46 articles en russe en 4 minutes : focus sur une activité malveillante
Un matin, Gérald, le consultant marketing d’un de nos clients nous appelle pour nous signaler qu’il a remarqué 46 articles en russe apparus sur le site. Bien que nous ne lisions pas le russe, nous nous doutions que ce n’était pas du contenu légitime.
Mon premier réflexe a été de me connecter au back-office pour aller directement dans le menu utilisateurs. Car qui dit contenu publié, dit accès à l’action de publier. Le premier élément était là : trois nouveaux profils créés, aucun par le client ou l’agence marketing.
Si les articles me donnaient des indications de publication diverses, la création des profils, elle, m’indiquait clairement l’heure à laquelle l’intrusion avait pu avoir lieu.
21h06, l’heure du crime
En croisant les logs serveur et la base de données, j’ai pu reconstituer une chronologie précise. Un soir de juin, à 21h06, une adresse IP inconnue se connecte à l’interface d’administration WordPress avec les identifiants d’un compte client. La connexion réussit du premier coup, sans brute force ni tentatives multiples. L’attaquant avait les bons accès et le rôle le plus important : administrateur.
En moins de cinq minutes, il utilise un outil natif de WordPress pour injecter une quarantaine d’articles en russe et créer trois comptes abonnés. Avant de partir, il modifie subtilement l’email de l’administrateur principal en enlevant une seule lettre, et soumet une demande de changement d’email d’administration en attente de confirmation.
Puis il disparaît. Silencieusement.
Avant de faire le rapport à mon client, je supprime les contenus indésirables, nettoie la base de données des données injectées, supprime les comptes liés à l’intrusion et change tous les mots de passe. Tous. J’envoie la même demande à l’ensemble des utilisateurs du site.
Mais… pourquoi avoir fait ça ?
Ce que cette personne ou ce groupe a réalisé s’appelle du SEO spam ou du black hat SEO : publier des contenus douteux contenant des liens vers des sites tiers comme des casinos, des pharmacies en ligne ou des produits contrefaits. Le but est d’exploiter l’autorité de domaine du site victime pour booster le référencement de ces destinations. En prime, le site victime se fait épingler par Google pour mauvaises pratiques et son propre référencement chute.
Dans notre cas, la stratégie était claire : rester invisible le plus longtemps possible pour que les articles en russe s’indexent tranquillement sur Google.
L’email modifié avec une lettre en moins servait de plan B. Si le compte client avait été sécurisé entre temps, l’attaquant pouvait déclencher la procédure officielle de changement d’email de WordPress et récupérer un accès administrateur complet via la boîte mail qu’il contrôlait. Ingénieux et terriblement efficace.
Pourquoi adopter le réflexe de changer ses mots de passe immédiatement?
La porte d’entrée de cette intrusion, ce n’était pas la force brute. Rien n’a été cassé ni forcé. L’attaquant a simplement utilisé… une copie de la clef.
Comment l’a-t-il obtenue ? Bonne question. Le mot de passe associé au compte était peut-être trop faible, réutilisé sur d’autres services, ou apparu dans une fuite de données. C’est un fléau moderne souvent sous-estimé : des millions de combinaisons email et mot de passe circulent sur des forums underground, issues de fuites chez d’autres services dont on n’est pas toujours averti. Il suffit qu’un mot de passe ait été utilisé sur un site qui s’est fait pirater pour que tous les comptes partageant ce mot de passe deviennent vulnérables.
À titre d’information, vous pouvez vérifier si votre email apparaît dans des fuites connues sur haveibeenpwned.com. Si c’est le cas, procédez à une mise à jour de tous les mots de passe liés à cette adresse.

Plusieurs hypothèses, un même problème
La règle fondamentale est simple : un mot de passe par compte. La société actuelle nous oblige à multiplier les inscriptions pour tout — une carte de fidélité, un accès bancaire, un site d’actualités. Tout se mélange, et réutiliser le même mot de passe est devenu de plus en plus risqué. On ne risque plus seulement qu’on consulte son historique de navigation, on risque de compromettre des données extrêmement sensibles.
Ce que cette histoire nous enseigne plus largement, c’est qu’un site web n’est pas un outil qu’on laisse vivoter. Il faut veiller sur lui. Veiller à ce que les accès soient réfléchis : il est par exemple inutile de donner un rôle administrateur à quelqu’un dont l’usage quotidien se limite à relire des contenus. Un rôle éditeur suffit amplement, et il empêche l’accès aux fonctionnalités sensibles comme l’import de contenus ou la modification des emails d’administration.
Un site qui n’est pas maintenu à jour est aussi un site vulnérable. Tout ce qui ne suit pas la veille technologique accumule des failles connues qui seront exploitées sans vergogne par des personnes mal intentionnées.
Enfin, la surveillance est un réflexe essentiel. Avoir un outil ou un Gérald qui veille sur le site est un allié précieux pour détecter les connexions suspectes et agir avant qu’il ne soit trop tard. Dans le même esprit, l’authentification à deux facteurs reste à ce jour la mesure la plus efficace contre ce type d’attaque : même avec le bon mot de passe, l’attaquant se retrouve bloqué dès la deuxième étape de connexion.
Veillez dans votre contrat de maintenance à ces aspects car un site bien entretenu n’est pas un site invulnérable. Par contre, c’est un site qui ferme la plupart des portes avant qu’on essaie de les ouvrir.
Image de couverture de Glen Carrie sur Unsplash