Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Wordpress.com subit une intrusion majeure
Des parties sensibles de son code source auraient été volées

Le , par Idelways

0PARTAGES

0  0 
Nouvelle période trouble pour Wordpress.com.

La plateforme d'hébergement de blogs vient de subir une intrusion majeure de bas niveau, ayant permit aux pirates d’obtenir le droit d'administrateur principal (root) sur nombre de ses serveurs.

Automattic, l'entreprise qui maintient la plateforme reconnait que toutes les données de ces serveurs au moment de l'intrusion ont pu être exposées.
L'ampleur des dégâts n'est pas encore connue, mais la situation semble préoccuper fortement l'entreprise, qui craint surtout pour la confidentialité de ses codes sources.

Si la grande partie du code compromis est déjà disponible en open source sur le blogware qui propulse la plateforme, Automattic se fait du souci pour « des fragments sensibles » de son propre code source et celui de ses partenaires. Des fragments qui font justement toute la différence entre la plateforme et une installation Wordpress multisite de base.

Quant aux mots de passe des utilisateurs, Automattic se montre rassurant tout en invitant les utilisateurs à les changer par excès de prudence.

En réponse aux commentaires des internautes inquiets à la suite du bulletin de sécurité, Automattic rappel que les mots de passe des utilisateurs sont Hashés avec la framework Phpass qui renforce leur sécurité avec la technique du grain de sel.
Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.

Récemment, la plateforme a connu plusieurs jours d'instabilité allant jusqu'à sa totale indisponibilité à la suite à ce qu'Automattic décrit comme les attaques par déni de service les plus violentes de l'histoire de Wordpress.com.

La plateforme n'est cependant pas le seul service populaire à avoir failli devant les tentatives de piratage déchainées de cette période. Des intrusions aux systèmes de RSA Security, Epsilon et Comodo ont pu faire plus de dégâts et compromettre des données beaucoup plus sensibles.

Source : blog de Wordpress.com

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de rikemSen
Membre confirmé https://www.developpez.com
Le 14/04/2011 à 11:37
Sale période pour wordpress...

En ce moment, les pirates se lâchent.
0  0 
Avatar de Faiche
Membre confirmé https://www.developpez.com
Le 14/04/2011 à 13:26
Une faille 0day sur wordpress ça vaut tellement cher que je serais pas rassuré si je devais me retrouver à la sécurité de wordpress.com :p
0  0 
Avatar de PatteDePoule
Membre éclairé https://www.developpez.com
Le 14/04/2011 à 14:53
la technique du grain de sel. Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.
Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.
0  0 
Avatar de Idelways
Expert éminent sénior https://www.developpez.com
Le 15/04/2011 à 11:14
Citation Envoyé par PatteDePoule Voir le message
Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.
Bonjour,

L'avantage principal du grain de sel est qu'il brouille l'empreinte hashée du mot de passe, afin que celui ci ne soit pas trouvé à l'aide des dictionnaires des mots de passes les plus communs.

Avoir le grain de sel (qui est souvent généré aléatoirement) en plus du pass hashé n'aidera pas trop le pirate.

Cordialement
Idelways
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 14/04/2011 à 14:37
J’espère que ça va aller, je passe souvent sur :
http://kenbogard.fr/
http://basgrospoing.fr/
0  2