Connect with us

Internet

Drupal.org hacké, un million de comptes touchés

Une cyber-attaque a été perpétrée contre le site Drupal.org, environ un million de comptes ont été touchés.

Il y a

le

Décidément, l’année 2013 connait son lot de cyber-attaques. Une des plus récentes en date est celle perpétrée contre le Pentagone. Hier, on a appris que c’était le site Drupal.org qui avait été désigné comme victime. Un million d’inscrits au site ont eu leur compte touché par cette attaque et leurs données ont été récupérées. A noter que groups.drupal.org a été également atteint.

Les hackeurs auraient eu accès aux pseudos, adresses mails et mots de passe (‘hachés’). Pour contrer au plus vite cette brèche, Drupal a immédiatement  remis à zéro tous les mots de passe et a envoyé un mail aux utilisateurs concernés. Si vous faites partie des victimes, il vous faudra confirmer votre e-mail et choisir un nouveau mot de passe. Il est bien évidemment conseillé de changer votre mot de passe sur d’autres sites si jamais vous utilisiez le même.

Drupal

Attention, une précision s’impose ! Seuls les comptes du site Drupal.org ont été touchés, ceux qui utilisent le CMS Drupal n’encourent aucun risque. En gros, si vous utilisez un site sous Drupal vous n’avez pas de souci à vous faire. Autre point, aucun code de carte de crédit n’est stocké sur les serveurs de Drupal vous ne devriez donc pas non plus vous inquiéter pour cela. A noter que le site vérifie quand même si un virus n’a pas été installé afin d’intercepter les numéros de CB.

> Lire aussi :  Affaire Khashoggi : Le site saoudien du "Davos du désert" piraté et défacé

Bien que Drupal.org semble avoir mis les moyens pour protéger efficacement les mots de passe contre les cyber-attaques, on voit bien qu’il est difficile de préserver ses données quand un pirate a décidé d’y accéder. Pour l’instant, Drupal a annoncé ne pas savoir d’où provenait l’attaque.

Up : Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!

(source)

17 Commentaires

17 Commentaires

  1. JiaJo

    30 mai 2013 at 13 h 52 min

    Comment est-ce encore possible aujourd’hui que des sociétés comme Drupal puisse se faire récupérer les mots de passe alors qu’avec du SALT et du hachage il est impossible de récupérer quoi que ce soit. Alors soit ils stockent en clair les mots de passe, soit ils ont protégés mais par mesure de précaution, ils preferent que les usagers recreer des mots de passe.

  2. Jean

    30 mai 2013 at 14 h 21 min

    C’est tout de même inquiétant. Mais où peut-on stocker nos infos en toute sécurité ?

  3. Nanak

    30 mai 2013 at 14 h 24 min

    Précision importante: la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal, la sécurité de Drupal en elle même n’est donc pas remise en question!
    Source: Mail envoyé par l’equipe sécurité « This unauthorized access was made via third-party software installed on the Drupal.org server infrastructure, and was not the result of a vulnerability within the Drupal software itself. »

    • Axel-Cereloz

      30 mai 2013 at 14 h 27 min

      Vous avez reçu le mail ? Je vais ajouter votre contribution en complément.

  4. GaëlG

    30 mai 2013 at 14 h 57 min

    @JiaJo
    C’est en effet une mesure de précaution, bien entendu les mots de passe ne sont pas en clair :
    « All Drupal.org passwords are both hashed and salted, although some older passwords on some subsites were not salted.  »
    https://drupal.org/news/130529SecurityUpdate

  5. Akiseo

    30 mai 2013 at 15 h 47 min

    Ouch, gros coup dur pour drupal là…ça va faire bobo je pense. C’est tout de même inquiétant.

  6. kSaMi -> Idées sorties

    30 mai 2013 at 16 h 28 min

    Faille de sécurité pour Drupal, oula il va en prendre un coup…

  7. Nabil

    30 mai 2013 at 18 h 48 min

    Avec Drupal, ou tout autre système qui « hash » les password on n’a rien à craindre à moi qu’on utilise un mot de passe court et facile à trouver avec un brute-force.

    Donc préférez un mot de passe:
    * Composé de 6 caractères ou plus
    * Composé de signes de ponctuation, chiffres, et lettres majuscules et minuscules.

    « It is recommended to choose a password that contains at least six characters. It should include numbers, punctuation, and both upper and lowercase letters. »

    * Cette règle simple augment le nombre de mots de passe possible avec 6 letters de 1 million (chiffres seulement) à 82 milliards au moins.

  8. Julien

    31 mai 2013 at 10 h 50 min

    Il est tout a fait possible de récupérer des mots de passe haché, la n’est pas le problème, le problème est comment ils ont accéder aux serveurs, faille XSS, injection, bref il arrive régulièrement que des étudiants pour « se tester » hack des grands comptes, des étudiants de l’EPITECH, SUPINFO ou encore l’HETIC arrivent souvent à récupérer des mdp type BNP, la plus part du temps ils préviennent simplement l’entreprise, d’autre fois non 🙂

  9. Romain Gillot

    31 mai 2013 at 14 h 29 min

    Je sens que WordPress et Joomla vont récupérer des utilisateurs…

  10. gab master case

    31 mai 2013 at 15 h 57 min

    Tous les sites malgrés tous les systèmes de protection resteront à la merci du pirate qui réussira a contourné le système de protection.

  11. Nabil

    31 mai 2013 at 16 h 41 min

    @Julien: Cet article ainsi que l’article original sur Drupal.org signalent que la faille ne vient pas de Drupal, mais de l’OS.

    @Romain Gillot: comparer J! et WP à Drupal! C’est comme comparer Mac OS ou M$ à Linux.

  12. SDN

    31 mai 2013 at 17 h 40 min

    Ils ont plutôt intérêt à bien gérer les jours qui suivent car ce genre d’information est vite transformée de site en site. Il est important de préciser que ce n’est pas Drupal en cause mais un service tiers.

  13. Nicolas Chevallier

    31 mai 2013 at 17 h 47 min

    J’ai un compte sur Drupal mais pas reçu de mail donc je m’inquiète pas…

  14. Didier

    1 juin 2013 at 12 h 49 min

    Mouais… J’aime bien leur réaction: effacer les passwords « par précaution ». Sauf que si la personne qui est partie avec leur base est capable de casser un md5, et que les utilisateurs ont utilisé le même pass sur plusieurs services, ils vont se retrouver avec de sacrés problèmes…

  15. Nabil

    1 juin 2013 at 22 h 29 min

    @Didier tu penses que Drupal utilise md5:

    Mot de passe: * (astérisque)
    Hash dans la BDD: $S$Da3SqzAS5yOiETHkcglXRUfn3IgGl4AxMN3DMB00xnARu.KtJ7Jp

    Je te donne 3 jours pour trouver * à partir du hash ci-dessus, note-bien que je te donne un indice important: le mot de passe est en 1 caractère.

    Bréf, Drupal 7 et 8 n’utilisent pas md5: http://stackoverflow.com/a/5031807/358906

  16. Mima

    3 juin 2013 at 10 h 24 min

    C’est ce que je sais est que Drupal est si sécurisé par rapport à WordPress et Joomla. Mais, il s’avère que la sécurité n’est pas garantie à 100%100. Et pour WordPress y a-t-il une menace?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests