Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
 La messagerie Matrix piratée, des mots de passe à changer

L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.

Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).

Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.

Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.

Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.

Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.

Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.

Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.

17 commentaires
Avatar de anonyme_5a66ddeca7eab541bf8de4d6fd2bfad0 INpactien

Java..... rien que ça j'étais déjà mort de rire..... Sécu et java c'est une grande histoire d'amour!

Avatar de Anony Abonné
Avatar de AnonyAnony- 15/04/19 à 08:58:02

"Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains"

=> cela n'aurait pas pu être évité en stockant un hash salé ?

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 15/04/19 à 09:08:34

TheFelin a écrit :

Java..... rien que ça j'étais déjà mort de rire..... Sécu et java c'est une grande histoire d'amour!

Mouais, ce n'est pas la JVM qui avait une faille mais le logiciel Jenkins et un patch était dispo depuis quelques temps car la faille était connue… Donc là, c'est plus de la flemme de Sysadmin…

Avatar de anagrys Abonné
Avatar de anagrysanagrys- 15/04/19 à 09:14:28

Utiliser Jenkins pour gérer une prod, c'est un peu moyen... Il est très bien pour faire de l'intégration continue, piloter des déploiements... mais faire plus que ça (même s'il peut le faire)...?

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 15/04/19 à 09:34:53

J'ai reçu l'e-mail, je ne rappelais pas avoir un compte :keskidit:

Avatar de Patch INpactien
Avatar de PatchPatch- 15/04/19 à 09:40:22

yope7 a écrit :

"Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains"

=> cela n'aurait pas pu être évité en stockant un hash salé ?

Qu'il soit salé ou pas, ca change quoi quand le mot de passe est "11111111", "Password1" ou un truc équivalent?

Édité par Patch le 15/04/2019 à 09:40
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 15/04/19 à 09:49:41

Rigole pas, j'ai fais une demande de renouvellement de ma carte d'identité, la dame de la mairie enregistre les infos (nom, prénom, empreintes digitales etc) via une appli java, pour les transmettre à l'ANTS. :D

Avatar de Arkamenion Abonné
Avatar de ArkamenionArkamenion- 15/04/19 à 11:10:55

Si ton sel est complexe genre "zf6a541f6zaf4z6r1zeq" il faudra trouver tester tous les combinaison sur XXXXXXXXzf6a541f6zaf4z6r1zeq donc beaucoup plus dur à trouver est pas déjà calculé dans des bases de données connues

Avatar de Arkamenion Abonné
Avatar de ArkamenionArkamenion- 15/04/19 à 11:13:34

Justement s'il est bien pour gérer des deploiements, beaucoup ne pas l'utiliser pour les déploiements de prod ?

Qui dit déploiement en prod dit qu'il faut bien l'avoir installer en prod. La seule faute ici n'est ni dans java, ni dans l'utilisation de Jenkins mais bien dans le fait de pas l'avoir mis à jour en temps, et d'après l'article, c'est ce qu'ils reconnaissent

Avatar de Creak Abonné
Avatar de CreakCreak- 15/04/19 à 12:08:12

Je suis peut-être naïf, mais ce devrait-il pas y avoir uniquement les services de Matrix sur le serveur de prod? Me semble que Jenkins aurait dû être sur un serveur à part.

Ceci étant dit, je suis un gros utilisateur de Riot, c'est ma messagerie principale et j'en suis très content. Et y a plein de fonctionnalités qui s'en viennent cette année afin de rendre Riot plus attrayant et facile d'utilisation (même si mes parents sont déjà dessus aujourd'hui).

Il n'est plus possible de commenter cette actualité.
Page 1 / 2