Incident de sécurité
Difficile annonce que celle de ce jour: Automattic a subi une incursion de bas niveau (root) sur plusieurs de ses serveurs, et tout ce qui se trouve sur ces serveurs a potentiellement été révélé.
Nous avons consciencieusement passé en revue les journaux du système de cette incursion, pour déterminer l’étendue des informations exposées et avons re-sécurisé les voies utilisées pour obtenir ces accès. Nous présumons que nos codes sources ont été exposés et copiés. Il est certain que la plupart de notre code est ouvert et public, mais il y a des parties dans notre code et celui de nos partenaires qui est un peu plus sensible. Néanmoins, il apparaît que les informations divulguées sont limitées.
Sur la base de ce que nous avons découvert, nous n’avons pas de suggestions spécifiques pour nos utilisateurs, au delà d’insister sur ces mesures fondamentales de sécurité:
- Utilisez des mots de passe robustes, c’est à dire aléatoires, incluant chiffres et ponctuation.
- Utilisez des mots de passe différents pour des sites différents.
- Si vous avez utilisé le même mot de passe sur plusieurs sites, changez-les pour d’autres plus sécurisés.
(Des outils comme 1Password, LastPass, and KeePass facilitent la gestion de mots de passe multiples.)
Notre investigation sur ces évènements est en cours et demandera encore du temps avant d’être terminée. Comme je l’ai indiqué ci-dessus, nous avons pris des mesures exhaustives pour éviter qu’un incident similaire se produise à nouveau. Si vous avez des questions ou inquiétudes, merci de laisser un commentaire ci-dessous ou de contacter notre support..
48 commentaires
S’il vous plait, les commententaires sur ce blog ne sont pas le bon endroit pour poser des questions sur d’autres sujets, pour obtenir du soutien technique, ou bien même pour signaler un bug pour cela merci d’utiliser les forums ou de nous contacter.
Lisez nos orientations de commentaires avant de publier.
BONJOUR
A FORCE DE CHANGER DE MOT DE PASSE ON S Y PERD.,
à mon âge cela n’est déjà pas facile car je débute en informatique.
amicalement Patrick
Bonsoir
Y a t il un rapport avec le virus rootkit physicaldrive qui m a pollue depuis lundi soir ?
Non
Merci , c’est peut être pour ça que mes statistiques sont montées en flèches depuis quelques jours !
Non, aucun rapport. Ce sont de vrais visiteurs qui viennent sur votre site, bravo! 😉
merci, mais je suis également un peu perdue de changer réguliérement de mot de passe, vais finir par m’y perdre, mais merci pour les explications.
ouf ! 🙂
Merci pour l’info en tout cas. C’est bien d’avoir une explication claire et sincère (surtout).
Y a-t-il quelque chose à faire en plus que de faire attention à nos mots de passe ? et merci de nous tenir au courant de tout cela !
merci je tiens a préciser que les trois sites pour les mots de passe peut vous rappelé les mots de passe que vous avez choisis et il existe des classeur de mots de passe et l’auteur de ce article aurait du les écrire. Pour les nouveaux utilisateur il y a un moyen bien simple de se rappeler les mots de passe et je utilise ce moyen depuis des années je les place sur un document Word et j’écris la place ou il va et le bon calepin et toujours de rigueur pour tous les mots de passe. Ce même document Word avec les mots de passe peut être mit sur un clé USB. Merci
Les trois outils cités par Matt dans l’article ont l’avantage d’organiser et crypter vos mots de passe, les rendant inutilisables pour d’autres personnes que vous.
Ce que j’apprécie chez WordPress, ce sont les explications claires, le respect de l’information envers les utilisateurs et la gentillesse des échanges . Pour cela, je voulais vous remercier .
Merci pour l’info.
C’est probable mais à mon avis et c’est personnel JE PENSE QUE WordPress.com a un puissant détecteur de filtres AKISMET , rénseignez vous CHER MR. avec le support de WordPress.com et vous serez assuré.MERCI
oui c’est bien d’avoir cette honnêteté de prévenir!!merci et bonne chanse à vous !!
Quel service en ligne peut se vanter de n’avoir jamais subi d’attaques ? Combien en parlent aussi ouvertement ?
Merci de votre franchise sur le sujet et bon courage car j’imagine que cet incident va vous donner l’envie de faire encore mieux … et la barre est déjà haute!
De toute manière il y’a de sécurité nulle part, ni dans le réel ni dans le virtuel!
