Incident de sécurité

13/04/2011

Matt

Difficile annonce que celle de ce jour: Automattic a subi une incursion de bas niveau (root) sur plusieurs de ses serveurs, et tout ce qui se trouve sur ces serveurs a potentiellement été révélé.

Nous avons consciencieusement passé en revue les journaux du système de cette incursion, pour déterminer l’étendue des informations exposées et avons re-sécurisé les voies utilisées pour obtenir ces accès. Nous présumons que nos codes sources ont été exposés et copiés. Il est certain que la plupart de notre code est ouvert et public, mais il y a des parties dans notre code et celui de nos partenaires qui est un peu plus sensible. Néanmoins, il apparaît que les informations divulguées sont limitées.

Sur la base de ce que nous avons découvert, nous n’avons pas de suggestions spécifiques pour nos utilisateurs, au delà d’insister sur ces mesures fondamentales de sécurité:

  • Utilisez des mots de passe robustes, c’est à dire aléatoires, incluant chiffres et ponctuation.
  • Utilisez des mots de passe différents pour des sites différents.
  • Si vous avez utilisé le même mot de passe sur plusieurs sites, changez-les pour d’autres plus sécurisés.

(Des outils comme 1Password, LastPass, and KeePass facilitent la gestion de mots de passe multiples.)

Notre investigation sur ces évènements est en cours et demandera encore du temps avant d’être terminée. Comme je l’ai indiqué ci-dessus, nous avons pris des mesures exhaustives pour éviter qu’un incident similaire se produise à nouveau. Si vous avez des questions ou inquiétudes, merci de laisser un commentaire ci-dessous ou de contacter notre support..

Curieux des derniers développements de WordPress.com? Entrez votre email ci-dessous pour recevoir par courrier nos future annonces. Une confirmation par mail vous sera envoyée, pensez à contrôler les spams si votre boîte est vide.

Rejoignez 2 438 177 autres abonnés

48 commentaires

  1. pattachou2009 13 Avr à 5:35

    BONJOUR
    A FORCE DE CHANGER DE MOT DE PASSE ON S Y PERD.,
    à mon âge cela n’est déjà pas facile car je débute en informatique.
    amicalement Patrick

  2. Pooky 13 Avr à 5:53

    Bonsoir
    Y a t il un rapport avec le virus rootkit physicaldrive qui m a pollue depuis lundi soir ?

  3. juliette2410 13 Avr à 6:25

    Merci , c’est peut être pour ça que mes statistiques sont montées en flèches depuis quelques jours !

    • Paolo 13 Avr à 6:51

      Non, aucun rapport. Ce sont de vrais visiteurs qui viennent sur votre site, bravo! 😉

  4. Mamie Mandrine 13 Avr à 6:43

    merci, mais je suis également un peu perdue de changer réguliérement de mot de passe, vais finir par m’y perdre, mais merci pour les explications.

  5. juliette2410 13 Avr à 7:03

    ouf ! 🙂

  6. desperatebloglife 13 Avr à 7:17

    Merci pour l’info en tout cas. C’est bien d’avoir une explication claire et sincère (surtout).

  7. Hélène Scherrer 13 Avr à 9:25

    Y a-t-il quelque chose à faire en plus que de faire attention à nos mots de passe ? et merci de nous tenir au courant de tout cela !

  8. André 13 Avr à 9:34

    merci je tiens a préciser que les trois sites pour les mots de passe peut vous rappelé les mots de passe que vous avez choisis et il existe des classeur de mots de passe et l’auteur de ce article aurait du les écrire. Pour les nouveaux utilisateur il y a un moyen bien simple de se rappeler les mots de passe et je utilise ce moyen depuis des années je les place sur un document Word et j’écris la place ou il va et le bon calepin et toujours de rigueur pour tous les mots de passe. Ce même document Word avec les mots de passe peut être mit sur un clé USB. Merci

    • Paolo 14 Avr à 6:18

      Les trois outils cités par Matt dans l’article ont l’avantage d’organiser et crypter vos mots de passe, les rendant inutilisables pour d’autres personnes que vous.

