Ubuntu : le forum de la communauté piraté
Les données personnelles de 1,82 million d'utilisateurs compromises
Le 2013-07-22 11:15:30, par Hinault Romaric, Responsable .NET
Le forum Ubuntuforums.org, l’espace de discussion de la communauté du système d’exploitation open source, a été piraté.
L’information a été confirmée par Canonical, la société responsable du développement de l’OS. Le site a été fermé pour maintenance.
À la suite de l’attaque, les pirates auraient obtenu les identifiants des utilisateurs, mots de passe et adresses e-mail à partir de la base de données du forum Ubuntu. Les données de près de 1,82 million d’utilisateurs auraient donc été compromises.
Bien que les mots de passe ne soient pas stockés en clair, Canonical invite les utilisateurs à supposer que ceux-ci ont été consultés et les changer. Pour les personnes utilisant le même mot de passe sur d’autres services de la communauté, la modification devrait être faite immédiatement.
Les mots de passe des utilisateurs ont été chiffrés en utilisant l’algorithme de chiffrement MD5, selon Canonical.
Les pirates à l’origine de cette attaque auraient modifié la page d’accueil du site pour inclure une image qui redirige vers un compte Twitter avec seulement cinq tweets. Les utilisateurs de la plateforme de microblogging n’ont pas hésité à déverser leur colère sur ce compte. « Vous devez vous sentir fier de pirater un site de bénévoles. Ils consacrent du temps et des efforts pour contribuer à un OS gratuit. Vous êtes la pire espèce de pirate informatique », s’est emporté un utilisateur sur ce compte.
Les autres services dont Ubuntu One et Launchpad n’ont pas été affectés.
Source : Ubuntu.org
Et vous ?
Êtes-vous un membre de Ubuntuforums.org ?
Que pensez-vous du piratage du site d'une communauté de l'open source ?
L’information a été confirmée par Canonical, la société responsable du développement de l’OS. Le site a été fermé pour maintenance.
À la suite de l’attaque, les pirates auraient obtenu les identifiants des utilisateurs, mots de passe et adresses e-mail à partir de la base de données du forum Ubuntu. Les données de près de 1,82 million d’utilisateurs auraient donc été compromises.
Bien que les mots de passe ne soient pas stockés en clair, Canonical invite les utilisateurs à supposer que ceux-ci ont été consultés et les changer. Pour les personnes utilisant le même mot de passe sur d’autres services de la communauté, la modification devrait être faite immédiatement.
Les mots de passe des utilisateurs ont été chiffrés en utilisant l’algorithme de chiffrement MD5, selon Canonical.
Les pirates à l’origine de cette attaque auraient modifié la page d’accueil du site pour inclure une image qui redirige vers un compte Twitter avec seulement cinq tweets. Les utilisateurs de la plateforme de microblogging n’ont pas hésité à déverser leur colère sur ce compte. « Vous devez vous sentir fier de pirater un site de bénévoles. Ils consacrent du temps et des efforts pour contribuer à un OS gratuit. Vous êtes la pire espèce de pirate informatique », s’est emporté un utilisateur sur ce compte.
Les autres services dont Ubuntu One et Launchpad n’ont pas été affectés.
Source : Ubuntu.org
Et vous ?
-
sbeexMembre actifÊtes-vous un membre de Ubuntuforums.org ?Que pensez-vous du piratage du site d'une communauté de l'open source ?
Le piratage en soit n'est pas une mauvaise chose. Selon moi, c'est la manière dont le public est informé de la faille qui est souvent mal choisie.
Pourquoi s'amuser à détruire toute une communauté plutôt que de simplement avertir les administrateurs de la faiblesse du système pour qu'ils prennent des mesures ?le 22/07/2013 à 11:57 -
ThornaMembre éprouvéNormalement un mot de passe haché ne doit pas être réedécouvert... sauf si on utilise MD5 dont on connait depuis des années des dictionnaires permettant de trouver la plupart des mots de passe en clair. Et donc, sur un site sérieux et qui plus est à la pointe de l'open source et des techniques modernes, on n'utilise plus MD5...
