Drupal.org hacké, un million de comptes touchés

Une cyber-attaque a été perpétrée contre le site Drupal.org, environ un million de comptes ont été touchés.

Décidément, l’année 2013 connait son lot de cyber-attaques. Une des plus récentes en date est celle perpétrée contre le Pentagone. Hier, on a appris que c’était le site Drupal.org qui avait été désigné comme victime. Un million d’inscrits au site ont eu leur compte touché par cette attaque et leurs données ont été récupérées. A noter que groups.drupal.org a été également atteint.

Les hackeurs auraient eu accès aux pseudos, adresses mails et mots de passe (‘hachés’). Pour contrer au plus vite cette brèche, Drupal a immédiatement  remis à zéro tous les mots de passe et a envoyé un mail aux utilisateurs concernés. Si vous faites partie des victimes, il vous faudra confirmer votre e-mail et choisir un nouveau mot de passe. Il est bien évidemment conseillé de changer votre mot de passe sur d’autres sites si jamais vous utilisiez le même.

Drupal

Attention, une précision s’impose ! Seuls les comptes du site Drupal.org ont été touchés, ceux qui utilisent le CMS Drupal n’encourent aucun risque. En gros, si vous utilisez un site sous Drupal vous n’avez pas de souci à vous faire. Autre point, aucun code de carte de crédit n’est stocké sur les serveurs de Drupal vous ne devriez donc pas non plus vous inquiéter pour cela. A noter que le site vérifie quand même si un virus n’a pas été installé afin d’intercepter les numéros de CB.

Bien que Drupal.org semble avoir mis les moyens pour protéger efficacement les mots de passe contre les cyber-attaques, on voit bien qu’il est difficile de préserver ses données quand un pirate a décidé d’y accéder. Pour l’instant, Drupal a annoncé ne pas savoir d’où provenait l’attaque.

Up : Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!

(source)


17 commentaires

  1. Comment est-ce encore possible aujourd’hui que des sociétés comme Drupal puisse se faire récupérer les mots de passe alors qu’avec du SALT et du hachage il est impossible de récupérer quoi que ce soit. Alors soit ils stockent en clair les mots de passe, soit ils ont protégés mais par mesure de précaution, ils preferent que les usagers recreer des mots de passe.

  2. Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!
    Source: Mail envoyé par l’equipe sécurité « This unauthorized access was made via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within the Drupal software itself. »

  3. Avec Drupal, ou tout autre système qui « hash » les password on n’a rien à craindre à moi qu’on utilise un mot de passe court et facile à trouver avec un brute-force.

    Donc préférez un mot de passe:
    * Composé de 6 caractères ou plus
    * Composé de signes de ponctuation, chiffres, et lettres majuscules et minuscules.

    « It is recommended to choose a password that contains at least six characters. It should include numbers, punctuation, and both upper and lowercase letters. »

    * Cette règle simple augment le nombre de mots de passe possible avec 6 letters de 1 million (chiffres seulement) à 82 milliards au moins.

  4. Il est tout a fait possible de récupérer des mots de passe haché, la n’est pas le problème, le problème est comment ils ont accéder aux serveurs, faille XSS, injection, bref il arrive régulièrement que des étudiants pour « se tester » hack des grands comptes, des étudiants de l’EPITECH, SUPINFO ou encore l’HETIC arrivent souvent à récupérer des mdp type BNP, la plus part du temps ils préviennent simplement l’entreprise, d’autre fois non 🙂

  5. Mouais… J’aime bien leur réaction: effacer les passwords « par précaution ». Sauf que si la personne qui est partie avec leur base est capable de casser un md5, et que les utilisateurs ont utilisé le même pass sur plusieurs services, ils vont se retrouver avec de sacrés problèmes…

Commenter