  9. Oceanelle 13 Avr à 9:47

    Ce que j’apprécie chez WordPress, ce sont les explications claires, le respect de l’information envers les utilisateurs et la gentillesse des échanges . Pour cela, je voulais vous remercier .

  10. Violet Design 13 Avr à 11:35

    Merci pour l’info.

  11. hassanaouladzahra 14 Avr à 12:59

    C’est probable mais à mon avis et c’est personnel JE PENSE QUE WordPress.com a un puissant détecteur de filtres AKISMET , rénseignez vous CHER MR. avec le support de WordPress.com et vous serez assuré.MERCI

  12. Ping: Incident de sécurité (via Encore un blog WordPress) « L'aventure
  13. annemarieclebant 14 Avr à 4:01

    oui c’est bien d’avoir cette honnêteté de prévenir!!merci et bonne chanse à vous !!

  14. Ping: Incident de sécurité chez WordPress | Lyonel Vallès, CRISC
  15. P.E. Pernet 14 Avr à 6:08

    Quel service en ligne peut se vanter de n’avoir jamais subi d’attaques ? Combien en parlent aussi ouvertement ?
    Merci de votre franchise sur le sujet et bon courage car j’imagine que cet incident va vous donner l’envie de faire encore mieux … et la barre est déjà haute!

  16. drayanoeyako 14 Avr à 7:27

    De toute manière il y’a de sécurité nulle part, ni dans le réel ni dans le virtuel!

  17. filamots 14 Avr à 1:55

    Merci pour l’information. J’ai confiance dans votre dextérité et vos prises de position rapides et efficaces. Merci en tout cas de nous avoir prévenu et pour les liens de dépôt des mots de passe.

  18. gouessej 14 Avr à 4:48

    Merci pour votre transparence

  19. riadrevol 14 Avr à 5:54

    merci pour vous explications !!!
    je reste confiant en votre expertise !!

  20. Ping: Incident de sécurité (via Encore un blog WordPress) « Espoir Démocratique Maghrébin
  21. oliaiklod 14 Avr à 7:01

    Merci, un utilisateur informé en vaut deux !
    … et encore bravo à toute l’équipe.

  22. attitudegeekadmin 15 Avr à 4:46

    Est ce que c’est en rapport avec les attaques Ddos qu’a subi WordPress ?

    • Paolo 15 Avr à 1:44

      Impossible de le savoir à ce stade, et nous ne ferons pas d’autres commentaires sur l’attaque pour le moment.

  23. mamanpasbio 16 Avr à 12:41

    Merci pour l’info ! Bravo…

  24. Tancrède Lenormand 17 Avr à 8:18

    Merci pour l’info et pour nous laisser un espace de liberté.

  25. Et la Tulipe Rouge 18 Avr à 10:11

    MERCI pour l’info

  26. Océane Laika 18 Avr à 4:56

    merci pour l’information
    amitié pour tout le monde
    océane

  27. Ping: L’Hebdo WordPress : WordCamps – WordPress.com – Android | Choisir-son-CMS.tk
  28. claudem20 19 Avr à 1:17

    merci pour l’avertissement, mais il n’est pas toujours simple de changer de code confidentiel à chaque site car on s’y perd un peu…! je voulais par la même occasion remercier les personne qui viennent à l’aide de nos lacunes informatique, pour leur gentillesses leur rapidité à nous répondre et leur efficacité…
    merci à vous tous,

  29. franckwrite 20 Avr à 2:36

    Merci pour la transparence et l’information.
    C’est malheureusement la rançon du succès !

  30. marie1959 23 Avr à 2:31

    J’ai un bouquin de poésie, je choisis une phrase et … je la découpe en chacun de mes sites ! Le tout après c’est de se rappeler quel poême l’on utilise, lol !

  31. zeldaetloulou 28 Avr à 6:54

    merci.

  32. isabelle Lavoie 29 Avr à 1:14

    Merci de si bien nous prévenir de chaque incident ..

