Ces derniers jours, une série de rapports inattendus a mis en lumière une situation curieuse avec la version 6.6.1 de WordPress, invoquant un problème de malware. En particulier, de nombreuses alertes Trojan ont été déclenchées par divers utilisateurs, ce qui a suscité une confusion et une inquiétude généralisées.
Les Premières Signalements
Tout a commencé lorsqu’un utilisateur a signalé sur les forums d’aide officiels de WordPress.org que le fichier zip de la version 6.6.1 de WordPress avait été identifié comme contenant un cheval de Troie par l’antivirus Windows Defender inclus dans Windows 11. L’utilisateur a partagé le message d’alerte exact de Windows Defender, qui indiquait que le fichier zip contenait « Trojan:Win32/Phish!MSR » et que la tentative de mise en quarantaine avait échoué.
Voici une citation directe du post initial :
« Windows Defender montre que le dernier wordpress-6.6.1zip contient le virus Trojan:Win32/Phish!MSR lorsque je le télécharge depuis le site officiel de WordPress. Le même message de virus apparaît lors de la mise à jour depuis le tableau de bord de WordPress de mon site. Est-ce un faux positif ? »
En outre, d’autres utilisateurs ont confirmé rencontrer le même problème, mentionnant un morceau de code précis dans un des fichiers CSS (style.min.css) comme étant à l’origine de l’alerte.
Le Fichier CSS Problématique
Un utilisateur a notamment écrit :
« Je rencontre le même problème. Il semble se produire avec le fichier \wp-includes\css\dist\block-library\style.min.css. Il apparaît qu’une chaîne spécifique dans le fichier CSS est détectée comme un virus Trojan. J’aimerais permettre son usage, mais je pense qu’il vaut mieux attendre une réponse officielle avant de le faire. Quelqu’un peut-il fournir une réponse officielle ? »
Les utilisateurs ont rapidement suspecté que ce qui se passait était probablement un faux positif. Un faux positif se produit lorsqu’un logiciel antivirus identifie quelque chose comme étant nuisible alors qu’il ne l’est pas réellement.
La Solution Inattendue
Un ticket officiel a été ouvert sur GitHub par WordPress où l’origine du problème a été identifiée. Il s’agissait d’une URL non sécurisée (http au lieu de https) référencée dans la feuille de style CSS. Une URL n’est pas communément considérée comme faisant partie d’un fichier CSS, ce qui pourrait expliquer pourquoi Windows Defender a signalé ce fichier CSS particulier comme contenant un cheval de Troie.
Le correctif semblait simple : changer l’URL non sécurisée pour une version sécurisée. Or, cela a entraîné une nouvelle découverte encore plus inattendue et complexe. L’URL incriminée était :
http://www.w3.org/2000/svg
Après modification, l’URL sécurisée devenait :
https://www.w3.org/2000/svg
Ce point devait clore l’incident. Toutefois, un détail important a été négligé : cette URL n’est pas un lien vers une source de fichiers, mais un identifiant définissant l’étendue du langage SVG (Scalable Vector Graphics) au sein de XML, connu sous le nom de « namespace XML ».
Cela signifiait que le problème ne résidait pas réellement dans le code de WordPress 6.6.1, mais plutôt dans une erreur d’identification par Windows Defender, qui a mal étiqueté un « namespace XML » pour un lien URL.
Les Leçons à Retenir
Cet incident a été une occasion d’apprentissage pour de nombreux utilisateurs, y compris moi-même, concernant un aspect de la programmation relativement ésotérique lié au « namespace XML » pour les fichiers SVG. En clair, ce type de namespace XML est utilisé pour limiter l’utilisation des éléments et attributs parmi les langages XML distincts, évitant ainsi les conflits d’éléments au sein d’un même document XML.
Ce cas souligne également l’importance d’une analyse approfondie avant de tirer des conclusions sur les alertes de sécurité. Pour WordPress, une simple URL non sécurisée pouvait impliquer un problème de Trojan ce qui, en fin de compte, s’est révélé être une fausse alerte.