Patronne de Canonical, Jane Silber informe en toute transparence au sujet d'une fuite de données pour les forums Ubuntu. L'incident a été porté à la connaissance de Canonical dans la soirée du 14 juillet. Un attaquant a pu exploiter une vulnérabilité d'injection SQL avec la base de données des forums Ubuntu officiels.

Cette vulnérabilité affectait l'add-on Forumrunner (utilisé par vBulletin) dans les forums. Elle était connue mais n'avait pas bénéficié du déploiement d'un correctif qui était pourtant disponible. L'incident se solde par la compromission de deux millions de comptes.

En l'occurrence, la fuite de données porte sur des noms d'utilisateur, adresses IP et email. Par contre, l'attaquant n'a pas eu accès à des mots de passe dits actifs, si ce n'est sous la forme de chaînes de caractères aléatoires grâce à la technologie Ubuntu Single Sign On. Ces chaînes aléatoires sont hachées et salées.

Forums-Ubuntu

Canonical souligne donc que l'attaquant n'a pas été en mesure d'accéder à des mots de passe valides d'utilisateurs (si tant est que l'algorithme de hachage était suffisamment robuste mais le salage devrait aider en cela), et ajoute par ailleurs qu'il n'a pas pu avoir accès à quelconque code d'un dépôt Ubuntu.

La décision a été prise de déployer le logiciel de forum de discussions vBulletin avec cette fois-ci le dernier niveau de patch, et de réinitialiser les mots de passe des bases de données. En outre, un pare-feu applicatif a été installé (ModSecurity ; pour serveur Apache).

On se souviendra que ce n'est pas la première fois que les forums Ubuntu ont été piratés. Cela avait été le cas en juillet 2013. L'oubli du patch correctif est donc un peu difficile à avaler.