Vous êtes hébergé chez OVH, et croyez être en sécurité, alors vérifier bien votre configuration DNS !
L’hébergement chez OVH:
Lorsque vous hébergez votre site chez OVH, celui-ci vous offre un nom de serveur aléatoire vous permettant de retrouver vos fichiers. Ensuite, vous pouvez lui affecter un DNS avec votre propre nom de domaine. Mais qu’arrive t-il si vous ne supprimez pas l’ancien DNS ?
C’est par hasard, en allant sur un de mes domaines dont je n’ai pas renouvelé le nom de domaine que j’ai constaté ce screenshot dans l’interface d’OVH:
En général quand vous voyez ca, c’est vraiment pas bon. Il vous manque une configuration Apache pour bloquer le listing des fichiers (Options -Indexes à rajouter dans le .htaccess)
Mais même si vous rajouter cette configuration, cela ne résoudra pas le problème car vous avez un DNS qui pointe vers votre racine, et votre fichier .env est donc accessible en lecture.
Pour rappel c’est ce fichier qui contient les identifiants vers votre base de données. Il faut donc au choix : supprimer ce DNS, ou le faire pointer vers un autre répertoire.
OVH donne le même conseil ici. Mais malheureusement même en appelant le support, ils vous diront que ce n’est pas possible (perso, je comprends pas pourquoi).
Donc la SEULE SOLUTION est de laisser le www vide, et d’ajouter un répertoire avec le nom du site, puis de faire pointer le DNS de votre nom de domaine (onglet multisite) vers ce répertoire.
Somme nous beaucoup dans ce cas ?
Je vous laisse juger par vous même de cette requête Google. Vous pouvez y ajouter des paramètres précis pour optimiser vos résultats, mais je les ai enlevé ici.
Tous les sites qui possèdent un répertoire public (au lieu du répertoire racine) sont impactés. Cela inclut tous les sites à base de Symfony, Laravel, Drupal… (pas wordpress). 😱
Pour valider ma théorie, j’ai donc tenté d’accéder au fichier .env. puis j’ai ensuite tenté d’accéder au phpmyadmin installé par OVH par défaut, et voici le résultat:
Bingo, nous avons ici un petit wordpress d’un site public !
Conclusion:
Faites vraiment attention avec ce fichu nom de domaine qu’on vous attribue au départ.
Bien sur j’ai contacté la personne de ce site par email pour la prévenir de changer ca rapidement (d’ailleurs cette boite de communication m’a traité de harceleur et que je n’étais pas un donneur d’ordre !). Mais 1 mois plus tard, elle se rendait compte que j’avais raison, et corrigeait sa faille. J’espère que si vous constatez la même chose chez quelqu’un d’autres, vous en ferez autant en contactant vous aussi l’ANSII via: https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite/.