L’authentification forte d’un outil d’administration particulièrement populaire pouvait facilement être contournée par force brute. Un patch a déjà été diffusé.
Des chercheurs en sécurité de Digital Defense ont détecté une méchante faille dans cPanel, un outil d’administration de sites Web implémenté pour plus de 70 millions de domaines. Ce logiciel est mis à disposition par l’hébergeur pour que le client puisse créer ses sites, mettre en place des bases de données, réaliser des sauvegardes, etc. Compte tenu de la criticité de ces actions, le client peut activer une option d’authentification forte.
Malheureusement, cette récente faille permet de contourner cette protection en quelques minutes par des attaques par force brute. Pour peu qu’un pirate ait mis la main sur l’identifiant d’un administrateur, il pourra prendre le contrôle des sites sous-jacents. Ce qui ouvre la porte au piratage et aux arnaques. La bonne nouvelle, c’est que cette faille a d’ores et déjà été corrigée dans une mise à jour de cPanel. Espérons que les hébergeurs ne tarderont pas à l’installer.