Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considèrerons que vous acceptez l'utilisation des cookies. J'ai compris ! ou En savoir plus !.
Le blog

[postmortem] compromission de la base de données de GeoRezo

Nous avons reçu la semaine dernière une alerte de sécurité. Bien que nous recevons ce genre de chose de temps en temps (via le programme openbugbounty par exemple), cette alerte nous a semblé plus inquiétante. L’objet de cet article est de vous expliquer le déroulement des événements, les conséquences pour vous, pour nous et le futur.

 

# Mercredi

Le mercredi 10 janvier à 14h35 nous avons reçu un mail nous indiquant la présence d’une faille de sécurité dans le portail. Le mail présentait également une preuve de cette affirmation avec des captures d’écran de la liste des bases et des tables. Son rédacteur indiquait qu’en échange d’une somme comprise entre 500 et 1 000 Euros, il était disposé à nous expliquer la méthode pour corriger la faille.

À la réception de cet email, l’équipe en charge du serveur a débuté une discussion avec le bureau, des modérateurs et des personnes externes sur la meilleure manière de gérer cette situation. Il a été décidé de traiter le problème en interne et de ne pas accepter la proposition de gratification (qui d’ailleurs peut s’apparenter à une rançon), en conformité avec les recommandations des services de l’Etat : https://www.cybermalveillance.gouv.fr.

 

# Mercredi soir

Concernant la correction de la faille, la première stratégie a été de mettre à jour l’ensemble des outils utilisés (WordPress, Dokuwiki, etc.). Malheureusement GeoRezo est un portail âgé de bientôt 15 ans. Le code a été développé au fur et à mesure des besoins depuis ses débuts. Ainsi une bonne partie du code date d’il y a 10 ans.

 

# Jeudi et vendredi

Un premier audit rapide du code a montré une faille dans le service de Biblio (faille démontrée). En tirant le fil on déroulait la pelote. Jeudi matin les services se basant sur le code mis en cause ont été désactivés (agenda, biblio, 1ère page, etc.).

 

# Samedi et dimanche

À partir de jeudi soir nous avons réalisé les corrections du code, déployé peu à peu jusqu’à dimanche soir. Samedi et dimanche, un audit plus poussé a été réalisé pour lister tous les fichiers, les vérifier et les corriger.

Dimanche, le contact n’était pas rompu avec le rançonneur et le tarif avait diminué à 150 Euros.

 

# Les conséquences

À ce jour, nous avons une seule certitude : une faille par injection SQL a permis d’accéder à la base de données. Nous n’avons cependant aucune certitude que des données ont été récupérées. Le contenu de notre portail étant public, seuls les adresses emails et les mots de passe sont critiques. Les mots de passe sont hashés (i.e. il ne sont pas stockés en clair dans la base).

Nous vous invitons quoi qu’il en soit à ne pas utiliser le même login, email et mot de passe sur d’autres sites et à modifier votre mot de passe.

 

# Le futur

Depuis plusieurs années l’équipe GeoRezo maintient le portail en appliquant les mises à jour des différents produits logiciels que nous utilisons. Nous appliquons au plus vite les problèmes de sécurité dont nous avons connaissance soit par les mises à jour des produits, soit par le projet openbugbounty. Nous allons poursuivre ces travaux dans les prochaines semaines.

Au delà de ces aspects liés à la sécurité, nous allons également mener un projet de remise à plat de l’ensemble du portail, en partant d’une feuille blanche. Cette réflexion doit débuter très vite en interne mais nous prendrons le temps de vous écouter.

 

Si vous souhaitez réagir ou nous poser des questions sur tout ceci, nous avons créé un sujet spécifique sur le GeoBar.

Yves et l’équipe du GeoRezo

 

14 Réponse


  1. Merci pour tout Yves!


  2. Merci beaucoup, et c’est un euphémisme.
    Ce retour montre le temps que, vous les bénévoles vous passez.
    Remerciements,


  3. J’espère que vous avez déjà porté plainte auprès du service ad’hoc
    Avec mes bons souvenirs


  4. Hello
    Très intéressant, merci de nous prévenir.
    Je me permets de diffuser votre billet auprès de mon réseau (amis et étudiants, collègues et Linkedin), pour simple information, exemple de rançonage et réaction…
    Bon courage !


  5. Je suis de tout coeur avec vous, merci pour le boulot que vous faite.


  6. Bonjour
    Merci pour l’information. Je vais rapidement changer mes mots de passe.
    Surtout tenez nous informé de toutes nouvelles relatives à la sécurité de votre site et qui pourrait nous impacté.


  7. Bravo et merci.
    Meilleurs vœux 2018


  8. Bonjour,

    Attention au terme utilisé : on ne peut pas parler de rançon car il n’y a pas eu de vol. Vous pouvez juste affirmer que éthiquement ce n’est pas correcte et pas dans l’usage du domaine.

    Y.


  9. Dans les faits c’est un délit très grave de détourner une menace potentielle à son profit personnel pécunier : on appelle ça du racket puisque le sous entendu est : tu payes ou tu vas être piraté. La vertu c’est de bien faire pas de faire ce que l’on a le droit.
    Cordialement et bon courage.


  10. Merci de nous avoir prévenu et bon courage pour la suite.


  11. La confidentialité étant de plus en plus critique, la sécurité informatique est assurément très lucrative, quel que soit le « camp » qui est pris… C’est d’ailleurs ce qui les réunit : le profit.
    L’ « expert » en question a proposé ses « services » : simple proposition commerciale implicitant des représailles en cas de non contractualisation ? Dans tous les cas cela s’apparente à de l’extorsion d’argent (pour ne pas utiliser le terme « racket »).
    Bonne attitude que de n’avoir cédé et compté sur vos ressources.
    Merci pour votre mobilisation et votre transparence (sauf dans vos BD !).
    Bien à vous.


  12. M.E.R.C.I 🙂


  13. Bonjour a tous,je viens par ces mots vous soutenir dans la gestion de ce probleme et vous encourager dans le meme temps. tous les abonnés compte sur vous et sachez que si j’avais la capacité technique de vous aider, je le ferais sans hesiter.


  14. Merci pour ces informations et Bravo à l’équipe.

Partagez  |