Canonical explique que le forum d'Ubtuntu a été victime d'une faille de sécurité à cause d'un module qui n'avait pas été mis à jour. Des données personnelles de deux millions d'utilisateurs sont dans la nature, mais pas les mots de passe en clair.
Le 14 juillet, Canonical a été informé que des pirates revendiquaient avoir récupéré des informations provenant de la base de données de son forum. Après investigation, il s'avère que c'était bel et bien le cas. Dans un billet de blog, la société s'explique.
Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature
La faille se cachait dans l'extension Forumrunner de vBulletin qui était vulnérable à une attaque par injection SQL. « Cela donnait aux attaquants la possibilité de lire toutes les tables, mais nous croyons qu'ils n'ont accédé qu'à la table 'user' » indique Canonical.
Ils ont ainsi récupéré une « portion » des données concernant tout de même deux millions d'utilisateurs. Il est question des noms d'utilisateurs, des adresses email ainsi que des adresses IP correspondantes. On retrouve également des mots de passe, mais il ne s'agit que d'une chaine aléatoire (qui est en plus hachée et salée) renvoyée par le SSO Ubuntu utilisé pour établir la connexion.
Des mesures pour éviter que cela ne se reproduise
« Nous savons que l'attaquant n'a pas pu avoir accès aux vrais mots de passe des utilisateurs » affirme Ubuntu... qui ne donne par contre aucun détail sur les algorithmes utilisés, il faut donc la croire sur parole. La société ajoute que les systèmes de mises à jour ainsi que les dépôts où se trouvent le code d'Ubuntu n'ont pas été violés. De plus, elle « pense » que les pirates n'ont pas pu écrire d'informations dans ses bases de données. De manière générale, aucun autre service ne semble avoir été touché.
Bien évidemment, les serveurs et vBulletin ont été mis à jour avec l'application des derniers patchs de sécurité. Un firewall supplémentaire a été installé (ModSecurity) et une surveillance accrue instaurée afin de vérifier que les mises à jour de sécurité de vBulletin sont correctement appliquées. Par sécurité, l'ensemble des mots de passe a été réinitialisé.
Dans tous les cas, les risques sont toujours les mêmes dans cette situation : une attaque par phishing où un pirate essaye de se faire passer pour Ubuntu afin de récupérer des données personnelles. Quoi qu'il en soit, cette affaire est également l'occasion de rappeler, une fois encore, l'importance des mises à jour et de les effectuer rapidement lorsqu'elles touchent à la sécurité.
