Bien que tous les éléments de l’enquête ne soient pas encore connus, il semblerait qu’un ancien employé de WPML se soit attaqué au plugin après avoir été licencié, compromettant du même coup la sécurité de ce dernier.

Un ancien employé de WPML en colère

Les personnes exploitant le plugin WordPress WPML, soit environ 600 000 clients payants, ont reçu un étrange email ce week-end, leur assurant que le module comportait de nombreuses failles de sécurité qui n’avaient pas été corrigées. Après s’être présenté comme un chercheur en cybersécurité, l’auteur de l’email prétend avoir averti l’équipe en charge du plugin que celui-ci comportait plusieurs failles, mais celle-ci n’aurait rien fait. Comme il est parfois coutume de le faire lorsqu’une entreprise ne réagit pas après qu’elle ait été informée d’une faille, il aurait décidé de prévenir les personnes concernées, c’est-à-dire les clients.

Pour sa part, l’équipe de WPML a rapidement réagi en envoyant un second email aux clients concernés. Elle aurait assuré qu’il s’agissait d’un message adressé par l’un de leurs ex-employés qui serait en colère depuis son départ. D’ailleurs, l’on ne sait pas à quelle date et pour quelle raison ce fameux employé aurait quitté l’entreprise. Pour WPML, il aurait laissé une backdoor, soit une porte dérobée lui donnant accès au système et à la base de données des clients, ce qui lui aurait justement permis d’envoyer cet email durant le week-end.

Outre cet email, l’ancien employé aurait également défacé le site web du plugin WordPress WPML, ce qui signifie qu’il remplacé les pages du site par son propre message.

Site web WPML plugin WordPress

Capture d’écran du message partagé sur le site web de WPML wpml.org ce week-end

Dans le second email, WPML assure que l’ancien employé n’a pas eu accès à des données financières, qui ne sont pas stockées, ni au code source du plugin. L’entreprise affirme avoir prévenu les autorités du piratage dont elle a été victime.

Source

WordPress 5.0 est arrivé ! Avec de belles nouveautés comme son éditeur Gutenberg

Let a comment