucun mot dans aucun langage.

D’après les informations de mon serveur, l’attaque provenait d’un accès FTP. Dans un premier temps, je mettais donc en cause un accès public à mon serveur FTP ou à la présence de vieux sites web inutilisés sur des plateformes comme Joomla ou DotClear non mise à jour, mais qui auraient pu permettre un accès via FTP.

Changement des mots de passe

Je faisais donc le grand ménage et je changeais tous mes mots de passe depuis mon ordinateur. Tout fonctionna correctement pendant 24 h et je fus à nouveau victime de la même attaque : modification des fichiers sources javascript et PHP via un accès FTP avec mon nouveau mot de passe. Donc plus de doute, soit il  avait une caméra cachée dans mon bureau ou mon domicile, soit mon PC hébergeait un virus capable de fournir mon mot de passe (et peut-être bien d’autres) à des pirates. Là, la sensation d’insécurité numérique n’est pas très agréable.

Un virus et Filezilla à l’origine de l’attaque

En plein désarroi, j’échangeais avec une société partenaire, victime les mêmes jours d’une attaque de son site e-commerce, pour une toute autre raison. A croire d’ailleurs que nous étions au cœur d’une vraie attaque mondiale, car ces mêmes jours Twitter subissait une attaque de très grande envergure ! Au fil de nos discussions, nous en sommes venus à accuser le logiciel FTP Filezilla et un virus certainement présent sur mon ordinateur. Pourtant ni Microsoft Essential Security, ni Avast, ni Spybot ne révélaient la présence d’un intrus. Une amie me recommandait alors de faire un scan avec l’anti-malware a-Squared d’Emsisoft. Je lançais donc une version gratuite, qui après 1 heures d’un scan minutieux rendait son verdict : un Trojan et un Backdoor étaient présents sur mon PC, tout frais d’une dizaine de jours ! J’avais donc bien deux espions sur mon PC capables d’envoyer des informations à des tiers.

Savez-vous donc comment ses deux virus transmettaient aux méchants pirates mes mots de passe FTP ? Tout simplement en envoyant le fichier de préférences de FileZilla, un fichier texte structuré qui stocke en clair, sans aucun encodage ou astuce, mes mots de passe FTP avec le nom du serveur FTP et le nom d’utilisateur.

Voici comment sont stockées ses informations confidentielles sur notre disque dur par le client FTP FileZilla :

Fichier de stockage des mots de passe

Ce fichier est tout simplement présent à l’emplacement : C:\users\XXXX\AppData\Romaing\FileZilla\Filezilla.xml . Toutes les informations apparaissent en clair, parfaitement lisibles par n’importe qui ou n’importe quel robot.

Le piratage est donc rendu enfantin par cette énorme faille de sécurité de ce client FTP open-source, pourtant mondialement connu ! Après une petite recherche sur Google, il s’avérait que cette énorme boulette des concepteurs étaient régulièrement exploitée par les pirates pour s’introduire sur des serveurs web. Ce problème est connu et je suis surpris que cela ne soit toujours pas corrigé.

Lors de cette découverte, j’étais partagé entre le soulagement de connaitre la cause du piratage de mon blog et une certaine colère devant cette faille de sécurité pour un client FTP reconnu. Une colère aussi envers moi car l’un de mes surfs m’avait surement conduit sur un site infecté, avec un ordinateur ne disposant pas de toute les mises à jour de Windows 7 ou d’Internet Explorer 8 (que j’utilise très rarement). Je me suis rendu compte en effet que depuis quelques temps, par négligence, je n’avais pas effectué les dernières mises à jour fournies par Microsoft.

Le grand nettoyage et un environnement sécurisé

Depuis cet incident j’ai donc renforcé la sécurité de mon environnement informatique : j’ai supprimé illico presto le logiciel FTP Filezilla, j’ai ajouté des scans réguliers par A-Squared Free (appelé aussi anti-malware Emsifot), j’ai viré Spybot dont j’étais toujours sceptique sur l’efficacité et j’ai effectué toutes les mises à jour de Windows 7 et bien entendu j’ai changé la totalité de mes mots de passe, qui commençaient pour certains à dater de plusieurs années. Finalement, je considère cette mésaventure comme un avertissement sans frais et un rappel à l’ordre sur la sécurité informatique de mon environnement. Parfois, on en oublie que même un petit acteur du web peut être attaqué et se retrouver fort dépourvu avec un blog offline.

