Il y a quelques semaines, Pagasa s’est fait hacké et cela m’a beaucoup fâché. Sous Firefox, Pagasa n’était plus du tout accessible et affichait la page de StopBadware. Heureusement, j’ai été rapidement prévenu; j’en profite d’ailleurs pour te remercier, Morgan; je ne me balade pas tous les jours sur Pagasa, moi ;-)

Je me suis rapidement fait comprendre d’où venait le problème: un méchant avait modifié le footer de mon thème WordPress pour y injecter un script malveillant hébergé sur une machine distante, ce qui a finit par provoquer le blocage de Pagasa. Je l’ai immédiatement viré et fais en sorte d’être rapidement retiré de la blacklist. Ensuite, je me suis penché sur la nature du problème car je ne suis pas du genre à laisser passer ce genre de chose.

J’ai rapidement pu isoler une IP grâce à la date de modification du fichier footer. Au début, j’ai cru à une injection mais je n’ai strictement rien trouvé de tel. Par contre, des brut force sur le mot de passe admin, j’en ai trouvé à la pelle, mais au vue de la complexité du mot de passe, « ils » peuvent toujours courir :) De toutes les manières, toutes ces attaques finissent par s’arrêter d’elle même au bout d’une centaine d’essais; après, cela devient trop visible.

J’ai finalement constaté avec effroi que l’utilisateur avait simplement utilisé mon mot de passe pour accéder à l’admin de WordPress et y déposer son venin ! J’ai immédiatement changé le mot de passe en me demandant comment diable, le type l’avait récupéré. J’ai examiné mon PC portable pour y déceler une trace d’un keylogger mais je n’ai rien trouvé de particulier. Ce petit doute a néanmoins été le déclencheur de la réinstallation complète du PC qui survient statistiquement tous les deux ans sur ce @&#$!? de Vista. Pas pour faire beau, mais comme je tente toujours de le justifier à mes clients, parce qu’un système d’exploitation, ça vit comme vous et moi, ma p’tite dame !

Ceci fait, j’ai contacté le service abuse du fournisseur de l’IP responsable de mes ennuis, un internaute néerlandais chez Chello.nl. Le type a reçu un avertissement écrit par courrier postal, mais je ne me fais pas trop d’illusions: au vue des traces hyper flagrantes qu’il a laissé et l’absence totale de dissimulation de son forfait (quoi, même pas un petit VPN ou un petit Darknet de mes amis Ukrainiens ??), il doit encore s’agir d’une de ces malheureuses et innocentes victimes manipulées par un utilisateur de botnet.

Après, le mystère du mot de passe reste total. J’ai été jusqu’à le chercher sur Google ainsi que sur Pastebin: rien. Je me suis tout de même souvenu que j’avais du utiliser, il y a longtemps, le même mot de passe sur quelques obscures régies PPC russes; je ne vois que cette solution. Finalement, c’est là que l’on se rend compte de l’efficacité de la recommandation de l’utilisation des clés publiques et privés telles que celles que l’on utilise en SSH.

Pour conclure, j’ai réfléchi à quelques moyens de se protéger plus efficacement contre ce type d’attaque. Vous aurez donc prochainement droit à une petit solution technique de ma composition qui préviendra ce genre de mésaventure.