du 15 avril 2019
Date

Choisir une autre édition

 La messagerie Matrix piratée, des mots de passe à changer

L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.

Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).

Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.

Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.

Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.

Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.

Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.

Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.

chargement Chargement des commentaires...