Drupal.org hacké, un million de comptes touchés

Une cyber-attaque a été perpétrée contre le site Drupal.org, environ un million de comptes ont été touchés.

Décidément, l’année 2013 connait son lot de cyber-attaques. Une des plus récentes en date est celle perpétrée contre le Pentagone. Hier, on a appris que c’était le site Drupal.org qui avait été désigné comme victime. Un million d’inscrits au site ont eu leur compte touché par cette attaque et leurs données ont été récupérées. A noter que groups.drupal.org a été également atteint.

Les hackeurs auraient eu accès aux pseudos, adresses mails et mots de passe (‘hachés’). Pour contrer au plus vite cette brèche, Drupal a immédiatement  remis à zéro tous les mots de passe et a envoyé un mail aux utilisateurs concernés. Si vous faites partie des victimes, il vous faudra confirmer votre e-mail et choisir un nouveau mot de passe. Il est bien évidemment conseillé de changer votre mot de passe sur d’autres sites si jamais vous utilisiez le même.

Drupal

Attention, une précision s’impose ! Seuls les comptes du site Drupal.org ont été touchés, ceux qui utilisent le CMS Drupal n’encourent aucun risque. En gros, si vous utilisez un site sous Drupal vous n’avez pas de souci à vous faire. Autre point, aucun code de carte de crédit n’est stocké sur les serveurs de Drupal vous ne devriez donc pas non plus vous inquiéter pour cela. A noter que le site vérifie quand même si un virus n’a pas été installé afin d’intercepter les numéros de CB.

Bien que Drupal.org semble avoir mis les moyens pour protéger efficacement les mots de passe contre les cyber-attaques, on voit bien qu’il est difficile de préserver ses données quand un pirate a décidé d’y accéder. Pour l’instant, Drupal a annoncé ne pas savoir d’où provenait l’attaque.

Up : Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!

(source)


17 commentaires

  1. Comment est-ce encore possible aujourd’hui que des sociétés comme Drupal puisse se faire récupérer les mots de passe alors qu’avec du SALT et du hachage il est impossible de récupérer quoi que ce soit. Alors soit ils stockent en clair les mots de passe, soit ils ont protégés mais par mesure de précaution, ils preferent que les usagers recreer des mots de passe.

  2. C’est tout de même inquiétant. Mais où peut-on stocker nos infos en toute sécurité ?

  3. Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!
    Source: Mail envoyé par l’equipe sécurité « This unauthorized access was made via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within the Drupal software itself. »

    • Axel-Cereloz on

      Vous avez reçu le mail ? Je vais ajouter votre contribution en complément.

  4. Ouch, gros coup dur pour drupal là…ça va faire bobo je pense. C’est tout de même inquiétant.

  5. Avec Drupal, ou tout autre système qui « hash » les password on n’a rien à craindre à moi qu’on utilise un mot de passe court et facile à trouver avec un brute-force.

    Donc préférez un mot de passe:
    * Composé de 6 caractères ou plus
    * Composé de signes de ponctuation, chiffres, et lettres majuscules et minuscules.

    « It is recommended to choose a password that contains at least six characters. It should include numbers, punctuation, and both upper and lowercase letters. »

    * Cette règle simple augment le nombre de mots de passe possible avec 6 letters de 1 million (chiffres seulement) à 82 milliards au moins.

  6. Il est tout a fait possible de récupérer des mots de passe haché, la n’est pas le problème, le problème est comment ils ont accéder aux serveurs, faille XSS, injection, bref il arrive régulièrement que des étudiants pour « se tester » hack des grands comptes, des étudiants de l’EPITECH, SUPINFO ou encore l’HETIC arrivent souvent à récupérer des mdp type BNP, la plus part du temps ils préviennent simplement l’entreprise, d’autre fois non 🙂

  7. Tous les sites malgrés tous les systèmes de protection resteront à la merci du pirate qui réussira a contourné le système de protection.

  8. @Julien: Cet article ainsi que l’article original sur Drupal.org signalent que la faille ne vient pas de Drupal, mais de l’OS.

    @Romain Gillot: comparer J! et WP à Drupal! C’est comme comparer Mac OS ou M$ à Linux.

  9. Ils ont plutôt intérêt à bien gérer les jours qui suivent car ce genre d’information est vite transformée de site en site. Il est important de préciser que ce n’est pas Drupal en cause mais un service tiers.

  10. Mouais… J’aime bien leur réaction: effacer les passwords « par précaution ». Sauf que si la personne qui est partie avec leur base est capable de casser un md5, et que les utilisateurs ont utilisé le même pass sur plusieurs services, ils vont se retrouver avec de sacrés problèmes…

  11. @Didier tu penses que Drupal utilise md5:

    Mot de passe: * (astérisque)
    Hash dans la BDD: $S$Da3SqzAS5yOiETHkcglXRUfn3IgGl4AxMN3DMB00xnARu.KtJ7Jp

    Je te donne 3 jours pour trouver * à partir du hash ci-dessus, note-bien que je te donne un indice important: le mot de passe est en 1 caractère.

    Bréf, Drupal 7 et 8 n’utilisent pas md5: http://stackoverflow.com/a/5031807/358906

  12. C’est ce que je sais est que Drupal est si sécurisé par rapport à WordPress et Joomla. Mais, il s’avère que la sécurité n’est pas garantie à 100%100. Et pour WordPress y a-t-il une menace?

Send this to friend

Lire les articles précédents :
Gmail : Google déploie la nouvelle boîte de réception

Les rumeurs de ce début de semaine avaient vu juste, Google a confirmé le déploiement d'une nouvelle version de Gmail.

Fermer