Le 25 octobre dernier, le groupe de développement du CMS Joomla! a publié une mise à jour destinée à combler une faille de sécurité importante découverte quelques jours plus tôt.

Cette faille a été jugée critique car elle permet à un pirate de créer un compte utilisateur, avec des droits d'accès élevés (jusqu'à Administrateur du site !), même si la création de nouveaux comptes est désactivée dans les préférences de Joomla!.

Elle concerne les versions entre la 3.4.4 et la 3.6.3 et la version publiée avec le correctif est la 3.6.4.

Mesures à prendre

Si vous n'avez pas encore mis à jour votre site vers la dernière version 3.6.4, nous vous recommandons de le faire sans tarder. Les attaques exploitant cette faille ayant démarré dans les 24 heures de l'annonce, il est plus que probable que votre site a déjà été compromis s'il n'a pas été mis à jour. Vérifiez soigneusement la liste de vos utilisateurs (dans la partie administration du site, Utilisateurs > Utilisateurs) et désactivez (ou supprimez) ceux qui vous semblent suspects. Recherchez principalement ceux qui pourraient avoir "db_cfg" comme identifiant ou "" comme adresse email (informations révélées par Sucuri), ou toute autre adresse email suspecte (en .ru le plus souvent).

Si vous pensez avoir été piraté et avez besoin d'aide, n'hésitez pas à nous contacter pour nettoyer votre site.

Habituellement, le centre de sécurité de Joomla!, qui tient à jour la liste des extensions vulnérables (Live VEL), rapporte des failles de sécurité dans des composants, des modules ou des plugins assez obscurs, développés il y a des années et en général classés comme "abandonware". Ce terme signifie que le site du développeur a disparu et/ou que l'extension n'a plus été développée depuis très longtemps.

Cependant cette fois Live VEL annonce un problème de sécurité dans une version récente du composant de forum Kunena. Il s'agit de la version 4.0.10 et la faille de sécurité est du type "information disclosure". C'est un problème de confidentialité : dans certaines circonstances, des utilisateurs peuvent avoir connaissance d'informations auxquelles ils ne devraient pas avoir accès.

L'équipe de développement de Kunena a réagi très rapidement en publiant une mise à jour du composant (4.0.11). Toujours soucieux de la sécurité des sites que nous gérons, nous avons appliqué immédiatement cette mise à jour chez nos clients concernés. Si vous utilisez cette extension, nous vous incitons à faire de même sans tarder.

C'est une occasion de rappeler quelques conseils en matière d'extensions Joomla! (et c'est valable pour les autres CMS également) :

• Toujours effectuer les mises à jour des composants dès leur publication, surtout s'il s'agit de combler des failles de sécurité. Si votre site est hébergé chez Betterliving, pas de souci : ces mises à jour sont incluses dans votre abonnement et nous nous chargeons du boulot.
• Ne pas installer ou conserver d'extensions dont le développement n'est plus assuré
• Ne jamais télécharger une extension depuis un site autre que celui du développer officiel ou du répertoire d'extensions Joomla! (JED). 

La sécurité de tous dépend de la vigilance de chacun.

Liens utiles

Live VEL

Site de développement de Kunena

Annonce de la sortie de la version 4.0.11 et lien de téléchargement

Répertoire d'extensions Joomla! (JED)

Dans un article précédent, nous donnions plusieurs raisons de remplacer le formulaire de contact de Joomla! par une version améliorée en utilisant le composant Fabrik. Aujourd'hui, nous ajoutons une nouvelle raison de le faire : lutter contre le spam de robots dans les formulaires.

Pour les clients que nous hébergeons sur notre propres serveurs, nous offrons déjà une protection en filtrant les visites contre les robots spammeurs les plus connus et en utilisant les services du projet Honey Pot et de BotScout. Et cela donne de bons résultats : même sur les sites à fort trafic, le nombre de faux remplissages ne dépasse pas quelques unités par an. Néanmoins, il y a toujours des exceptions et certains scripts arrivent encore à passer entre les mailles du filet.

Dans ce cas, la première réaction des clients est de nous demander d'installer un "CAPTCHA" sur leur formulaire.

Suivant la définition de Wikipédia, le terme CAPTCHA est une marque commerciale de l'université Carnegie-Mellon désignant une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Il s'agit le plus souvent d'images présentant un texte déformé que le visiteur doit reproduire dans un champ prévu à cet effet.

La riposte des robots

Mais les robots sont devenus intelligents et la plupart d'entre eux sont maintenant capables de "lire" ces images aussi bien (ou aussi mal !) que les humains. Les plus performants d'entre eux sont même capables de résoudre les problèmes mathématiques ou autres jeux proposés par les Captchas les plus modernes.

C'est pourquoi nous avons toujours essayé de décourager nos clients d'en installer dans leurs sites, avec l'argument qu'en général ces dispositifs sont une nuisance plus grande pour leurs visiteurs (et peut-être futurs clients) que ne le sont les quelques spams qu'ils reçoivent.

Heureusement, il est maintenant possible de se protéger efficacement sans sacrifier le confort du visiteur, en exploitant la façon dont les robots tentent eux-mêmes de surmonter les obstacles que leur tendent les webmasters.