Forums de Puissance-Zelda

Développement => Réactions, Annonces et Suggestions => Discussion démarrée par: Yorick26 le mercredi 20 mai 2020, 13:34:16

Titre: Alerte : Faille de sécurité de protection des mots de passe
Posté par: Yorick26 le mercredi 20 mai 2020, 13:34:16
Bonjour les forums de Puissance-Zelda,

Hier dans la soirée, les forums ont été l'objet d'une attaque de bot en provenance de Russie (ou selon certaines informations du Brésil). L'équipe administrative s'en est assez rapidement rendue compte puisque l'objet de cette attaque a été mon compte (très bon choix). Ce n'est pas inhabituel et de nombreux bots se contentent de créer un nouveau compte et d'y insérer parfois plusieurs jours après des liens menant à des sites frauduleux. Le comportement de ce bot est différent, même si les dégâts ont été minimes : modifications de ma signature, de ma date de naissance et d'autres paramètres que l'on peut compléter sur mon profil.
Si les conséquences réelles sont négligeables, le fait qu'il ait pu accéder à la gestion de mon profil, et par conséquent à l'espace d'administration, est beaucoup plus problématique. De plus, cela met en évidence des failles de sécurité importantes, notamment pour la protection de vos mots de passe. Pour l'heure, nous avons pris des dispositions vis à vis de mon compte (changement de mot de passe, suppression des mots de passes similaires dans d'autres sites...) et du bot (bannissement de l'IP du bot), mais surtout nous nous renseignons afin d'améliorer la sécurité de notre base de données.

Nous vous passerons les détails techniques, mais sachez que nous envisageons plusieurs pistes, notamment celle de devoir effacer tous vos mots de passes afin d'appliquer un nouveau moyen de les protéger (si cette solution est choisie, il faudra alors réinitialiser votre mot de passe lors de votre première connexion pour qu'il soit encrypté de manière plus performante).

En attendant, nous vous recommandons de suivre les bonnes règles de sécurité en terme de protection numérique :


Nous vous tiendrons informés de nos avancées et de l'impact que cela aura sur votre utilisation du forum. Ce soucis de faille de sécurité est notre priorité actuelle.
Titre: Alerte : Faille de sécurité de protection des mots de passe
Posté par: Shern le vendredi 22 mai 2020, 05:28:21
... Ça veut dire que les passwords étaient pas hashés ou bien seulement hashés avec MD5 ? Aie


Si c'est le cas, je conseille vraiment de re-hashés les passwords avec quelque chose de solide comme bcrypt...
Titre: Alerte : Faille de sécurité de protection des mots de passe
Posté par: Yorick26 le vendredi 22 mai 2020, 08:13:09
Bonjour les forums de Puissance-Zelda,
Bonjour Shern,

Je vous fais part des résultats de nos recherches. Enfin plus précisément des recherches d'Izzy Novada. Plusieurs modifications peuvent être apportées - a priori - au forum. La première est un changement dans la manière de masquer vos mots de passe.

Il est bien évident que nous devons garder une trace de votre mot de passe quelque part pour qu'il puisse dire que c'est le bon (:8):). Il y a donc dans la base de données une information où est affiché votre mot de passe. Pas de manière lisible, rassurez-vous. Il a été crypté et seul le forum (et donc pas nous) arrive à vérifier si c'est le bon. C'est ce que Shern (et le monde informatique en général) appelle le hashage. Si je me souviens bien, les mots de passes sauvegardés de notre côté ressemblent à quelque chose comme "b%157*M&1TyHbX%C^AoS&lq%CTF$toH3vp$zH&5r". Autant dire qu'on n'arrivera pas à découvrir ce que vous avez écrit initialement, nous, avec nos petits moyens. Il existe plusieurs méthodes, notamment le MD5, le SHA1 ou le BCRYPT (ce dernier étant le plus récent et le plus sûr). Nous n'avons pas réussi à déterminé quelle méthode était utilisée par le forum, mais il s'agit soit du MD5, soit du SHA1. Il semblerait (de toute évidence) qu'il soit possible de comprendre quelle a été la méthode pour arriver à un tel cryptage et donc à retrouver le mot de passe initial à l'aide de savant calcul. Et c'est ainsi que Yorick26 se vit pirater son compte.

Nous envisageons donc de changer la méthode de cryptage pour quelque chose de plus performant (le BCRYPT). Plusieurs méthodes s'offrent à nous :


En ce qui concerne le bot, les mesures prises contre lui pour l'instant suffisent :


On vous tient encore une fois informés des avancées. Je remercie encore une fois @Izzy Novada pour ses recherches et pour son investissement malgré le temps qu'il lui manque.
Titre: Alerte : Faille de sécurité de protection des mots de passe
Posté par: Nico le vendredi 22 mai 2020, 08:49:15
... Ça veut dire que les passwords étaient pas hashés ou bien seulement hashés avec MD5 ? Aie


Si c'est le cas, je conseille vraiment de re-hashés les passwords avec quelque chose de solide comme bcrypt...

Hello,

De mes souvenir, les MDP sont hashés selon une méthode qui est connue de tous car le code source des forums est public. Je pense que c'est secure sauf que... le sha1 a été craqué il y a quelques mois. Normalement si la communauté SMF est active (et fait bien son travail), elle a mis a disposition une MAJ qui aurait changé le protocole de hashage des MDP.

Bon courage Yorick, on dirait que le confinement est propice au cyber attaques.
Titre: Alerte : Faille de sécurité de protection des mots de passe
Posté par: Chompir le vendredi 22 mai 2020, 10:05:10
Merci Nic0 pour les précisions. J’ai regardé rapidement sur le site de SMF mais il semble qu’il y ait aucune infos. S’ils maj le système de hashing’ ça doit sûrement être dans la 2.1 mais elle est encore en beta avec trop de risque pour l’utiliser.

Après j’ai pas regardé du côté des packages de la comu s’il y a eu modifications de hashing. Je jetterai un oeil quand je serai sur ordi.

EDIT : Rien du côté des modeurs de SMF à part un vieux github d’il y a 5ans.