Drupal est un système de gestion de contenu, autrement appelé CMS, bien connu des internautes. Le site officiel de ce projet open source avertit néanmoins les utilisateurs qu’un accès non autorisé aux données des comptes utilisateurs a été détecté. Décision a donc été prise de réinitialiser la totalité des mots de passe, tout en fournissant des explications et quelques conseils supplémentaires.
L’équipe de sécurité de Drupal indique sur le blog officiel du projet que les comptes utilisateurs de Drupal.org ont bien été victime d’une fuite de données. Elle explique que la faute retombe sur un composant tiers situé sur les serveurs et que la brèche de sécurité n’est pas inhérente à Drupal lui-même. Le fournisseur de ce composant, qui n’a pas été nommé, a été averti et la faille a bien été confirmée.
Lorsque l’accès non autorisé aux données a été détecté, l’équipe a réalisé un audit de son infrastructure. Elle a ainsi pu déterminer qu’il y avait bien eu une fuite de données touchant les noms d’utilisateurs, les adresses emails, le pays ainsi que le mot de passe haché. Par mesure de sécurité, l’équipe a provoqué une réinitialisation totale des mots de passe pour tous les comptes. Cela signifie qu’il ne sera pas possible de se reconnecter au service sans en choisir un nouveau.
L’équipe en profite pour recommander chaudement de faire attention, car la fuite de données peut avoir des corollaires imprévus pour les utilisateurs. Il est courant en effet que l’on utilise la même combinaison adresse email et mot de passe pour plusieurs services. Si les pirates trouvent les mots de passe, ils pourront utiliser ces identifiants pour d’autres services, ce qui pourrait alors occasionner des dégâts.
Drupal indique que l’enquête continue et que d’autres données pourraient être concernées. Pour l’instant, rien ne l’indique, et l’équipe a pris des mesures pour renforcer les défenses de ses serveurs, notamment des kernel sécurisés (GRSEC) et l’archivage de certains vieux sites qui avaient été utilisés pour d’anciens évènements. En outre, seuls les comptes utilisateurs du site officiel sont touchés. Le CMS n'étant pas lui-même touché, les sites qui l'utilisent ne sont pas concernés.