  33. Lorrain13 29 Avr à 8:04

    Pensons : si vous êtes attaqué, c’est que vous représentez quelque chose, une valeur… Si vous étiez un moteur de Blog bidon, vous ne seriez pas inquiétés. On peut voir cela comme une annonce positive.
    Nous sommes en de bonnes mains, que ce soit sur mon ordi portable, mon Smartphone ou bien mon iPad2, mon Blog fonctionne parfaitement, étant accessible quel que soit le support…
    J’attends les réponses pour évoluer avec WordPress…

  34. Christine 5 Mai à 4:44

    Merci pour la transparence et l’info.

  35. Lila 8 Mai à 12:04

    Merci pour le renseignement 🙂

  36. ecrire1 18 Mai à 4:36

    merci pour l’info , et ce n’est pas bien grave, si on prend le soin de ne rien écrire trop « confidentiel » dans nos blogs. Changer de codes, en mémoriser 6 et faire une rotation tous les mois, par exemple, serais-ce suffisant ?

  37. manu404 22 Mai à 2:27

    Hum… la j’ai un peu de mal tout de même… On nous apprend « on s’est fait rooter » et on dit merci ? Prévenir ses utilisateurs est le minimum, ne pas le faire serait encore plus dangereux a mon avis :/ De plus j’imagine que les mots de passes ne sont pas en clair dans vos DB (un password 10-13 caractères avec lettre et ponctuations sont choses commune maintenant, alors sauf si ils ont un cluster de gpu pour bruteforcer le tout, on est +/- tranquille)
    J’espère que ce type d’incident ne se reproduira plus

  38. Editeur 25 Mai à 10:41

    Merci,

    C’est honnête d’avouer votre faute de sécurité, beaucoup d’entreprise ne l’aurait pas fait.

    Heureusement je n’utilise pas le même mot de passe partout, c’est trop dangereux.

  39. canalkom 26 Mai à 10:54

    Merci pour la transparence

  40. nhardt 26 Mai à 5:51

    Merci, d’autan que c’est mon 1er essai et je n’arrive pas à trouver mon blog dans le navigateur…

  41. Green iTec 27 Mai à 3:50

    Au moins sur WordPress les admin font consciencieusement leur job, surtout sur une plateforme ouverte et de qualité 🙂

    C’est pourquoi je m’incline devant la tâche titanesque des admin pour maintenir ce haut niveau de qualité et de sécurité, mais je suis à peine étonné de la répétition de ce type d’alertes de sécurité, mon expérience m’amène souvent à côtoyer des systèmes ouverts aux quatre vents, incluent des données sensibles facilement accessibles, j’ai beau réitérer les règles de base élémentaires de sécurité aux utilisateurs, c’est tjrs perçu comme une contrainte qu’on peut aisément se passer, oui, jusqu’à la catastrophe…

    Alors respectons au moins les exigences de base recommandés (*), pour ne pas donner plus de charges de travail à ceux qui nous permettent de garder WordPress Libre et ouvert…

    Librement, d.dn

  42. malekworld2011 1 Juin à 2:21

    Salut!
    pour ma part, je suis avec KeepassX….et je suis très satisfait de son fonctionnement.
    d’ailleurs, je ne connais aucun autre mot de passe hormis celui de ma base de donnée Keepass.

    je vous le recommande.

  43. minceurbeaute 3 Juin à 7:43

    Mince! J’espère que cela n’arrive pas trop souvent, c’est embêtant!

  44. faradet 6 Juin à 7:49

    Bonjour, je dois dire que je ne suis pas doué pour l’informatique et que je suis
    capable de perdre ou d’oublier mon mot de passe….
    Bon, ceci dit, merci pour ces informations, c’est vrai que ça donne le sentiment
    de quelque chose de sérieux.
    Bonne journée à vous.
    Amicalement.
    .

S’il vous plait, les commententaires sur ce blog ne sont pas le bon endroit pour poser des questions sur d’autres sujets, pour obtenir du soutien technique, ou bien même pour signaler un bug pour cela merci d’utiliser les forums ou de nous contacter.

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Créez un nouveau blog ou site Web gratuitement

Commencer

%d blogueurs aiment cette page :