Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La messagerie Matrix piratée, des mots de passe à changer

La messagerie Matrix piratée, des mots de passe à changer

Le 15 avril 2019 à 10h33

L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.

Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).

Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.

Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.

Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.

Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.

Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.

Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.

Le 15 avril 2019 à 10h33

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Java….. rien que ça j’étais déjà mort de rire….. Sécu et java c’est une grande histoire d’amour!

votre avatar

“Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains”



=> cela n’aurait pas pu être évité en stockant un hash salé ?

votre avatar







TheFelin a écrit :



Java….. rien que ça j’étais déjà mort de rire….. Sécu et java c’est une grande histoire d’amour!





Mouais, ce n’est pas la JVM qui avait une faille mais le logiciel Jenkins et un patch était dispo depuis quelques temps car la faille était connue… Donc là, c’est plus de la flemme de Sysadmin…


votre avatar

Utiliser Jenkins pour gérer une prod, c’est un peu moyen… Il est très bien pour faire de l’intégration continue, piloter des déploiements… mais faire plus que ça (même s’il peut le faire)…?

votre avatar

J’ai reçu l’e-mail, je ne rappelais pas avoir un compte <img data-src=" />

votre avatar







yope7 a écrit :



“Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains”



=&gt; cela n’aurait pas pu être évité en stockant un hash salé ?



Qu’il soit salé ou pas, ca change quoi quand le mot de passe est “11111111”, “Password1” ou un truc équivalent?


votre avatar

Rigole pas, j’ai fais une demande de renouvellement de ma carte d’identité, la dame de la mairie enregistre les infos (nom, prénom, empreintes digitales etc) via une appli java, pour les transmettre à l’ANTS. <img data-src=" />

votre avatar

Si ton sel est complexe genre “zf6a541f6zaf4z6r1zeq” il faudra trouver tester tous les combinaison sur XXXXXXXXzf6a541f6zaf4z6r1zeq donc beaucoup plus dur à trouver est pas déjà calculé dans des bases de données connues

votre avatar

Justement s’il est bien pour gérer des deploiements, beaucoup ne pas l’utiliser pour les déploiements de prod ?



Qui dit déploiement en prod dit qu’il faut bien l’avoir installer en prod. La seule faute ici n’est ni dans java, ni dans l’utilisation de Jenkins mais bien dans le fait de pas l’avoir mis à jour en temps, et d’après l’article, c’est ce qu’ils reconnaissent

votre avatar

Je suis peut-être naïf, mais ce devrait-il pas y avoir uniquement les services de Matrix sur le serveur de prod? Me semble que Jenkins aurait dû être sur un serveur à part.



Ceci étant dit, je suis un gros utilisateur de Riot, c’est ma messagerie principale et j’en suis très content. Et y a plein de fonctionnalités qui s’en viennent cette année afin de rendre Riot plus attrayant et facile d’utilisation (même si mes parents sont déjà dessus aujourd’hui).

votre avatar

C’est marrant, en lisant l’article et la mention (superflue à mon sens) de Java, je me suis immédiatement dis “on va avoir droit à un troll gratuit dans les commentaires”.

Merci de t’être dévoué <img data-src=" />

votre avatar







Arkamenion a écrit :



Justement s’il est bien pour gérer des deploiements, beaucoup ne pas l’utiliser pour les déploiements de prod ?



Qui dit déploiement en prod dit qu’il faut bien l’avoir installer en prod. La seule faute ici n’est ni dans java, ni dans l’utilisation de Jenkins mais bien dans le fait de pas l’avoir mis à jour en temps, et d’après l’article, c’est ce qu’ils reconnaissent





Oui, j’ai regardé l’article après avoir commenté et il semble que c’est ce qui s’est passé : utilisation d’un Jenkins compromis pour aller se ballader sur des serveurs de prod.

&nbsp;





Creak a écrit :



Je suis peut-être naïf, mais ce devrait-il pas y avoir uniquement les services de Matrix sur le serveur de prod? Me semble que Jenkins aurait dû être sur un serveur à part.



Ceci étant dit, je suis un gros utilisateur de Riot, c’est ma messagerie principale et j’en suis très content. Et y a plein de fonctionnalités qui s’en viennent cette année afin de rendre Riot plus attrayant et facile d’utilisation (même si mes parents sont déjà dessus aujourd’hui).





Voir le commentaire précédent auquel je réponds : si tu veux que Jenkins puisse faire les déploiements sur ta prod, il faut qu’il ait accès à ta prod - même si effectivement, il vaut mieux qu’il soit sur un serveur à part.


votre avatar

Je crois que ce que Patch a voulu dire c’est que c’est quand même rapide de calculer les hash (salés) des quelques milliers de mot de passe les plus courants.

votre avatar

Le «pirate» a commenté son intrusion en donnant quelques conseils pour sécuriser leur infra :

github.com GitHubCar leur tort (entre autre) a été de laisser ouvert sur le net le Jenkins et ne pas l’avoir mis sur un VPN/bastion.

votre avatar







V_E_B a écrit :



C’est marrant, en lisant l’article et la mention (superflue à mon sens) de Java, je me suis immédiatement dis “on va avoir droit à un troll gratuit dans les commentaires”.

Merci de t’être dévoué <img data-src=" />







Je suis arrivé trop tard…. <img data-src=" />


votre avatar







gg40 a écrit :



Je crois que ce que Patch a voulu dire c’est que c’est quand même rapide de calculer les hash (salés) des quelques milliers de mot de passe les plus courants.



Tout à fait.

Surtout que ceux que j’ai cité font partie même des centaines (voire dizaines) les plus courants…


votre avatar

“Jenkins (outil d’intégration continue, écrit en Java).“quel est l’intérêt de cette précision ? si ce n’est alimenter les éternels (troll?) commentaires concernant la sécurité de Java de la part d’ignorants…

La messagerie Matrix piratée, des mots de passe à changer

Fermer