Drupal est un système de gestion de contenu, autrement appelé CMS, bien connu des internautes. Le site officiel de ce projet open source avertit néanmoins les utilisateurs qu’un accès non autorisé aux données des comptes utilisateurs a été détecté. Décision a donc été prise de réinitialiser la totalité des mots de passe, tout en fournissant des explications et quelques conseils supplémentaires.
L’équipe de sécurité de Drupal indique sur le blog officiel du projet que les comptes utilisateurs de Drupal.org ont bien été victime d’une fuite de données. Elle explique que la faute retombe sur un composant tiers situé sur les serveurs et que la brèche de sécurité n’est pas inhérente à Drupal lui-même. Le fournisseur de ce composant, qui n’a pas été nommé, a été averti et la faille a bien été confirmée.
Lorsque l’accès non autorisé aux données a été détecté, l’équipe a réalisé un audit de son infrastructure. Elle a ainsi pu déterminer qu’il y avait bien eu une fuite de données touchant les noms d’utilisateurs, les adresses emails, le pays ainsi que le mot de passe haché. Par mesure de sécurité, l’équipe a provoqué une réinitialisation totale des mots de passe pour tous les comptes. Cela signifie qu’il ne sera pas possible de se reconnecter au service sans en choisir un nouveau.
L’équipe en profite pour recommander chaudement de faire attention, car la fuite de données peut avoir des corollaires imprévus pour les utilisateurs. Il est courant en effet que l’on utilise la même combinaison adresse email et mot de passe pour plusieurs services. Si les pirates trouvent les mots de passe, ils pourront utiliser ces identifiants pour d’autres services, ce qui pourrait alors occasionner des dégâts.
Drupal indique que l’enquête continue et que d’autres données pourraient être concernées. Pour l’instant, rien ne l’indique, et l’équipe a pris des mesures pour renforcer les défenses de ses serveurs, notamment des kernel sécurisés (GRSEC) et l’archivage de certains vieux sites qui avaient été utilisés pour d’anciens évènements. En outre, seuls les comptes utilisateurs du site officiel sont touchés. Le CMS n'étant pas lui-même touché, les sites qui l'utilisent ne sont pas concernés.
Commentaires (12)
#1
Les mot de passes étaient en clair ou hashés ? Avec quoi ?
#2
hashés c’est pas possible qu’un cms moderne le fasse pas…. Sauf si l’admin l’a desactivé mais bon, faut être un sacré crétin pour désactiver ça………
#3
Réponse :
“How is my Drupal.org password protected?
Passwords on Drupal.org are stored in a hashed format. Currently, passwords are both hashed and salted using multiple rounds of hashing (based on PHPass). Passwords on some subsites were not salted.”
#4
Plus que moyenne la news… De quels comptes s’agit-il ?
" /> pas à dire que vous ne faites que de l’article à clic 
" />)
De ce que je comprends, ce sont ceux de drupal.org, mais ce n’est indiqué nul part dans la news. C’était vraiment trop dur d’indiquer :
Does this affect my own Drupal site?
This notice applies specifically to user account data stored on Drupal.org and groups.drupal.org, and not to sites running Drupal generally.
???
Parce que votre buzzNews là, elle passe pour du “Faille de sécu repérée dans Drupal”.
(Je suis gentil, je ne
#5
#6
#7
#8
#9
#10
#11
Attention chérie, ça va sworder
" />
#12
Pourquoi la plupart de vos tests et résultats sont en Anglais ? Pas de traducteurs ?
Dommage, je ne lis et ne parle cette langue…