Wordpress.com subit une intrusion majeure
Des parties sensibles de son code source auraient été volées
Le 2011-04-14 11:16:42, par Idelways, Expert éminent sénior
Nouvelle période trouble pour Wordpress.com.
La plateforme d'hébergement de blogs vient de subir une intrusion majeure de bas niveau, ayant permit aux pirates d’obtenir le droit d'administrateur principal (root) sur nombre de ses serveurs.
Automattic, l'entreprise qui maintient la plateforme reconnait que toutes les données de ces serveurs au moment de l'intrusion ont pu être exposées.
L'ampleur des dégâts n'est pas encore connue, mais la situation semble préoccuper fortement l'entreprise, qui craint surtout pour la confidentialité de ses codes sources.
Si la grande partie du code compromis est déjà disponible en open source sur le blogware qui propulse la plateforme, Automattic se fait du souci pour « des fragments sensibles » de son propre code source et celui de ses partenaires. Des fragments qui font justement toute la différence entre la plateforme et une installation Wordpress multisite de base.
Quant aux mots de passe des utilisateurs, Automattic se montre rassurant tout en invitant les utilisateurs à les changer par excès de prudence.
En réponse aux commentaires des internautes inquiets à la suite du bulletin de sécurité, Automattic rappel que les mots de passe des utilisateurs sont Hashés avec la framework Phpass qui renforce leur sécurité avec la technique du grain de sel.
Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.
Récemment, la plateforme a connu plusieurs jours d'instabilité allant jusqu'à sa totale indisponibilité à la suite à ce qu'Automattic décrit comme les attaques par déni de service les plus violentes de l'histoire de Wordpress.com.
La plateforme n'est cependant pas le seul service populaire à avoir failli devant les tentatives de piratage déchainées de cette période. Des intrusions aux systèmes de RSA Security, Epsilon et Comodo ont pu faire plus de dégâts et compromettre des données beaucoup plus sensibles.
Source : blog de Wordpress.com
Et vous ?
La plateforme d'hébergement de blogs vient de subir une intrusion majeure de bas niveau, ayant permit aux pirates d’obtenir le droit d'administrateur principal (root) sur nombre de ses serveurs.
Automattic, l'entreprise qui maintient la plateforme reconnait que toutes les données de ces serveurs au moment de l'intrusion ont pu être exposées.
L'ampleur des dégâts n'est pas encore connue, mais la situation semble préoccuper fortement l'entreprise, qui craint surtout pour la confidentialité de ses codes sources.
Si la grande partie du code compromis est déjà disponible en open source sur le blogware qui propulse la plateforme, Automattic se fait du souci pour « des fragments sensibles » de son propre code source et celui de ses partenaires. Des fragments qui font justement toute la différence entre la plateforme et une installation Wordpress multisite de base.
Quant aux mots de passe des utilisateurs, Automattic se montre rassurant tout en invitant les utilisateurs à les changer par excès de prudence.
En réponse aux commentaires des internautes inquiets à la suite du bulletin de sécurité, Automattic rappel que les mots de passe des utilisateurs sont Hashés avec la framework Phpass qui renforce leur sécurité avec la technique du grain de sel.
Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.
Récemment, la plateforme a connu plusieurs jours d'instabilité allant jusqu'à sa totale indisponibilité à la suite à ce qu'Automattic décrit comme les attaques par déni de service les plus violentes de l'histoire de Wordpress.com.
La plateforme n'est cependant pas le seul service populaire à avoir failli devant les tentatives de piratage déchainées de cette période. Des intrusions aux systèmes de RSA Security, Epsilon et Comodo ont pu faire plus de dégâts et compromettre des données beaucoup plus sensibles.
Source : blog de Wordpress.com
Et vous ?
-
rikemSenMembre confirméSale période pour wordpress...
En ce moment, les pirates se lâchent.le 14/04/2011 à 11:37 -
FaicheMembre confirméUne faille 0day sur wordpress ça vaut tellement cher que je serais pas rassuré si je devais me retrouver à la sécurité de wordpress.com :ple 14/04/2011 à 13:26
-
PatteDePouleMembre éclairéSi les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.la technique du grain de sel. Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.le 14/04/2011 à 14:53
-
IdelwaysExpert éminent séniorBonjour,
L'avantage principal du grain de sel est qu'il brouille l'empreinte hashée du mot de passe, afin que celui ci ne soit pas trouvé à l'aide des dictionnaires des mots de passes les plus communs.
Avoir le grain de sel (qui est souvent généré aléatoirement) en plus du pass hashé n'aidera pas trop le pirate.
Cordialement
Idelwaysle 15/04/2011 à 11:14 -
Ryu2000Membre extrêmement actifle 14/04/2011 à 14:37