Alerte : Faille de sécurité de protection des mots de passe

[Yorick26]

Bonjour les forums de Puissance-Zelda,

Hier dans la soirée, les forums ont été l'objet d'une attaque de bot en provenance de Russie (ou selon certaines informations du Brésil). L'équipe administrative s'en est assez rapidement rendue compte puisque l'objet de cette attaque a été mon compte (très bon choix). Ce n'est pas inhabituel et de nombreux bots se contentent de créer un nouveau compte et d'y insérer parfois plusieurs jours après des liens menant à des sites frauduleux. Le comportement de ce bot est différent, même si les dégâts ont été minimes : modifications de ma signature, de ma date de naissance et d'autres paramètres que l'on peut compléter sur mon profil.
Si les conséquences réelles sont négligeables, le fait qu'il ait pu accéder à la gestion de mon profil, et par conséquent à l'espace d'administration, est beaucoup plus problématique. De plus, cela met en évidence des failles de sécurité importantes, notamment pour la protection de vos mots de passe. Pour l'heure, nous avons pris des dispositions vis à vis de mon compte (changement de mot de passe, suppression des mots de passes similaires dans d'autres sites...) et du bot (bannissement de l'IP du bot), mais surtout nous nous renseignons afin d'améliorer la sécurité de notre base de données.

Nous vous passerons les détails techniques, mais sachez que nous envisageons plusieurs pistes, notamment celle de devoir effacer tous vos mots de passes afin d'appliquer un nouveau moyen de les protéger (si cette solution est choisie, il faudra alors réinitialiser votre mot de passe lors de votre première connexion pour qu'il soit encrypté de manière plus performante).

En attendant, nous vous recommandons de suivre les bonnes règles de sécurité en terme de protection numérique :

• Favoriser les mots de passe compliqués avec un grand nombre de caractères composé d'un mélange de minuscules, majuscules, chiffres et symboles.
• Favoriser également l'authentification multifactorielle (à savoir en plus d'un mot de passe, rajouter un contrôle comme l'envoie d'un mot de passe aléatoire par SMS)
• Ne pas utiliser le même mot de passe pour des sites différents. Nous vous recommandons pour cela d'utiliser des gestionnaires de mots de passe autres que ceux disponibles dans votre navigateur (Chrome, Firefox, Safari...). Nous avons quelques exemples en tête : 1Password, Authy, Dashlane, LastPast...

Nous vous tiendrons informés de nos avancées et de l'impact que cela aura sur votre utilisation du forum. Ce soucis de faille de sécurité est notre priorité actuelle.

[Shern]

... Ça veut dire que les passwords étaient pas hashés ou bien seulement hashés avec MD5 ? Aie


Si c'est le cas, je conseille vraiment de re-hashés les passwords avec quelque chose de solide comme bcrypt...

[Yorick26]

Bonjour les forums de Puissance-Zelda,
Bonjour Shern,

Je vous fais part des résultats de nos recherches. Enfin plus précisément des recherches d'Izzy Novada. Plusieurs modifications peuvent être apportées - a priori - au forum. La première est un changement dans la manière de masquer vos mots de passe.

Il est bien évident que nous devons garder une trace de votre mot de passe quelque part pour qu'il puisse dire que c'est le bon (). Il y a donc dans la base de données une information où est affiché votre mot de passe. Pas de manière lisible, rassurez-vous. Il a été crypté et seul le forum (et donc pas nous) arrive à vérifier si c'est le bon. C'est ce que Shern (et le monde informatique en général) appelle le hashage. Si je me souviens bien, les mots de passes sauvegardés de notre côté ressemblent à quelque chose comme "b%157*M&1TyHbX%C^AoS&lq%CTF$toH3vp$zH&5r". Autant dire qu'on n'arrivera pas à découvrir ce que vous avez écrit initialement, nous, avec nos petits moyens. Il existe plusieurs méthodes, notamment le MD5, le SHA1 ou le BCRYPT (ce dernier étant le plus récent et le plus sûr). Nous n'avons pas réussi à déterminé quelle méthode était utilisée par le forum, mais il s'agit soit du MD5, soit du SHA1. Il semblerait (de toute évidence) qu'il soit possible de comprendre quelle a été la méthode pour arriver à un tel cryptage et donc à retrouver le mot de passe initial à l'aide de savant calcul. Et c'est ainsi que Yorick26 se vit pirater son compte.

Nous envisageons donc de changer la méthode de cryptage pour quelque chose de plus performant (le BCRYPT). Plusieurs méthodes s'offrent à nous :

• Passer à une nouvelle version du forum, sauf que la nouvelle version du forum n'est qu'en phase de test. En phase de test depuis 2014, mais en phase de test tout de même ce qui veut dire qu'elle est encore remplie de bugs en tout genre qui pourraient être plus grave qu'une faille de sécurité.
• Trouver des ajouts au forum à installer ou s'en inspirer afin de faire le changement de cryptage. Nous penchons actuellement pour cette solution. Nous avons peut-être même la possibilité d'ajouter la possibilité (non obligatoire) de l'authentification à deux facteurs moyennant finance. Un petit plus qui serait pas mal pour ceux qui ont besoin de se sentir en sécurité sur les forums et ceux qui ont accès à des données sensibles (comme bibi).

En ce qui concerne le bot, les mesures prises contre lui pour l'instant suffisent :

• Depuis que nous nous sommes renseignés sur ce bot et que nous l'avons banni, il a essayé à plusieurs reprises de se connecter sur le forum. A chaque fois, ses tentatives ont été repoussées par le forum grâce au bannissement. Vu la vitesse des tentatives de chargement de pages, il s'agit bien d'un bot et non pas d'un membre qui aurait été par hasard banni (en moyenne 4 pages pendant une seconde). A ce jour, il n'a jamais réussi à se connecter ou à usurper l'identité de qui que ce soit. Il présente depuis hier un schéma récurrent qui est : Arrivée sur le forum > Tentative d'inscription > Tentative d'activation du compte > Consultation des crédits. Sans succès.

On vous tient encore une fois informés des avancées. Je remercie encore une fois @Izzy Novada pour ses recherches et pour son investissement malgré le temps qu'il lui manque.

[Nico]

... Ça veut dire que les passwords étaient pas hashés ou bien seulement hashés avec MD5 ? Aie


Si c'est le cas, je conseille vraiment de re-hashés les passwords avec quelque chose de solide comme bcrypt...

Hello,

De mes souvenir, les MDP sont hashés selon une méthode qui est connue de tous car le code source des forums est public. Je pense que c'est secure sauf que... le sha1 a été craqué il y a quelques mois. Normalement si la communauté SMF est active (et fait bien son travail), elle a mis a disposition une MAJ qui aurait changé le protocole de hashage des MDP.

Bon courage Yorick, on dirait que le confinement est propice au cyber attaques.

[Chompir]

Merci Nic0 pour les précisions. J’ai regardé rapidement sur le site de SMF mais il semble qu’il y ait aucune infos. S’ils maj le système de hashing’ ça doit sûrement être dans la 2.1 mais elle est encore en beta avec trop de risque pour l’utiliser.

Après j’ai pas regardé du côté des packages de la comu s’il y a eu modifications de hashing. Je jetterai un oeil quand je serai sur ordi.

EDIT : Rien du côté des modeurs de SMF à part un vieux github d’il y a 5ans.