vBulletin, une solution de gestion de forums, est sous le coup d’une grave faille de sécurité. La mise à jour est déjà disponible, mais l’entreprise n’a finalement que très peu communiqué. Ses propres forums ont été attaqués et tous les utilisateurs ont eu obligation de changer leur mot de passe.
La solution vBulletin se retrouve régulièrement sur la Toile. Il s’agit de l’un des logiciels les plus courants pour mettre en place un forum ou, plus globalement, un espace d’échanges communautaires. La société qui l’édite se nomme Jelsoft Entreprises et il est écrit en PHP, avec une base MySQL. C’est l’un des grands concurrents d’une autre solution très connue, IPB (utilisé par exemple par le forum de Next INpact), ainsi que de phpBB.
Une mise à jour de sécurité et une réinitialisation des mots de passe
La journée de lundi a été particulièrement éprouvante pour l’entreprise, qui a dû faire face à un problème majeur de sécurité. En l’espace de quelques heures, elle a publié un patch de sécurité concernant les versions 5.1.4 à 5.1.9. Aucune indication supplémentaire de l’éditeur, autre qu’une chaude recommandation de l’installer aussi rapidement que possible. Parallèlement, vBulletin provoquait un renouvellement obligatoire des mots de passe pour les inscrits à ses propres forums, soit environ 480 000 personnes.
Un message a été publié lundi soir vers 22h pour expliquer aux utilisateurs qu’une attaque « sophistiquée » avait été détectée contre ses infrastructures. Selon l’enquête de l’éditeur, l’attaquant a très bien pu accéder aux logins et aux mots de passe, bien que ces derniers soient stockés sous forme chiffrée, le renouvellement apparaissait comme la seule solution sûre. Il était également recommandé de bien choisir un mot de passe qui n'avait jamais été utilisé ailleurs (un conseil qu’il faut bien trop souvent rappeler).
Il manquait cependant un lien entre les deux annonces. Il était curieux que vBulletin avertisse d’un côté d’une attaque sophistiquée et de l’autre qu’une mise à jour de sécurité soit proposée avec un caractère urgent. On pouvait évidemment se douter qu’une faille avait été exploitée et que le correctif en était le résultat. Ce qui impliquait que les versions « patchées » de vBulletin étaient affectées par une faille critique 0-day, d’où la recommandation urgente d’installation. Mais l’éditeur ne relie pas les pointillés entre eux.
Une faille découverte il y a déjà trois ans
Plusieurs autres éléments sont venus s’ajouter depuis dans la petite équation. Dans un premier temps, un utilisateur du nom de « Coldzer0 » a indiqué dans les forums de The Admin Zone avoir récupéré une base de données comprenant précisément 479 895 logins et leurs mots de passe associés. En d’autres termes, il indiquait être l’auteur du piratage de vBulletin. Ses différents messages comprenant initialement une vidéo YouTube ainsi que des informations supplémentaires sur une page Facebook. Cependant, comme le signalent nos confrères d’Ars Technica, ces éléments ont été supprimés depuis.
Dans un second temps, une autre personne, « cutz » a publié un message énigmatique sur Twitter la nuit dernière. Indiquant simplement que la faille (sans préciser laquelle) étant désormais corrigée, il (ou elle) pouvait en publier les détails. Dans ces derniers, on trouve une référence directe à Coldzer0, qui aurait cherché à vendre une faille RCE (Remote Code Execution) 0-day affectant vBulletin 5. Cutz indiquait également avoir vu la vidéo de Coldzer0 dans laquelle on le voyait pirater plusieurs forums vBulletin. Les renseignements suivants sont a priori des précisions sur la faille qui aurait été principalement exploitée pour réaliser ces opérations, une brèche qui aurait été découverte il y a maintenant trois ans.
L'identité du pirate est a priori connue
Seulement voilà, s’il s’agit bien de « ce » Coldzer0, alors son identité est connue. C’est le site Databreaches.net qui donne l’information : son nom serait Mohamed Osama, et il disposerait d’un site personnel. Il s’y présente comme un analyste de logiciels malveillants, un chercheur en sécurité et un spécialiste de la rétroingénierie. Il possèderait même un compte LinkedIn et travaillerait pour la société Orbit Shield, basée à Dubai.
Et il s’agirait bien du « vrai » Coldzer0, Databreaches possédant des captures d’écran d’un statut Facebook depuis supprimé, celui-là même dont il était question précédemment. On pouvait y voir des captures montrent plusieurs fichiers issus du piratage de vBulletin. Notez en outre que 0day Today dispose dans son canal YouTube d’une vidéo présentée comme la copie de celle que Coldzer0 avait initialement publiée. Dans l’absolu, et en dépit du nom de l’auteur dans la vidéo, il est difficile d’affirmer qu’il s’agit bien de la même. Dans tous les cas, Coldzer0 et/ou Mohamed Osama n'ont pour le moment fait aucune déclaration.
Signalons enfin que vBulletin n’a pas été le seul à être piraté par l’intermédiaire de cette fameuse faille. Selon Coldzer0, les forums de Foxit Software ont également été attaqués avec succès, provoquant la récupération des données de 260 000 comptes, sur les 537 000 environ que possède l’éditeur. Mais il faut rappeler ici que si la faille a bien trois ans, alors Foxit et vBulletin ne sont peut-être que la partie émergée de l’iceberg. Et Coldzer0 devrait rapidement être retrouvé.
