L'équipe de Matrix (dont se sert Riot) a averti il y a quelques jours qu’une brèche de sécurité dans son infrastructure l’avait poussé à couper tout service pendant plusieurs heures afin de remonter son serveur principal.
Des pirates ont exploité une brèche, mais pas dans le service lui-même. Elle résidait dans un composant de l’infrastructure de production, l’équipe reconnaissant avoir utilisé une version un peu datée de Jenkins (outil d’intégration continue, écrit en Java).
Des messages non chiffrés ont potentiellement été dérobés, de même que des hashs de mots de passe et des jetons d’accès, depuis révoqués.
Tous les utilisateurs ont été déconnectés du service. Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains, quand l’utilisateur se contente par exemple du nombre minimal de caractères et ne varie pas assez ces derniers.
Matrix rappelle également deux conseils, valables en permanence : vérifier régulièrement la liste des appareils connectés au compte et activer le chiffrement de bout en bout pour les messages privés.
Selon les premiers éléments d’enquête, le code source, les paquets binaires, les serveurs Modular.im et d’identité n’ont pas été affectés. Matrix pense que l’objectif des pirates n’était pas les données des utilisateurs, mais les identifiants internes des développeurs du service, pour pousser plus loin l’exploration.
Bien que le périmètre de l’incident semble circonscrit, l’ampleur de la faille a nécessité une décision radicale. Les utilisateurs déconnectés ne retrouveront en effet pas leurs messages privés, à moins qu’ils n’aient fait une sauvegarde de leurs clés de chiffrement. Pas d’inquiétude non plus s’ils laissaient le serveur s’occuper de cette tâche.
Notez que Matrix a également dû faire face à un défacement de son site, à cause d’une API dont la compromission était connue. Cette deuxième attaque n’a affecté en rien le serveur reconstruit après la première, considéré désormais comme parfaitement sécurisé.
Commentaires (17)
#1
Java….. rien que ça j’étais déjà mort de rire….. Sécu et java c’est une grande histoire d’amour!
#2
“Matrix recommande un changement de mot de passe, car le hash ne saurait protéger longtemps contre la faiblesse de certains”
=> cela n’aurait pas pu être évité en stockant un hash salé ?
#3
#4
Utiliser Jenkins pour gérer une prod, c’est un peu moyen… Il est très bien pour faire de l’intégration continue, piloter des déploiements… mais faire plus que ça (même s’il peut le faire)…?
#5
J’ai reçu l’e-mail, je ne rappelais pas avoir un compte
" />
#6
#7
Rigole pas, j’ai fais une demande de renouvellement de ma carte d’identité, la dame de la mairie enregistre les infos (nom, prénom, empreintes digitales etc) via une appli java, pour les transmettre à l’ANTS.
" />
#8
Si ton sel est complexe genre “zf6a541f6zaf4z6r1zeq” il faudra trouver tester tous les combinaison sur XXXXXXXXzf6a541f6zaf4z6r1zeq donc beaucoup plus dur à trouver est pas déjà calculé dans des bases de données connues
#9
Justement s’il est bien pour gérer des deploiements, beaucoup ne pas l’utiliser pour les déploiements de prod ?
Qui dit déploiement en prod dit qu’il faut bien l’avoir installer en prod. La seule faute ici n’est ni dans java, ni dans l’utilisation de Jenkins mais bien dans le fait de pas l’avoir mis à jour en temps, et d’après l’article, c’est ce qu’ils reconnaissent
#10
Je suis peut-être naïf, mais ce devrait-il pas y avoir uniquement les services de Matrix sur le serveur de prod? Me semble que Jenkins aurait dû être sur un serveur à part.
Ceci étant dit, je suis un gros utilisateur de Riot, c’est ma messagerie principale et j’en suis très content. Et y a plein de fonctionnalités qui s’en viennent cette année afin de rendre Riot plus attrayant et facile d’utilisation (même si mes parents sont déjà dessus aujourd’hui).
#11
C’est marrant, en lisant l’article et la mention (superflue à mon sens) de Java, je me suis immédiatement dis “on va avoir droit à un troll gratuit dans les commentaires”.
" />
Merci de t’être dévoué
#12
#13
Je crois que ce que Patch a voulu dire c’est que c’est quand même rapide de calculer les hash (salés) des quelques milliers de mot de passe les plus courants.
#14
Le «pirate» a commenté son intrusion en donnant quelques conseils pour sécuriser leur infra :
https://github.com/matrix-org/matrix.org/issues/367#issuecomment-482649539
Car leur tort (entre autre) a été de laisser ouvert sur le net le Jenkins et ne pas l’avoir mis sur un VPN/bastion.
#15
#16
#17
“Jenkins (outil d’intégration continue, écrit en Java).“quel est l’intérêt de cette précision ? si ce n’est alimenter les éternels (troll?) commentaires concernant la sécurité de Java de la part d’ignorants…