Étrange histoire autour du plugin WPML (traduction à la volée) depuis quelques jours. D’un côté, un pirate se disant chercheur en sécurité, de l’autre l’équipe des développeurs qui dément vigoureusement.

Le site du plugin payant a été « défacé » pendant le week-end. Les clients ont reçu un email pour les avertir que WPML contenait plusieurs failles de sécurité. Le pirate se présentait comme un chercheur en sécurité qui aurait prévenu les développeurs de ces problèmes, sans réponse de leur part.

Ces derniers ont répondu que ce pirate n’était pas ce qu’il prétendait, mais un ancien employé qui serait parti en laissant une porte dérobée dans le site officiel. Il ne l’aurait donc pas piraté en profitant d’une faille. Quant aux emails envoyés, il serait tout simplement parti en emportant une partie de la base de données.

WPML s'excuse pour la gêne occasionnée et rassure sur Twitter : les données bancaires n'étaient pas concernées, puisque l’équipe ne stocke pas ces informations. L’éditeur se construit un nouveau serveur pour s’assurer qu’il n’y aura plus de porte dérobée.

En dépit des titres un peu catastrophiques que l’on peut lire çà et là, le plugin lui-même n’a pas été piraté. L’équipe assure que l’ancien employé n’avait pas d’accès au code source et qu’aucun malware n’a donc été implanté.

Bien que WPML ne l’évoque pas, il y a de bonnes chances que l’ancien employé soit rapidement mis en examen, puisque son nom est connu et que l’incident a été rapporté aux autorités.