En attendant, tous les sites utilisant la solution vBulletin sont invités à mettre à jour le logiciel au plus vite. Les forums hébergées dans l’offre Cloud Sites de l’entreprise ont déjà été corrigés.
Commentaires (25)
#1
C’est juste la version 5 qui est touchée où les précédentes aussi ?
#2
Encore une ?
" />
Va falloir que je rechange de mot de passe sur plusieurs fofos/sites.
En tout cas ce genre de nouvelles à répétitions nous incite vraiment à ne pas utiliser le même mot de passe partout. Ça peut être une mauvaise expérience mais une leçon très formatrice.
#3
Depuis le temps que ces différents systèmes existent, n’y a-t-il pas eu des concurrents utilisant des technos plus “modernes” qui sont apparus ?
#4
Gamekult et son forum Moldave vont enfin être mis à jour ! :nerd:
" />
Maintenant je vais lire l’article.
#5
#6
#7
#8
Voir le forum HFR qui tourne sous une solution “mesdiscussions” certes moche, mais efficace. Par contre, c’est pas donné …
Sinon, quid de SMF ?
#9
J’avais en tête que PHP était sous-optimal, bourré de failles et surtout pas très propre à écrire. Mais c’était peut être des on-dits.
Quand à MySQL à vrai dire je n’en sais rien, j’ai aussi entendu dire que ce n’était pas terrible pour les grosses bases mais ce n’est pas mon expérience qui parle.
#10
Au bout d’un moment, oui. Un vieux machin qui se traine des tonnes de code de compatibilité ou qui est parti sur de mauvaises bases et qui n’a jamais subi de refactoring sérieux a plus de chances d’être bourré de failles qu’un langage moderne pensé dès le début pour l’efficacité et la sécurité.
“Faire ses preuves” n’a aucun sens en informatique ou la moindre mise à jour peut te casser complètement une fonctionnalité ou rajouter des failles.
#11
Dans un second temps, une autre personne, « cutz » a publié un message énigmatique sur Twitter la nuit dernière. Indiquant simplement que la faille (sans préciser laquelle) étant désormais corrigée, il (ou elle)
Le mot personne est féminin, pas besoin d’écrire (ou elle), puisque le il est déjà malvenu.
#12
Ces on-dits ne sont pas infondés, mais ce n’est pas totalement vrai non plus.
Après avoir utilisé ce langage pendant quelques temps, il est remonté dans mon estime.
Alors oui, le langage n’aide pas, mais les failles viennent des développeurs, pareil pour le “pas très propre”. Faut aussi prendre en compte qu’en tant que “langage du web” haut niveau et accessible, il a souvent été manipulé par des gens qui n’ont pas une formation de développeur.
Et il y a de bons frameworks PHP qui permettent de bien gérer sécurité et propreté (architecture de l’appli).
Pour les performances, il y a des accelerators qui font du bon boulot en optimisant avec du cache.
Et puis surtout, c’est tellement utilisé que c’est très facile à déployer. En général, c’est du plug-and-play, et ça c’est important pour des forum software et autres CMS.
Cela dit, je suis d’accord avec toi, PHP a bien évolué avec les versions mais on ne peut pas se refaire complètement. Il doit rester au maximum rétrocompatible et traine ça comme un boulet.
#13
Je suis sur une V4, ca devrait aller alors… 
" />
#14
#15
Ok, merci !
#16
#17
C’est moche dans le sens où tu as une liberté totale pour la modification des couleurs du forum.
" />
En plus le système de drapeaux
C’est l’un de forums où je vais le plus.
#18
#19
Il y a quand même des langages plus ou moins élégants pour chaque type de problème rencontrés.
Le Python permet de faire des choses très puissantes en une seule ligne. Parfois ça complique beaucoup la lecture, mais parfois ça la rend aussi plus fluide et plus proche d’un langage naturel.
Mais après on est bien d’accord, un développeur dégueulasse arrivera à salir n’importe quel langage :)
#20
Ca a augmenté :/.
#21
Premier forum ou je me suis inscrit, bien abvant la bascule sur l’actuel (HFR) ^^. Et oui les drapeaux sont géniaux :p.
#22
#23
Aucune udée, ça fait un petit moment que je ne suis plus ça, mais me semblait que c’était 100€/an.
Edit > Hic … J’étais très loin du compte … :http://www.mesdiscussions.net/offres/
[:matleflou]
#24
Bah python, parfait exemple. J’aime bien ce langage, effectivement bien balèze au niveau syntaxique.
Mais alors le fait de pouvoir par exemple créer un champs dans un objet à la volée depuis l’exterieur, ça à l’air sympa comme ça. Ca me fait juste froid dans le dos d’imaginer maintenir un gros projet utilisant ce genre de machin si le code est pas tiré au cordeau et documenté à la perfection. Et puis aucun IDE peut venir à ton secours. Faut toujours avoir un oeil sur la doc/le code. Ca peut devenir très vite le bordel, chose moins flagrante avec des langages moins permissifs.
#25