Quelques jours avant la diffusion de données sensibles attribuées au porte-parole du gouvernement, l’expert en cybersécurité Hassan Kharchouj a lancé une alerte claire sur les réseaux sociaux concernant une faille grave détectée sur le site web du ministère de l’Inclusion économique, de la Petite entreprise, de l’Emploi et des Compétences.
Kharchouj a indiqué que le site affiche dès son ouverture un message d’erreur lié au fichier “class-wpdb.php”, un fichier central dans l’architecture de WordPress, chargé de gérer les interactions avec la base de données. Il a souligné que ce type d’erreur ne devait en aucun cas être pris à la légère en raison des risques élevés qu’il représente, surtout si des individus malveillants venaient à l’exploiter.
L’expert a expliqué que ce fichier, situé dans le répertoire “wp-includes” à la racine du site, contient un code sensible qui contrôle la manière dont les requêtes SQL sont exécutées, et qui est censé protéger contre les attaques de type SQL Injection. Le simple fait que cette erreur soit visible publiquement pourrait déjà faciliter le travail des pirates.
Il a mis en garde contre trois scénarios potentiels d’exploitation de cette faille :
1. Attaques par injection SQL, permettant le vol ou la corruption de données.
2. Modification de fichiers pour l’installation de portes dérobées ou de malwares.
3. Exécution de code à distance (Remote Code Execution), offrant aux attaquants un contrôle total sur le serveur.
Kharchouj a conclu son alerte en déclarant : “Ce n’est pas la manière dont le problème sera résolu qui m’inquiète, n’importe quel tutoriel sur YouTube peut l’expliquer en dix minutes. Ce qui est réellement dangereux, c’est comment un hacker peut exploiter cette faille.”
Cette mise en garde intervient à un moment critique, alors que des fuites d’informations visant des personnalités gouvernementales suscitent l’inquiétude quant à la sécurité numérique des institutions publiques, soulignant ainsi l’urgence de renforcer les dispositifs de cybersécurité au sein des plateformes étatiques.
