Forum d'Ubuntu piraté : 2 millions d'utilisateurs concernés, les mots de passe épargnés

Forum d’Ubuntu piraté : 2 millions d’utilisateurs concernés, les mots de passe épargnés

Une paille

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

18/07/2016 3 minutes
29

Forum d'Ubuntu piraté : 2 millions d'utilisateurs concernés, les mots de passe épargnés

Canonical explique que le forum d'Ubtuntu a été victime d'une faille de sécurité à cause d'un module qui n'avait pas été mis à jour. Des données personnelles de deux millions d'utilisateurs sont dans la nature, mais pas les mots de passe en clair.

Le 14 juillet, Canonical a été informé que des pirates revendiquaient avoir récupéré des informations provenant de la base de données de son forum. Après investigation, il s'avère que c'était bel et bien le cas. Dans un billet de blog, la société s'explique.

Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature

La faille se cachait dans l'extension Forumrunner de vBulletin qui était vulnérable à une attaque par injection SQL. « Cela donnait aux attaquants la possibilité de lire toutes les tables, mais nous croyons qu'ils n'ont accédé qu'à la table 'user' » indique Canonical. 

Ils ont ainsi récupéré une « portion » des données concernant tout de même deux millions d'utilisateurs. Il est question des noms d'utilisateurs, des adresses email ainsi que des adresses IP correspondantes. On retrouve également des mots de passe, mais il ne s'agit que d'une chaine aléatoire (qui est en plus hachée et salée) renvoyée par le SSO Ubuntu utilisé pour établir la connexion.

Des mesures pour éviter que cela ne se reproduise

« Nous savons que l'attaquant n'a pas pu avoir accès aux vrais mots de passe des utilisateurs » affirme Ubuntu... qui ne donne par contre aucun détail sur les algorithmes utilisés, il faut donc la croire sur parole. La société ajoute que les systèmes de mises à jour ainsi que les dépôts où se trouvent le code d'Ubuntu n'ont pas été violés. De plus, elle « pense » que les pirates n'ont pas pu écrire d'informations dans ses bases de données. De manière générale, aucun autre service ne semble avoir été touché.

Bien évidemment, les serveurs et vBulletin ont été mis à jour avec l'application des derniers patchs de sécurité. Un firewall supplémentaire a été installé (ModSecurity) et une surveillance accrue instaurée afin de vérifier que les mises à jour de sécurité de vBulletin sont correctement appliquées. Par sécurité, l'ensemble des mots de passe a été réinitialisé.

Dans tous les cas, les risques sont toujours les mêmes dans cette situation : une attaque par phishing où un pirate essaye de se faire passer pour Ubuntu afin de récupérer des données personnelles. Quoi qu'il en soit, cette affaire est également l'occasion de rappeler, une fois encore, l'importance des mises à jour et de les effectuer rapidement lorsqu'elles touchent à la sécurité.

 

 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature

Des mesures pour éviter que cela ne se reproduise

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (29)


A-snowboard
Le 18/07/2016 à 13h 03

Ah ça m’avais manqué ce genre de news. <img data-src=" />


typhoon006 Abonné
Le 18/07/2016 à 13h 10

La preuve que Linux c’est plein de failles :/

Personne n’a encore réussi à pirater Technet de MS&nbsp;



<img data-src=" />


athlon64
Le 18/07/2016 à 13h 14

Ou qu’il n’y a aucun challenge à le faire <img data-src=" />





<img data-src=" />


jaffalibre
Le 18/07/2016 à 13h 15

ou les pirates ont honte de dire qu’ils l’ont fait <img data-src=" />


Altair31
Le 18/07/2016 à 13h 24







typhoon006 a écrit :



La preuve que Linux c’est plein de failles :/

Personne n’a encore réussi à pirater Technet de MS&nbsp;



<img data-src=" />









athlon64 a écrit :



Ou qu’il n’y a aucun challenge à le faire <img data-src=" />





<img data-src=" />









jaffalibre a écrit :



ou les pirates ont honte de dire qu’ils l’ont fait <img data-src=" />





Mais non, c’est juste qu’il y a trop peu de données à récupérer pour que ce soit rentable



<img data-src=" /><img data-src=" />



renaud07
Le 18/07/2016 à 13h 27

Ouf, j’ai cru que c’était le forum francophone <img data-src=" />


Texas Ranger
Le 18/07/2016 à 13h 29

C’est difficile de chiffrer les données personnelles sur le serveur ?


lordzeon
Le 18/07/2016 à 13h 29

Ca devient une maladie ces boites qui ne sont pas capables de garantir la sécurité des données de leurs clients/utilisateurs :(.

&nbsp;


psychou
Le 18/07/2016 à 13h 40







renaud07 a écrit :



Ouf, j’ai cru que c’était le forum francophone <img data-src=" />





la même <img data-src=" />



Obidoub
Le 18/07/2016 à 13h 48

Ils n’ont pas fait apt-get update && apt-get upgrade sur leur serveur ?

Ils n’ont pas cloisonné leurs services dans des containers lxd ?



Ok, j’arrête de troller <img data-src=" />


trash54
Le 18/07/2016 à 13h 53

sans la moyenne de 2 news du genre par mois y a comme un manque <img data-src=" />


CUlater
Le 18/07/2016 à 14h 11

Question sûrement bête: y’a quoi comme données vraiment personnelles sur un forum Ubuntu? <img data-src=" />

Y’a besoin de donner son nom/prénom lors de l’inscription? Ou alors il s ‘agit “seulement” des adresses mail.


