La société américaine White Fir Design, basée à Denver, se présente comme une entreprise de conception web, de sécurité et de marketing.
Elle commercialise un service, Plugin Vulnerabilities, ainsi que des services associés pour se protéger des vulnérabilités des plugins des systèmes de gestion de contenus, WordPress en tête. Or WordPress détient 60 % de parts de marché, et est installé sur plus d’un serveur web sur trois.
Malheureusement, en toute immoralité, elle vient, à nouveau, de divulguer deux vulnérabilités jour zéro, c’est-à-dire des bogues de sécurité que personne ne connaissait et pour lesquels aucun correctif n’a été développé, ni aucune solution de contournement n’est connue, affectant les plugins Messenger Customer Chat, installé sur plus de 20 000 serveurs, et Facebook for WooCommerce, installé sur plus de 200 000 serveurs.
En plus des divulgations, l’entreprise offre aux pirates des preuves de concept et du code qui facilitent l’exploitation rapide des vulnérabilités.
Heureusement, l’impact de ces vulnérabilités serait limité au changement de configurations de WordPress.
Toutefois, il exemplifie une conduite qui, nous semble-t-il, devrait être sévèrement punie par la justice.
White Fir Design n’en est pas à sa première divulgation amorale. L’entreprise trouve toujours de nouvelles excuses : il n’est pas clair si le programme de recherche de bogues de sécurité de Facebook couvre les plugins ou non, le changement de règle de WordPress, qui exige que les vulnérabilités soient envoyées directement à leur équipe, et non publiée sur le forum de soutien technique, etc.
Pour mémoire, l’usage est de communiquer en secret une vulnérabilité découverte à un éditeur afin qu’il corrige son logiciel, et de ne la rendre publique que quand un correctif de sécurité est prêt à être installé, ou si 90 jours sont passés.
Pourquoi trois mois ? Parce que des éditeurs ne réagissaient jamais à de telles informations, laissant leurs clients en danger permanent.