Mon blog était-il pour autant dangereux ?

Si vous avez eu l’occasion de passer sur mon blog pendant cette période, de mardi 4h00 du matin à mercredi 18h00, je vous rassure les dégâts éventuels causés sur votre ordinateur sont à priori inexistants :

  • Google veille au grain, dès l’insertion du code malveillant sur mon blog, une alerte vous informait qu’il ne fallait pas poursuivre et vous balader sur mon blog.
  • Si vous outrepassiez cette mise en garde, le site plantait et votre anti-virus vous informait de ne pas continuer. Par ailleurs, l’attaque n’ayant pas été ciblée sur un blog WordPress, aucune page d’un quelconque site de médicaments miraculeux ne s’affichait.
  • Vers 9h00 le mardi, quand je me suis aperçu de cette attaque, j’ai mis hors ligne mon blog pour éviter tout dommage collatéral et je réparais avec une sauvegarde dans l’heure. A noter que Google laisse l’alerte jusqu’à ce qu’il puisse ré-analyser votre site et s’assurer que tout est en ordre, cela prend un délai d’environ 24h.
  • Comme j’ai eu la joie de subir une nouvelle attaque (le nouveau mot de passe utilisé dans Filezilla avait dû être capté dès le mardi matin), ce n’est donc que vers 18h le mercredi que tout est rentré dans l’ordre. J’ai découvert cette attaque dans l’heure et rétabli aussitôt mon blog.

Donc au pire, vous avez été privé de lire mes écrits pendant ces quelques heures. A noter que la boutique d’Eric, qui partage le même nom de domaine que mon blog, avait été aussi cataloguée par ricoché comme dangereuse par Google. Vous imaginez que j’ai adoré ! Celle-ci n’a jamais subit la moindre attaque.

A noter que les outils fournis par Google sont très précieux pour protéger les visiteurs et permettre aux blogueurs de vite identifier le mal. Si jamais je n’avais pas consulté mon site le matin même de l’attaque, un email m’était envoyé par Google le soir pour m’informer de cette attaque.

Une sécurité toujours plus renforcée

C’était la 1ère fois que je subissais de plein fouet une attaque pirate, sur le coup j’ai eu l’impression du subir un cambriolage numérique et désormais je vais renforcer ma vigilance. Je ne peux que vous encourager à ne jamais utiliser le client FTP Filezilla, ou du moins à ne pas mémoriser vos mots de passe dans celui-ci. Mais n’a-t-il pas d’autres failles de sécurité comme des transferts non codés de mot de passe ? Dans le doute, je ne veux plus en entendre parler. Ne faites pas non plus la même erreur que moi en oubliant des mises à jour de sécurité de Windows 7. Je vous invite à rajouter a-Squared Free à votre trousse de sécurité, en plus de votre anti-virus. La version gratuite permet de scanner son disque dur, la version payante réalise une veille en temps réel mais elle me semble tout de même trop intrusive et préventive par défaut.

[Edit du 29/09 : Je constate malheureusement qu'une nouvelle fois un blog et un billet traitant d'un logiciel open source et de Windows entraînent des commentaires hors de propos. Un blog et ses commentaires permettent des discussions où normalement la courtoisie est la règle. J'invite donc mes lecteurs à prendre part à cet échange avec des commentaires utiles à tous. Dans le cas contraire, je serai contraint de fermer les commentaires de ce billet. Je propose aux lecteurs animant leur propre blog de publier un article sur le sujet, je me ferais un plaisir de relier leur lien pour élargir la discussion. Vous trouverez aussi de nombreuses publications dans des forums et des blogs sur cette faille de sécurité de FileZilla sur les deux premières pages de Google, laissant à chacun la liberté de se forger son opinion. Je vous souhaite une bonne lecture de ses nombreux commentaires et je remercie ceux qui ont pris la peine d'exprimer des opinions constructives et utiles.]