Duo d'attaques contre les forums phpBB

La version 2.0.18 de phpBB ne filtrerait pas correctement les entrées des utilisateurs. L'erreur est hélas plutôt courante, et elle ne mériterait pas d'en parler si elle ne concernait pas l'un des logiciels de discussion les plus populaires sur le web.

Mais surtout, elle serait restée purement théorique si un code d'exploitation ne venait pas d'être publié sur Internet. Pour les administrateurs de sites web équipés de phpBB, cette publication signifie qu'il est aujourd'hui beaucoup plus facile pour un internaute mal intentionné de se servir de leur site pour attaquer les autres utilisateurs.

Un bémol toutefois : la vulnérabilité n'est pas exploitable dans le réglage par défaut de phpBB. Elle nécessite d'autoriser l'usage du HTML dans les messages (une option que de nombreux sites activent malgré tout). Elle exige en outre que l'option Register_Globals de PHPPHP soit activée. Dans les deux cas, cela relève donc, aussi, de mauvais choix de sécurité de la part du responsable du site (même si, en ce qui concerne l'option Register_Globals, le webmaster est souvent tributaire de son hébergeur...).

Seconde alerte à frapper phpBB 2.0.18, selon l'Internet Storm CenterInternet Storm Center un autre exploit aurait été récemment publié, cette fois-ci pour attaquer phpBB par ses mots de passemots de passe. Le code permettrait de tenter de découvrir les sésames des utilisateurs enregistrés en essayant de nombreuses possibilités (c'est une attaque dite "du dictionnaire"). Seule protection ici : s'assurer que les utilisateurs ne choisissent pas de mots de passe trop faibles (en instaurant une longueur minimale de six caractères et, éventuellement, en utilisant régulièrement un outil de "casse" des mots passe faibles afin de détecter ces derniers avant un pirate éventuel).