Merci pour l’information. J’ai confiance dans votre dextérité et vos prises de position rapides et efficaces. Merci en tout cas de nous avoir prévenu et pour les liens de dépôt des mots de passe.
Merci pour votre transparence
merci pour vous explications !!!
je reste confiant en votre expertise !!
Merci, un utilisateur informé en vaut deux !
… et encore bravo à toute l’équipe.
Est ce que c’est en rapport avec les attaques Ddos qu’a subi WordPress ?
Impossible de le savoir à ce stade, et nous ne ferons pas d’autres commentaires sur l’attaque pour le moment.
Merci pour l’info ! Bravo…
Merci pour l’info et pour nous laisser un espace de liberté.
MERCI pour l’info
merci pour l’information
amitié pour tout le monde
océane
merci pour l’avertissement, mais il n’est pas toujours simple de changer de code confidentiel à chaque site car on s’y perd un peu…! je voulais par la même occasion remercier les personne qui viennent à l’aide de nos lacunes informatique, pour leur gentillesses leur rapidité à nous répondre et leur efficacité…
merci à vous tous,
Merci pour la transparence et l’information.
C’est malheureusement la rançon du succès !
J’ai un bouquin de poésie, je choisis une phrase et … je la découpe en chacun de mes sites ! Le tout après c’est de se rappeler quel poême l’on utilise, lol !
merci.
Merci de si bien nous prévenir de chaque incident ..
Pensons : si vous êtes attaqué, c’est que vous représentez quelque chose, une valeur… Si vous étiez un moteur de Blog bidon, vous ne seriez pas inquiétés. On peut voir cela comme une annonce positive.
Nous sommes en de bonnes mains, que ce soit sur mon ordi portable, mon Smartphone ou bien mon iPad2, mon Blog fonctionne parfaitement, étant accessible quel que soit le support…
J’attends les réponses pour évoluer avec WordPress…
Merci pour la transparence et l’info.
Merci pour le renseignement 🙂
merci pour l’info , et ce n’est pas bien grave, si on prend le soin de ne rien écrire trop « confidentiel » dans nos blogs. Changer de codes, en mémoriser 6 et faire une rotation tous les mois, par exemple, serais-ce suffisant ?
Hum… la j’ai un peu de mal tout de même… On nous apprend « on s’est fait rooter » et on dit merci ? Prévenir ses utilisateurs est le minimum, ne pas le faire serait encore plus dangereux a mon avis
De plus j’imagine que les mots de passes ne sont pas en clair dans vos DB (un password 10-13 caractères avec lettre et ponctuations sont choses commune maintenant, alors sauf si ils ont un cluster de gpu pour bruteforcer le tout, on est +/- tranquille)
J’espère que ce type d’incident ne se reproduira plus
Merci,
C’est honnête d’avouer votre faute de sécurité, beaucoup d’entreprise ne l’aurait pas fait.
Heureusement je n’utilise pas le même mot de passe partout, c’est trop dangereux.
Merci pour la transparence
Merci, d’autan que c’est mon 1er essai et je n’arrive pas à trouver mon blog dans le navigateur…
Au moins sur WordPress les admin font consciencieusement leur job, surtout sur une plateforme ouverte et de qualité 🙂
C’est pourquoi je m’incline devant la tâche titanesque des admin pour maintenir ce haut niveau de qualité et de sécurité, mais je suis à peine étonné de la répétition de ce type d’alertes de sécurité, mon expérience m’amène souvent à côtoyer des systèmes ouverts aux quatre vents, incluent des données sensibles facilement accessibles, j’ai beau réitérer les règles de base élémentaires de sécurité aux utilisateurs, c’est tjrs perçu comme une contrainte qu’on peut aisément se passer, oui, jusqu’à la catastrophe…
Alors respectons au moins les exigences de base recommandés (*), pour ne pas donner plus de charges de travail à ceux qui nous permettent de garder WordPress Libre et ouvert…
Librement, d.dn
Salut!
pour ma part, je suis avec KeepassX….et je suis très satisfait de son fonctionnement.
d’ailleurs, je ne connais aucun autre mot de passe hormis celui de ma base de donnée Keepass.
je vous le recommande.
Mince! J’espère que cela n’arrive pas trop souvent, c’est embêtant!
Bonjour, je dois dire que je ne suis pas doué pour l’informatique et que je suis
capable de perdre ou d’oublier mon mot de passe….
Bon, ceci dit, merci pour ces informations, c’est vrai que ça donne le sentiment
de quelque chose de sérieux.
Bonne journée à vous.
Amicalement.
.