Les forums Ubuntu attaqués, les données de presque 2 millions d’utilisateurs dans la nature
Le site Web Ubuntu Forum a été mis hors ligne suite à la dégradation de sa home page par des pirates qui ont également eu accès à la base de données refermant les informations détaillées de 1,82 million d’utilisateurs.
Le site Web Ubuntu Forum a été mis hors ligne suite à la dégradation de sa home page par des pirates qui ont également eu accès à la base de données refermant les informations détaillées de 1,82 million d’utilisateurs. «Malheureusement, les attaquants sont parvenus à obtenir les noms d’utilisateurs, mots de passe et adresses emails depuis la base d’Ubuntu Forum», affirme un message publié sur le site Web du projet. Les mots de passe n’étaient pas stockés en plein texte mais sous forme de hash aléatoire (salt), ce qui permet un niveau supérieur de sécurité bien que cette forme de chiffrement soit toujours vulnérable. Il n’est pas précisé si les données ainsi compromises avaient été publiées en ligne.
Les équipes des forums Ubuntu recommandent de modifier les mots de passe dès que possible, surtout si ces mêmes mots de passe sont utilisés pour d’autres sites ou services. «Nous pensons que le problème ne concerne que les Ubuntu Forums, aucun autre site ou service Ubuntu ou Canonical n’est affecté», indique un billet de blog publié par Canonical, la société derrière Ubuntu.
La société mène actuellement une enquête qui devra déterminer comment les attaquants ont pu avoir accès à la base et travaille avec les équipes d'ingénieurs pour résoudre ces problèmes. Canonical entend détailler la situation dès la fin de l’enquête. D’ici là, le site Ubuntu Forum restera fermé jusqu’à ce qu’il soit suffisamment sécurisé pour être remis en ligne. Selon nos confrères d’Ars Technica, les mots de passe des forums étaient chiffrés via l’algorithme MD5, ainsi que par un «salt» par utilisateur.
Les experts en sécurité considèrent cette approche comme un moyen de protection peu fiable et inadéquate pour protéger des mots de passe, soutiennent encore nos confrères. Bien que cela ralentisse le temps nécessaire à casser un grand nombre de mots de passe en simultané, cela ne fait rien ou presque quand il s’agit de retarder le piratage d’un petit nombre de hash.
Le dispositif mis en place par Canonical n’empêche donc pas le décodage des hashages ciblés. Paul Ducklin, un expert en sécurité travaillant pour le compte de Sophos recommande l’usage de systèmes comme bcrypt, scrypt ou PBKDF2 pour toute entreprise ayant à stocker des mots de passe.
Traduit et adapté de l’anglais par la rédaction