IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 494
    Points
    68 494
    Par défaut Wordpress.com subit une intrusion majeure, des parties sensibles de son code source auraient été volées
    Wordpress.com subit une intrusion majeure
    Des parties sensibles de son code source auraient été volées



    Nouvelle période trouble pour Wordpress.com.

    La plateforme d'hébergement de blogs vient de subir une intrusion majeure de bas niveau, ayant permit aux pirates d’obtenir le droit d'administrateur principal (root) sur nombre de ses serveurs.

    Automattic, l'entreprise qui maintient la plateforme reconnait que toutes les données de ces serveurs au moment de l'intrusion ont pu être exposées.
    L'ampleur des dégâts n'est pas encore connue, mais la situation semble préoccuper fortement l'entreprise, qui craint surtout pour la confidentialité de ses codes sources.

    Si la grande partie du code compromis est déjà disponible en open source sur le blogware qui propulse la plateforme, Automattic se fait du souci pour « des fragments sensibles » de son propre code source et celui de ses partenaires. Des fragments qui font justement toute la différence entre la plateforme et une installation Wordpress multisite de base.

    Quant aux mots de passe des utilisateurs, Automattic se montre rassurant tout en invitant les utilisateurs à les changer par excès de prudence.

    En réponse aux commentaires des internautes inquiets à la suite du bulletin de sécurité, Automattic rappel que les mots de passe des utilisateurs sont Hashés avec la framework Phpass qui renforce leur sécurité avec la technique du grain de sel.
    Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.

    Récemment, la plateforme a connu plusieurs jours d'instabilité allant jusqu'à sa totale indisponibilité à la suite à ce qu'Automattic décrit comme les attaques par déni de service les plus violentes de l'histoire de Wordpress.com.

    La plateforme n'est cependant pas le seul service populaire à avoir failli devant les tentatives de piratage déchainées de cette période. Des intrusions aux systèmes de RSA Security, Epsilon et Comodo ont pu faire plus de dégâts et compromettre des données beaucoup plus sensibles.


    Source : blog de Wordpress.com

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre confirmé Avatar de rikemSen
    Homme Profil pro
    Analyste Développeur Web - Fizzup.com
    Inscrit en
    décembre 2007
    Messages
    387
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Analyste Développeur Web - Fizzup.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : décembre 2007
    Messages : 387
    Points : 540
    Points
    540
    Par défaut
    Sale période pour wordpress...

    En ce moment, les pirates se lâchent.
    Si ce que tu as à dire n'est pas plus beau que le silence, alors tais toi.

    - Pensez à voter pour les messages qui vous ont été utiles ainsi que de mettre

  3. #3
    Membre confirmé
    Homme Profil pro
    Consultant informatique
    Inscrit en
    septembre 2006
    Messages
    572
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant informatique

    Informations forums :
    Inscription : septembre 2006
    Messages : 572
    Points : 623
    Points
    623
    Par défaut
    Une faille 0day sur wordpress ça vaut tellement cher que je serais pas rassuré si je devais me retrouver à la sécurité de wordpress.com :p
    Venez partager vos expériences au sein d'un projet sur slicesofit, agile & amélioration continue

  4. #4
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    7 718
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 7 718
    Points : 13 379
    Points
    13 379
    Par défaut
    J’espère que ça va aller, je passe souvent sur :
    http://kenbogard.fr/
    http://basgrospoing.fr/
    Keith Flint 1969 - 2019

  5. #5
    Membre éclairé Avatar de PatteDePoule
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2008
    Messages
    380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : août 2008
    Messages : 380
    Points : 763
    Points
    763
    Par défaut
    la technique du grain de sel. Une double protection qui rend quasi-impossible de remonter aux mots de passe originaux à partir de leurs formes chiffrées qui se trouvent potentiellement entre les mains des pirates.
    Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.
    Les fautes d'orthographes sus-citées sont déposées auprès de leurs propriétaires respectifs. Aucune responsabilité n'est engagée sur la lisibilité du message ou les éventuels dommages qu'il peut engendrer.

  6. #6
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 494
    Points
    68 494
    Par défaut
    Citation Envoyé par PatteDePoule Voir le message
    Si les pirates on eu accès au code de validation du mot de passe, ils connaissent alors le grain de sel, alors bye bye la double protection.
    Bonjour,

    L'avantage principal du grain de sel est qu'il brouille l'empreinte hashée du mot de passe, afin que celui ci ne soit pas trouvé à l'aide des dictionnaires des mots de passes les plus communs.

    Avoir le grain de sel (qui est souvent généré aléatoirement) en plus du pass hashé n'aidera pas trop le pirate.

    Cordialement
    Idelways

Discussions similaires

  1. Réponses: 0
    Dernier message: 14/04/2011, 12h16
  2. Protéger des données confidentielles dans un code source java lisible
    Par A Cherry Tells dans le forum Débuter avec Java
    Réponses: 2
    Dernier message: 09/10/2009, 18h23
  3. Ouvrir une photo d'un dossier en tapant son code
    Par bobafric dans le forum IHM
    Réponses: 1
    Dernier message: 16/08/2009, 23h09
  4. Crypter transit des données sans toucher au code source
    Par thecrafty dans le forum Protocoles
    Réponses: 2
    Dernier message: 08/06/2007, 18h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo