MàJ : il y a avait bien un salage. L'opération consiste à insérer des caractères aléatoires dans le mot de passe haché afin d'offrir une protection supplémentaire contre les attaques de type dictionnaire
-----
Pour cause de maintenance, la communauté Ubuntu est actuellement orpheline des forums sur ubuntuforums.org. Tenus par des bénévoles, ce sont les forums officiels pour le système d'exploitation Ubuntu. Ils sont cependant la propriété de Canonical.
Mais cette maintenance cache une brèche de sécurité qui a été exploitée ce week-end par des attaquants. Le symptôme le plus visible a été un défacement de la page d'accueil avec la publication de l'image d'un manchot tenant un fusil de tireur d'élite.
Juste la partie émergée de l'iceberg. Plus embêtant en effet, les attaquants ont eu accès à toutes les adresses email et mots de passe des utilisateurs, soit plus de 1,8 million d'utilisateurs enregistrés.
Les mots de passe n'étaient pas stockés en clair et la compromission concerne des hashes de mots de passe. Sur ce point, les explications sont assez vagues. Il y avait-il un salage ? Quoi qu'il en soit, la PDG de Canonical, Jane Silber, précise dans un billet de blog qu'en pareil cas il est tout de même recommandé aux utilisateurs de changer leur mot de passe.
Ce changement vaut également pour d'autres services tiers dans l'éventualité où un même sésame est utilisé. Une autre conséquence de l'attaque est la possibilité que les adresses email récupérées servent ultérieurement dans des campagnes de spam.
Les forums d'Ubuntu demeureront hors ligne le temps de l'investigation au sujet de l'attaque et en attendant le comblement de la faille impliquée. Tous les utilisateurs seront informés via email. Comme à l'accoutumée avec de telles attaques, Canonical présente ses excuses. Ubuntu One, Launchpad et les autres services Ubuntu / Canonical ne sont pas affectés par la brèche de sécurité.
Une hypothèse possible est que les administrateurs des forums Ubuntu n'ont tout simplement pas tenu à jour les logiciels et serveurs utilisés.
À noter que le forum ubuntu-fr.org n'est pas concerné par l'attaque et la brèche de sécurité. " Les bases de données des deux sont totalement distinctes, hébergées séparément, et les forums utilisent des moteurs différents ".