Voici quelques semaines, les systèmes de gestion de contenu Joomla et WordPress pliaient – sans rompre – face à une vague d’attaques informatiques de type force brute.
Des trois principaux CMS open source, seul Drupal avait été épargné.
Le voilà pris à son tour dans la nasse des pirates, avec des dommages collatéraux sur plus d’un million d’utilisateurs qui, par mesure de sécurité, ont vu leurs mots de passe réinitialisés.
En l’absence de preuves formelles, les équipes de Drupal excluent toute exfiltration de données sensibles, notamment les coordonnées de paiement utilisées par les détenteurs de compte Premium.
Certaines informations ont en revanche été exposées. Notamment des noms et des adresses mail, au même titre que les mots de passe, néanmoins chiffrés par hachage.
L’origine de l’assaut, au même titre que ses motivations, reste pour l’heure floue. Il s’agit vraisemblablement d’un acte isolé, sans lien avec l’offensive menée au mois dernier contre Joomla et WordPress.
Il est apparu que la faille exploitée pour l’intrusion ne résidait pas sur les serveurs de Drupal, mais sur l’infrastructure d’un prestataire de services tiers, sur laquelle un logiciel malveillant a été installé.
Si la nature de l’attaque est mal définie, il est fort probable qu’un réseau d’ordinateurs zombies (« botnets ») y ait participé.
Tandis que les investigations se poursuivent, l’accès au service (drupal.org et groups.drupal.org) est conditionné, pour l’utilisateur final, à la réinitialisation de son mot de passe.
Drupal annonce pour sa part un renforcement de configuration du serveur Web Apache, l’adoption de noyaux sécurisés GRSEC et la création d’archives statiques pour certains contenus obsolètes, typiquement les sites événementiels.
Depuis plusieurs mois, on constate une recrudescence des cyber-attaques. Dernières victimes en date, LivingSocial en avril et Evernote en mars, avec dans chaque cas 50 millions d’utilisateurs affectés.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Anonymous ?
Crédit photo : Mopic – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…
