Nous avons informé GoDaddy d’une grave faille de sécurité, la société nous a envoyés balader

En février, Micka Letatek Tuxun, un lecteur, nous alertait d’un étrange problème sur notre site Web : s’il y accédait directement en tapant acbm.com dans la barre de navigation, tout se passait bien. Mais s’il tapait cette requête dans Google, il tombait sur le site Web d’une pharmacie en ligne (dont les produits, sans doute des contrefaçons, auraient pu s’avérer dangereux pour la santé).

Nous n’avions pas constaté ce problème nous-mêmes, car nous ne passons pas pour Google pour nous connecter sur notre propre site Web. Après un moment d’incrédulité, nous avons enquêté et rapidement trouvé l’origine du problème : le fichier de configuration .htaccess de notre site Web avait été modifié à notre insu. Le referer (site de provenance) était analysé et, s’il s’agissait de Google (ou Yahoo, MSN, AOL ou Bing), notre visiteur était redirigé vers des pages écrites en PHP stockées dans des fichiers non créés par nous, mais stockés par un tiers inconnu « chez nous ».

Notre site Web est chez GoDaddy, il s’agit d’un hébergement mutualisé dans un répertoire à côté d’autres utilisateurs sur une même machine. Les avantages pour nous sont une économie (au moment où nous avions signé le contrat, plus vraiment de nos jours) ainsi qu’un gain de temps puisque toutes les mises à jour de sécurité pour combler les failles des logiciels doivent être faites par GoDaddy (en théorie…).

En 2017, déjà, notre site Web avait été victime de l’attaque d’un ver écrit en langage PHP. De nombreuses pages avaient été, là encore, créées pour commercialiser des produits plus ou moins illicites. Ce ver avait probablement profité d’un problème de configuration dans le répertoire d’un autre utilisateur hébergé sur le même serveur, voire de la configuration du serveur lui-même. Heureusement, ces pages « pirates » n’étaient pas accessibles depuis celles que nous avons proposées, mais depuis d’autres sites Web victimes du même ver ; nos lecteurs n’ont donc pas dû tomber dessus. Nous n’utilisons que des pages statiques en HTML pur sur notre site Web, c’est plus sûr qu’un site écrit en PHP où chaque page est recréée à la volée pour le visiteur. À en croire différents forums, ce genre de problème a déjà été signalé à GoDaddy à maintes reprises, mais la société rejette la faute sur ses clients (cela nous arrivera aussi, ainsi que nous allons le raconter dans un instant).

Une astuce maison
Malheureusement, il n’y a pas de moyen de bloquer PHP chez notre hébergeur GoDaddy. Nous avons donc dû ruser, ainsi qu’expliqué dans Virus Info 42 : nous avons modifié le fichier .htaccess pour que tous les fichiers en PHP soient renvoyés vers une page inoffensive. Bien nous en a pris, puisque nous avons évité ainsi une nouvelle attaque en février 2018, sans conséquence cette fois. Mais, lors de l’attaque constatée début 2020, le fichier .htaccess avait été modifié pour faire sauter notre « protection ». A priori, il s’agissait donc d’une modification manuelle et non d’un ver. Cette fois, les fichiers PHP dataient, notamment, de novembre et décembre 2019.
Alertée, GoDaddy nous a répondu que nous sommes responsables de la sécurité de notre hébergement ; quand bien même, ici, le problème n’est pas dans notre périmètre technique ! Elle nous a redirigés, de manière totalement hors sujet, vers un texte pour choisir un bon mot de passe FTP. Non seulement nous n’utilisons pas FTP, car le mot de passe circule en clair sur le réseau et pourrait être « écouté » (GoDaddy devrait avoir honte d’utiliser cela encore en 2020), mais pis : la société impose que ce mot de passe soit le même pour les connexions chiffrées en ssh (service que nous utilisons exclusivement). Notre mot de passe est compliqué afin d’empêcher des attaques par dictionnaires ou force brute (toutes les possibilités), et nous ne le saisissons que sur des machines sécurisées (comprendre « pas sous Windows »). Au passage, la recommandation de GoDaddy nous incite à penser qu’elle n’a pas installé de compteurs de tentatives erronées de saisie de mot de passe, ce qui serait dommageable pour la sécurité de ses clients et contraire aux règles élémentaires.

En cherchant d’autres serveurs Web hébergés sur la même machine, nous avons découvert que nous n’étions pas les seuls concernés par l’attaque. L’explication la plus logique pour nous était que quelqu’un a réussi à avoir des droits d’administration de plusieurs clients hébergés du fait d’une faille quelque part sur cette machine, voire ailleurs dans l’architecture de GoDaddy.

GoDaddy réduit la sécurité pour… vendre plus
Par précaution, nous avons demandé à GoDaddy de désactiver totalement FTP et PHP de notre compte, mais la société refuse. Si nous voulons moins de services, la société nous dit qu’il nous faut souscrire un hébergement… plus cher !

Trois mois ont passé, GoDaddy ne montrant pas la moindre curiosité pour les preuves que nous avons mises de côté pour elle, des fichiers avec leur horodatage pour faire des recherches dans les logs. Mais, début mai dans la presse, on apprend que GoDaddy a émis une alerte : les mots de passe ssh de clients du service Deluxe Hosting (celui que nous avons choisi) ont été compromis en raison d’un problème de sécurité dans son système. Faute de détails, nous pouvons craindre que les mots de passe eussent été stockés en clair. L’attaque aurait eu lieu en octobre 2019, mais n’a été repérée que dernièrement. Ce qui semble confirmer notre propre alerte qu’elle a ignorée ! La société dit qu’elle va offrir aux victimes un an de protection gratuite contre les malwares et d’autres attaques. Au-delà de cette année, ce service deviendra payant. Bref, au lieu de se protéger elle-même, la société fait le forcing pour que les clients payent une protection contre ses failles à elle !

GoDaddy reconnaît 28 000 webmasters victimes de l’attaque. Un courriel leur a été envoyé et leurs mots de passe ont été changés. Nous n’avons pas reçu ce courriel et notre mot de passe n’a pas été changé par la société, il est donc prowibable qu’elle n’a pas encore compris l’étendue du problème (l’alerte a été donnéewindo en Amérique, alors que nous sommes dans son centre serveur du Sud-est asiatique). En outre, elle affirme ne pas avoir constaté de modifications de données par le ou les pirates pour le moment, alors que nous lui avons notifié de tels incidents. À moins qu’il ne s’agisse, encore, d’un autre piratage ?

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule . futures-befouled.php [L]

Le code rajouté par les pirates au début de notre fichier .htaccess

Les certificats SSL permettent de sécuriser en les chiffrant les visites d’internautes sur votre site Web. Google veut récompenser leur usage en sanctionnant le référencement de sites Web qui n’en ont pas. Malheureusement, GoDaddy n’accepte pas dans ses formules d’hébergement « économiques » les certificats émis gratuitement par Let’s Encrypt. Ne croyez pas que GoDaddy souhaite réduire votre sécurité. Elle souhaite surtout vous vendre sa propre solution (à partir de 70 € par an au prix normal).

Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]