Quant à l'intérêt d'attaquer un site d'une communauté open source, c'est exactement le même que casser des vitrines en arrière d'une manif, protester tous les jours contre le mariage pour tous ou brûler des voiture ici ou là : faire ch.er le monde. Avec un petit plus quand il s'agit d'internet : récupérer des adresses mail et des noms pour envoyer de la pub, trouver des pc pigeons où déployer des virus et autres trucs casse pieds, etc.le 22/07/2013 à 14:47 -
transgohanExpert éminentPetite bévue dans l'article, le MD5 n'est pas un algorithme de chiffrement...
C'est un algorithme de hashage ce qui est totalement différent.le 22/07/2013 à 13:15 -
Lana.BauerExpert éminent séniorOui, je suis membre depuis bien longtemps mais ça fait quelques mois que je ne suis pas allée sur ce forum. D'ailleurs, je suis plus la communauté francophone.
Là j'ai oublié mon mot de passe donc je ne sais pas lequel de mes mdp je vais changer.
Je pense changer seulement le mot de passe de l'email, il ne sauront pas les autres normalement. Sauf si ils aillent chercher mon pseudo sur les autres sites.
Mais franchement ils n'ont vraiment rien à faire ????le 22/07/2013 à 13:24 -
Na_KaiMembre régulierÊtes-vous un membre de Ubuntuforums.org ?Que pensez-vous du piratage du site d'une communauté de l'open source ?
Je trouve ça plutôt nul ... heureusement je n'utilise que des adresses particulières pour les forums ainsi que des mots de passes toujours differents. Je ne suis donc pas embêté à ce niveau.
Je pense que ce site n'a pas été attaqué simplement parcequ'il est un site d'open source mais surtout car il regroupe un très grand nombre d'utilisateurs.
Edit : Sinon dans le même genre ont parle aussi du piratage du site web dédié aux développeurs de chez Apple (Dev Center). Certaines données personnelles (noms, adresse, courriel) auraient été exposées. le 22/07/2013 à 12:55 -
transgohanExpert éminentOui m'enfin bon... Une rainbow table ne fait pas forcement grand chose contre un mot de passe hashé avec un sel pour peu qu'on utilise un sel qui soit fort (et surtout inconnu bien sûr
). le 22/07/2013 à 16:44 -
ImmobilisExpert éminentSalut,Non.
Autant que devant le piratage d'un site pas Open Source. Face à une liste de près de deux millions d'utilisateurs, je ne vois pas pourquoi des pirates auraient des scrupules. Les pirates de sont pas des philanthropes.
Les questions de sécurité s'appliquent à tout le monde. Et c'est d'autant plus étonnant que le site en question doit avoir de nombreux membres très informés à ce sujet. C'est du moins l'idée que je m'en fait. L'open source n'est à l'abris du piratage que parce qu'il y a des proies plus intéressantes à chasser.Effectivement: http://www.lemonde.fr/technologies/a...00_651865.html.
[EDIT 23/07]Décidement. Y aurait-il un vague de piratage?
- http://www.lemonde.fr/technologies/a...55_651865.html
- http://www.lemonde.fr/technologies/a...51_651865.html
[EDIT]
A+
PS: quelqu'un sait-il quel forum était utilisé?le 22/07/2013 à 19:46 -
Zanon5555Membre à l'essaiÊtes-vous un membre de Ubuntuforums.org ?Que pensez-vous du piratage du site d'une communauté de l'open source ?
Qui sont les auteurs? Quel intérêt si ce n'est commercial?
Ensuite les réactions arrivent :
Aucun système n'est infaillible!
C'est une honte d'attaquer le libre et ceux qui y adhèrent!le 24/07/2013 à 11:25 -
Pwn-tMembre à l'essaiCe n'est pas le premier, et ne sera pas le dernierle 26/07/2013 à 13:10