Si il y a un moment où je suis content d’être passé de Joomla à Wordpress il y a quelques années c’est bien aujourd’hui ! J’ai un ami qui s’arrache les cheveux depuis ce matin pour mettre à jour le plus rapidement possible ses sites Joomla !

En effet, une faille hallucinante et majeure vient d’être publiée. Je dis hallucinante car pour un CMS de la renommé de Joomla c’est quand même très étrange que personne ne s’en soit rendu compte avant…ou bien ne l’ai pas dit avant. Mais c’est une autre histoire…

 

La démarche, maintenant connue par tous les petits malins marche vraiment. Je n’y croyais pas au départ tellement que c’est simple mais je l’ai testé sur un Joomla en local et je suis devenu administrateur en moins de 10 secondes…

Heureusement, la communauté Joomla a vite réagit et a proposée un correctif, la version 1.5.6

1. Allez là /index.php?option=com_user&view=reset&layout=confirm 
2. Puis mettre une simple quote (’) dans “token”.
3. Choisissez votre nouveau mot de passe administrateur. Oui c’est de la bonne faille !!
4. Allez sur l’url /administrator/ 
5. Vous savez ce qu’il vous reste à faire…

Ps: le hack est interdit par la loi française. Faites le en local pour tester et mettez à jour RAPIDEMENT votre Joomla.

Pss: je ne me rappel pas d’une faille de ce genre avec Wordpress, j’ai la mémoire courte ?

Deezer, anciennement BlogMusik avait fait une mise à jour il y a quelques mois pour bloquer la possibilité de pouvoir télécharger les musiques sur leur site. Ainsi les Majors étaient heureuses, et nous on se tapait de la pub pour écouter de la musique gratuitement. Techniquement “Utiliser du cryptage pour ‘protéger’ Deezer n’a en réalité strictement aucune utilité, puisque qu’on dispose du texte en clair (on a la version en clair du motif de recherche pour la bonne raison que c’est le visiteur qui le tape) et de la version cryptée (en sniffant la requete de recherche envoyée par l’applet pour le motif de recherche”. Voici un petit malin vient de sortir un soft pour télécharger toutes les musiques sur Deezer !

Bien entendu l’auteur du logiciel se défend de toute incitation au téléchargement illégal (mais bien sur !). Si vous souhaitez en savoir plus c’est sur dysnomia-project.org.

Malheureusement le logiciel n’est disponible que sur Linux et Windows. Et comme je n’ai pas une envie folle de redémarrer sous Vista, je n’ai pas fait le test. Mais si quelqu’un sait comment recompiler des fichiers sources pour ensuite les exécuter sous MacOS je suis preneur !

Il aura quand même fallu plus d’un mois pour que l’iPhone soit complètement hacké, c’est à dire que l’on puisse téléphoner avec n’importe quel opérateur et non qu’avec AT&T.

C’est une team chez du site hakint0sh.org et un hacker venant de la Macédonie (c’est pas une salade ?! :D) qui déclarent avoir finalement réussi à hacker l’iPhone et le faire fonctionner avec une carte SIM européenne.

La manipe pour arriver à ses fins est quand même un peu compliquer, mais cette technique devrait rapidement se démocratiser. C’est le bon moment pour Apple d’annoncer (enfin) son iPhone pour l’Europe…

Je connais plusieurs Geeks qui vont être content, et qui doivent être entrain de décortiquer la documentation que fournissent les hackers.

Pour ceux qui l’ignorait encore je me suis fait hacker mon serveur et en beauté. C’est une grande première pour moi ! J’avais déjà eu des problèmes avec de petit pirates qui essayaient de faire des conneries, mais là plus rien ! Les Bases de donnée, le FTP, l’accès SSH tout est mort. Je remercie aussi OVH qui a été très réactif sur ce coup et qui a tout de suite coupé mon serveur pour pas qu’ils l’utilisent pour autre chose…

Dans un premier temps je me suis dit c’est bon Wordpress est plein de faille (une suffit !), je vais devoir tout coder moi même… Mais en faisant des recherches je me suis rendu compte que sur un petit plugin que j’utilise (WordTube) a été découvert une très belle faille, et pas quelque chose de très malicieux, ni plus ni moins qu’un simple include : c’est malin ça !

Je viens de mettre à jour ce plugin ainsi que tous les autres que j’utilise. Je suis pour le moment entrain de tout remettre en place. J’avais de back up mais ils datent du 22 avril, donc ce n’est pas super, surtout pour BF2142.fr. Mais on n’a pas le choix on va faire avec.

Ce hack m’a ainsi permis de me rendre compte qu’il ne suffit pas de louer un serveur et de s’y connaitre un peu en linux pour faire marcher correctement des sites à grosse fréquentation. Je vais donc mettre une politique de sécurité plus poussée, avec notamment des sauvegardes journalières qui seront envoyées automatiquement sur un autre serveur. C’est avec nos erreurs que l’on progresse !