Un serveur de la Fondation Apache victime d'une attaque
Des mots de passe utilisateurs auraient été dérobés
Le 2010-04-14 12:08:38, par Gordon Fowler, Expert éminent sénior
Des Hackers ont réussi à s'introduire dans un serveur que la Apache Software Foundation utilise pour le reporting des bugs de ses produits.
Philip Gollucci, vice président des infrastructures chez Apache, rassure la communauté des développeurs "aucun code source n'a pu être affecté, en aucune manière".
Les pirates, qui ne sont pas encore identifiés, auraient réussi leur intrusion dès le 6 avril en utilisant la méthode dite de "cross-site scripting". Ils auraient ensuite commencé à dérober des mots de passe et des identifiants d'utilisateurs à partir du 9.
Néanmoins, souligne la Fondation Apache, ces mots de passe ne seraient exploitables que si les développeurs les utilisent également pour accéder aux systèmes de contrôle de leur source.
En aout dernier, un autre serveur, nommé Minotaur, avait également été victime d'attaque qui avait permis à des tiers de faire tourner leurs scripts sur le site officiel de la Fondation.
Source : L'annonce sur le blog officiel de la Fondation
Et vous ?
Après ces deux attaques réussies, les serveurs de la Fondation Apache vous semblent-ils assez sécurisés ? Ou s'agit-il de deux désagréments que n'importe quelle société connait ?
Philip Gollucci, vice président des infrastructures chez Apache, rassure la communauté des développeurs "aucun code source n'a pu être affecté, en aucune manière".
Les pirates, qui ne sont pas encore identifiés, auraient réussi leur intrusion dès le 6 avril en utilisant la méthode dite de "cross-site scripting". Ils auraient ensuite commencé à dérober des mots de passe et des identifiants d'utilisateurs à partir du 9.
Néanmoins, souligne la Fondation Apache, ces mots de passe ne seraient exploitables que si les développeurs les utilisent également pour accéder aux systèmes de contrôle de leur source.
En aout dernier, un autre serveur, nommé Minotaur, avait également été victime d'attaque qui avait permis à des tiers de faire tourner leurs scripts sur le site officiel de la Fondation.
Source : L'annonce sur le blog officiel de la Fondation
Et vous ?
-
user25Membre du ClubLa solution au problème de sécurité des bases de données de mots de passe cryptés est d'utiliser un algorithme de cryptage polymorphe.
Avec ça les tables de hashs seront énormèment moins fiables.
Pour ma part je dirais que ce genre de problème peut arriver à n'importe qui.
C'est comme développer une application. Quand on trouve des failles on modifie le code pour les supprimer. Mais qui nous dit que les modifications que l'on a apportées ne contiennent pas de failles ou que l'on a pas rendu les failles existantes plus facilement exploitables ?
C'est la boucle ! Il est très rare de voir des serveurs et des applications totalement sécurisés.le 12/05/2010 à 22:50 -
dams78Membre expertJe me suis dit : non ce n'est pas possible Apache ne peut pas stocker les mots de passe en clair... J'ai parcouru du coup vite fait l'annonce officielle et il semblerait que ce soient bien des hash qui ont été dérobés et que seuls les mots de passe un peu trop triviaux peuvent être décryptés.
Je me trompe?le 14/04/2010 à 12:20 -
Marco46Expert éminent séniorIl existe maintenant des dictionnaires de hash.
Tu rentres le hash et ça te sort le mot correspondant.
Bref, stocker les hashs sans salt ou boucle de hashage n'est plus sécure dès lors que le pirate peut faire un export de la BDD pour la bourriner en local.le 14/04/2010 à 12:29 -
gorgoniteRédacteur/ModérateurEt que l'utilisateur utilise un mot de passe pas assez long et/ou contenu dans un dictionnaire... et il y a moyen de l'interdire en amontle 14/04/2010 à 12:33
-
bugsanMembre confirméOu ne plus utiliser md5
Pour info il existe des outils de brute force MD5 utilisant les GPU de carte graphique. Ca peut monter à plus d'un milliard de hash par seconde... ce qui rend accessible des mots de passe de 9 ou 10 caractères.
Cadeau : http://3.14.by/en/md5le 14/04/2010 à 12:37 -
RapotORMembre éclairéOu stocker une version modifiée du password (md5,sha1,...).
Il y a moyen d'agir sur le password ou/et meme le hash généré.
Sur le password; vous pouvez y ajouter une date d'inscription; une répétition du password; une chaine fixe; etc... libre à votre imagination.
Ensuite, vous pouvez aussi modifier le hash généré avant le stockage. Changer les caractères de place; changer une partie; enlever une partie; etc...
je ne prétends pas avoir LA solution mais cela donne toujours plus de fil à retordre.
Ces solutions ne sont valables que si le code n'est pas opensource,ou si ces configurations sont des paramètres.le 14/04/2010 à 12:58 -
Le défaut du hash est qu'il n'est pas unique pour chaque entrée, donc même si ton entrée est très compliquée, on pourra peut-être trouver un mot de passe simple dont le hash a la même valeur.le 14/04/2010 à 13:41
-
berceker unitedExpert éminentExacte, en fait, c'est juste une question de rapport temps/puissance pour trouver le mot de passe.le 14/04/2010 à 14:17
-
Marco46Expert éminent séniorEuh ... Le principe du hash c'est d'être une empreinte unique. Si deux valeurs différentes ont un même hash et bien c'est une faille dans l'algorithme.
Ou alors je comprends mal ce que tu veux dire.Ou stocker une version modifiée du password (md5,sha1,...).
Il y a moyen d'agir sur le password ou/et meme le hash généré.
Sur le password; vous pouvez y ajouter une date d'inscription; une répétition du password; une chaine fixe; etc... libre à votre imagination.
Ensuite, vous pouvez aussi modifier le hash généré avant le stockage. Changer les caractères de place; changer une partie; enlever une partie; etc...
je ne prétends pas avoir LA solution mais cela donne toujours plus de fil à retordre.
Ces solutions ne sont valables que si le code n'est pas opensource,ou si ces configurations sont des paramètres.
Ça peut se combiner avec un hash récursif. C'est à dire hasher le même mot de passer des milliers de fois ce qui entraine un petit "lag" d'une seconde ou deux pour l'utilisateur mais qui complique considérablement le cassage du hash et empêche de fait la recherche par dictionnaire.le 14/04/2010 à 14:29 -
pseudocodeRédacteurNon. C'est une signature de longueur fixe.
Par exemple, MD5 = 128 bits, c'est a dire 2^128 valeurs possibles.
Vu qu'on peut créer une infinité de mots de passe différents et calculer le hash de chacun, il y a donc forcément des mots de passe avec le meme hash.le 14/04/2010 à 14:35