lolloj - Fotolia
Le CMS, la porte d’entrée oubliée du système d’information
De potentielles vulnérabilités dans le système de gestion de contenus pourraient avoir conduit à la brèche dont a été victime Mossack Fonseca, menant à l’affaire des Panama Papers. Pour RiskIQ, les CMS apparaissent souvent négligés.
Après tout, qu’est-ce qu’un portail au-delà d’une vitrine sur le Web, sinon une porte d’entrée ? C’est la question que RiskIQ appelle toutes les organisations présentes en ligne à se poser.
Et le cabinet part pour cela de Mossack Fonseca, victime d’un important piratage ayant conduit au scandale des Panama Papiers. Si le point d’entrée sur le système d’information n’est pas formellement identifié, certains – à commencer par Olivier Laurelli, aussi connu sous le pseudonyme de Bluetouff – avaient relevé des défauts de configuration du site Web du cabinet qui le conduisent à en révéler bien trop sur ses composants logiciels.
Dans un billet de blog, RiskIQ explique avoir voulu « saisir l’opportunité pour revisiter quelques-unes des expositions de sécurité qui peuvent avoir conduit à l’exfiltration de téraoctets d’informations hautement sensibles ». A commencer par celles que peuvent offrir les systèmes de gestion de contenus (CMS), parce qu’ils « constituent le dénominateur commun de beaucoup d’attaques réussies dont on entend parler ».
RiskIQ s’est donc penché sur les sites Web publiquement accessibles des entreprises du classement FTSE-30 pour découvrir 1069 sites s’appuyant soit sur Wordpress, soit sur Drupal. La surprise n’est pas là : plus de 65 % des sites Web utilisant un CMS font appel à l’un ou l’autre. Mais pour plus de 70 % des sites étudiés, il s’est avéré possible de découvrir la version utilisée, l’accès au fichier CHANGELOG.txt n’ayant pas été bloqué. Une indication d’autant plus précieuse pour un pirate potentiel que 307 de ces sites exploite un CMS dans une version pour laquelle des vulnérabilités sont connues. « Ce qui représente 29 % du total » des sites étudiés.
Pour RiskIQ, le principal problème est là que les CMS ne sont pas au premier rang des priorités des DSI « ce qui se traduit bien trop souvent par une approche setup and forget ». En français : mettre en place et oublier. Jusqu’à ce que leurs vulnérabilités se rappellent trop douloureusement aux organisations concernées.