Zergy
Le 18/07/2016 à 14h 19



On retrouve également des mots de passe, mais il ne s’agit que d’une chaine aléatoire (qui est en plus hachée et salée)



Manque plus que poivre, œuf, oignons et câpres pour avoir des mots de passe tartare. (Désolé…)


A-snowboard
Le 18/07/2016 à 14h 34







Zergy a écrit :



Manque plus que poivre, œuf, oignons et câpres pour avoir des mots de passe tartare. (Désolé…)







<img data-src=" />







CUlater a écrit :



Question sûrement bête: y’a quoi comme données vraiment personnelles sur un forum Ubuntu? <img data-src=" />

Y’a besoin de donner son nom/prénom lors de l’inscription? Ou alors il s ‘agit “seulement” des adresses mail.





D’ailleurs, un pseudo est-il une données personnelle ? (CNIL pour les forum)



stratic Abonné
Le 18/07/2016 à 14h 34

<img data-src=" />


LostSoul Abonné
Le 18/07/2016 à 14h 36







stratic a écrit :





Comme quoi, même pour troller, il faut connaître un minimum son sujet <img data-src=" />





Bah non, justement, le principe du troll c’est de lâcher un truc qui n’a rien à voir avec le sujet <img data-src=" />

(Tout le monde a bien compris que la faille est dans le code de vBulletin)



typhoon006 Abonné
Le 18/07/2016 à 14h 37

Okcéb1


Colthus
Le 18/07/2016 à 15h 07







Texas Ranger a écrit :



C’est difficile de chiffrer les données personnelles sur le serveur ?







C’est mettre la clé ailleurs que sous le paillasson qui est compliqué donc autant ne pas chiffré.



tefze1
Le 18/07/2016 à 16h 02







A-snowboard a écrit :



D’ailleurs, un pseudo est-il une données personnelle ? (CNIL pour les forum)





La CNIL recommande de ne pas utiliser le même pseudo sur les sites sur lesquels on s’inscrit.

Donc je pense qu’à défaut d’être une donnée personnelle, c’est un élément qui doit permettre d’en retrouver si on ne suit pas leurs recos.



loloemr
Le 18/07/2016 à 18h 59

Genre il y a 2 millions d’inscrit dans les forums Ubuntu. On sait bien que les Linuxiens ça existe pas en vrai.

&nbsp;

A tous les coups ce sont des comptes créé par des robots exploitants d’autres failles dans le formulaire d’inscription …


A-snowboard
Le 18/07/2016 à 20h 03







tefze1 a écrit :



La CNIL recommande de ne pas utiliser le même pseudo sur les sites sur lesquels on s’inscrit.

Donc je pense qu’à défaut d’être une donnée personnelle, c’est un élément qui doit permettre d’en retrouver si on ne suit pas leurs recos.







Faudrait que je tel à la CNIL. Je gère un forum et je me suis farcis une mise en demeure. Le mec demande la suppression totale de son compte et de ses messages (ce que j’ai fait), sous prétexte que c’est des données personnelle.



Il n’en tiendrait qu’a moi, je l’aurai laissé aller au procès mais j’ai pas que ça à foutre.



Galixte Abonné
Le 19/07/2016 à 04h 14
desaunay
Le 19/07/2016 à 07h 21

Plusieurs choses:





  • le mdp, qui peut être le même sur d’autres sites.

  • Les commentaires, qui peuvent être virulents, et qui seraient exploités par un recruteur pour se faire une idée de la personnalité du commentateur (ça vaut ce que ça vaut, je décrit seulement la pratique)

  • Les commentaires (bis) qui donnent parfois une idée de la compétence de la personne (“t’as essayé de rebooter?”)




CUlater
Le 19/07/2016 à 07h 57

<img data-src=" /> <img data-src=" /><img data-src=" />


tefze1
Le 19/07/2016 à 08h 41







desaunay a écrit :



Plusieurs choses:

le mdp, qui peut être le même sur d’autres sites.Les commentaires, qui peuvent être virulents, et qui seraient exploités par un recruteur pour se faire une idée de la personnalité du commentateur (ça vaut ce que ça vaut, je décrit seulement la pratique)Les commentaires (bis) qui donnent parfois une idée de la compétence de la personne (“t’as essayé de rebooter?”)





Ouais, j’ai eu une intrusion dans mon vieux compte Gmail à cause de la fuite MySpace (pas rigoler…).



Après c’est vrai qu’un pseudo est une mine d’or.&nbsp;



A-snowboard
Le 19/07/2016 à 11h 49
ner0lph Abonné
Le 19/07/2016 à 12h 06

En même temps, ils n’ont qu’à pas utiliser vBulletin (logiciel propriétaire). <img data-src=" />


ner0lph Abonné
Le 19/07/2016 à 12h 08





  • Le mdp n’a pas été transmis.

  • Les commentaires sont publics.

  • Les commentaires sont publics.




Jarodd Abonné
Le 19/07/2016 à 13h 57

Pareil <img data-src=" />



Quoiqu’il est si souvent en carafe que ça limite le risque de piratage <img data-src=" />