Discussion :

[Gordon Fowler]

Un serveur de la Fondation Apache victime d'une attaque
Des mots de passe utilisateurs auraient été dérobés

Des Hackers ont réussi à s'introduire dans un serveur que la Apache Software Foundation utilise pour le reporting des bugs de ses produits.

Philip Gollucci, vice président des infrastructures chez Apache, rassure la communauté des développeurs "aucun code source n'a pu être affecté, en aucune manière".

Les pirates, qui ne sont pas encore identifiés, auraient réussi leur intrusion dès le 6 avril en utilisant la méthode dite de "cross-site scripting". Ils auraient ensuite commencé à dérober des mots de passe et des identifiants d'utilisateurs à partir du 9.

Néanmoins, souligne la Fondation Apache, ces mots de passe ne seraient exploitables que si les développeurs les utilisent également pour accéder aux systèmes de contrôle de leur source.

En aout dernier, un autre serveur, nommé Minotaur, avait également été victime d'attaque qui avait permis à des tiers de faire tourner leurs scripts sur le site officiel de la Fondation.

Source : L'annonce sur le blog officiel de la Fondation

Et vous ?

Après ces deux attaques réussies, les serveurs de la Fondation Apache vous semblent-ils assez sécurisés ? Ou s'agit-il de deux désagréments que n'importe quelle société connait ?

[dams78]

Je me suis dit : non ce n'est pas possible Apache ne peut pas stocker les mots de passe en clair... J'ai parcouru du coup vite fait l'annonce officielle et il semblerait que ce soient bien des hash qui ont été dérobés et que seuls les mots de passe un peu trop triviaux peuvent être décryptés.
Je me trompe?

[Marco46]

Il existe maintenant des dictionnaires de hash.

Tu rentres le hash et ça te sort le mot correspondant.

Bref, stocker les hashs sans salt ou boucle de hashage n'est plus sécure dès lors que le pirate peut faire un export de la BDD pour la bourriner en local.

[gorgonite]

Bref, stocker les hashs sans salt ou boucle de hashage n'est plus sécure dès lors que le pirate peut faire un export de la BDD pour la bourriner en local.

Et que l'utilisateur utilise un mot de passe pas assez long et/ou contenu dans un dictionnaire... et il y a moyen de l'interdire en amont

[bugsan]

Ou ne plus utiliser md5

Pour info il existe des outils de brute force MD5 utilisant les GPU de carte graphique. Ca peut monter à plus d'un milliard de hash par seconde... ce qui rend accessible des mots de passe de 9 ou 10 caractères.

Cadeau : http://3.14.by/en/md5

[RapotOR]

Ou stocker une version modifiée du password (md5,sha1,...).

Il y a moyen d'agir sur le password ou/et meme le hash généré.

Sur le password; vous pouvez y ajouter une date d'inscription; une répétition du password; une chaine fixe; etc... libre à votre imagination.

Ensuite, vous pouvez aussi modifier le hash généré avant le stockage. Changer les caractères de place; changer une partie; enlever une partie; etc...

je ne prétends pas avoir LA solution mais cela donne toujours plus de fil à retordre.

Ces solutions ne sont valables que si le code n'est pas opensource,ou si ces configurations sont des paramètres.

[Zeusviper]

Je me suis dit : non ce n'est pas possible Apache ne peut pas stocker les mots de passe en claire... J'ai parcourue du coup vite fait l'annonce officielle et il semblerait que ce soient bien des hash qui ont été dérobés et que seuls les mots de passe un peu trop triviaux peuvent être décryptés.
Je me trompe?

C'est tout à fait ça. Dans le doute mieux vaut le changer quand même.
Le problème de ces vols de mdp, c'est surtout pour ailleurs. Peu utilisent des couples login/password différents sur chaque site. Ceux volés sur l'un seront ainsi testés sur d'autres...

Sinon, un grand bravo à la communication d'Apache est vraiment stylée! Rare sont les sites à reconnaitre les piratages et surtout à détailler la procédure et les erreurs d'administration qui ont menées au piratage.