Wordpress.com subit une intrusion majeure
Des parties sensibles de son code source auraient été volées

Le , par Idelways, Expert éminent sénior
Nouvelle période trouble pour Wordpress.com.

La plateforme d'hébergement de blogs vient de subir une intrusion majeure de bas niveau, ayant permit aux pirates d’obtenir le droit d'administrateur principal (root) sur nombre de ses serveurs.

Automattic, l'entreprise qui maintient la plateforme reconnait que toutes les données de ces serveurs au moment de l'intrusion ont pu être exposées.
L'ampleur des dégâts n'est pas encore connue, mais la situation semble préoccuper fortement l'entreprise, qui craint surtout pour la confidentialité de ses codes sources.

Si la grande partie du code compromis est déjà disponible en open source sur le blogware qui propulse la plateforme, Automattic se fait du souci pour « des fragments sensibles » de son propre code source et celui de ses partenaires. Des fragments qui font justement toute la différence entre la plateforme et une installation Wordpress multisite de base.

Quant aux mots de passe des utilisateurs, Automattic se montre rassurant tout en invitant les utilisateurs à les changer par excès de prudence.

En réponse aux commentaires des internautes inquiets à la suite du bulletin de sécurité, Automattic rappel que les mots de passe des utilisateurs sont Hashés avec la framework Phpass qui renforce leur sécurité avec la technique du grain de sel.
Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.

Récemment, la plateforme a connu plusieurs jours d'instabilité allant jusqu'à sa totale indisponibilité à la suite à ce qu'Automattic décrit comme les attaques par déni de service les plus violentes de l'histoire de Wordpress.com.

La plateforme n'est cependant pas le seul service populaire à avoir failli devant les tentatives de piratage déchainées de cette période. Des intrusions aux systèmes de RSA Security, Epsilon et Comodo ont pu faire plus de dégâts et compromettre des données beaucoup plus sensibles.

Source : blog de Wordpress.com

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de rikemSen rikemSen - Membre confirmé https://www.developpez.com
le 14/04/2011 à 11:37
Sale période pour wordpress...

En ce moment, les pirates se lâchent.
Avatar de Faiche Faiche - Membre confirmé https://www.developpez.com
le 14/04/2011 à 13:26
Une faille 0day sur wordpress ça vaut tellement cher que je serais pas rassuré si je devais me retrouver à la sécurité de wordpress.com :p
Avatar de Ryu2000 Ryu2000 - Membre émérite https://www.developpez.com
le 14/04/2011 à 14:37
J’espère que ça va aller, je passe souvent sur :
http://kenbogard.fr/
http://basgrospoing.fr/
Avatar de PatteDePoule PatteDePoule - Membre éclairé https://www.developpez.com
le 14/04/2011 à 14:53
la technique du grain de sel. Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.

Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.
Avatar de Idelways Idelways - Expert éminent sénior https://www.developpez.com
le 15/04/2011 à 11:14
Citation Envoyé par PatteDePoule  Voir le message
Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.

Bonjour,

L'avantage principal du grain de sel est qu'il brouille l'empreinte hashée du mot de passe, afin que celui ci ne soit pas trouvé à l'aide des dictionnaires des mots de passes les plus communs.

Avoir le grain de sel (qui est souvent généré aléatoirement) en plus du pass hashé n'aidera pas trop le pirate.

Cordialement
Idelways
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil