Le forum de Comodo se fait pirater après que la société n'ait pas appliqué de correctif de sécurité à temps
Nous avons souvent l'occasion de dire sur ces pages à quel point les mises à jour logicielles sont importantes, non seulement à cause des nouvelles fonctionnalités et des améliorations de performances, mais également à cause des correctifs de sécurité. Lundi, Comodo, qui, ironiquement, est une société de sécurité, nous a raconté une histoire illustrant ce qui pourrait se produire lorsque lesdites corrections ne sont pas retardées de plus de quatre jours. Avant d’aller au fond des choses, cependant, il convient de mentionner que l’incident n’est pas vraiment horrible.
Table of Contents
Pas la plus grande faille au monde
Comodo a publié un bref avis de sécurité indiquant que le 29 septembre, des pirates informatiques inconnus ont eu accès à une base de données contenant les informations des utilisateurs de son forum. Au total, 245 000 enregistrements ont potentiellement été consultés, chacun contenant un nom, une adresse électronique, la plus récente adresse IP de l'utilisateur et un mot de passe "crypté".
À la lumière d' autres incidents de sécurité récents , certains pourraient être tentés de classer cette violation particulière comme insignifiante. En effet, la quantité de données mise en péril n’est pas si énorme, et bien que l’avis soit un peu maigre, il n’ya que peu de raisons de croire que des informations particulièrement sensibles ont été exposées.
Cela étant dit, le mécanisme de l’introduction par effraction est préoccupant, car il montre qu’un nom reconnaissable dans le secteur de la cybersécurité n’a pas réussi à mettre en place une politique de mise à jour qui puisse le protéger (ainsi que ses utilisateurs).
Une vulnérabilité corrigée dans vBulletin était au bas de la violation de données
Le 23 septembre, un chercheur en sécurité anonyme a dévoilé publiquement une vulnérabilité de sécurité inconnue dans la cinquième version de vBulletin, un logiciel de forum Internet populaire écrit en PHP. Traqué comme CVE-2019-16759, la faille est plutôt effrayante pour quelques très bonnes raisons.
Premièrement, bien qu’elle ait été qualifiée de "vulnérabilité du jour zéro", certaines personnes étaient au courant bien avant qu’elle ne soit rendue publique. Comme le mentionnait le registre à l'époque , les experts disaient que les exploits étaient sur le marché clandestin depuis des années. En d'autres termes, les cybercriminels ont un accès relativement facile au code susceptible de compromettre des milliers de forums vBulletin.
En plus de cela, l'attaque n'est pas particulièrement difficile à mener. L'exploitation du trou implique quelques lignes de code Python insérées dans une requête HTTP POST. Ces lignes sont maintenant accessibles au public.
Dernier point mais non le moindre, le fait que CVE-2019-16759 soit un bogue d’exécution de code à distance signifie que les pirates informatiques ont la possibilité de faire plus ou moins ce qu’ils veulent après un exploit réussi.
Parce que le bogue est si dangereux, les développeurs de vBulletin ont mis au point un correctif assez rapidement. Le 25 septembre, quatre jours avant l'attaque contre Comodo, des correctifs pour toutes les versions vulnérables ont été publiés et les experts en sécurité ont exhorté tout le monde à installer les correctifs de toute urgence. Comodo ne faisait pas attention, et les résultats sont maintenant évidents. La société a promis de créer et de suivre désormais une politique de mise à jour stricte, et les utilisateurs ne peuvent qu’espérer qu’elle tiendra parole.. Ils peuvent également espérer que la prochaine fois qu'il aura à traiter un incident de sécurité, ses avis seront un peu plus clairs.
Comodo crée une confusion avec son avis de violation de données
L'avis de violation de données a été publié sur https://forums.comodo.com/ (les forums dédiés à Comodo et à ses produits), et les 425 000 enregistrements qui y sont mentionnés appartiennent à des personnes qui ont utilisé ce forum. Le modérateur qui a publié l'avis n'a pas tenté de cacher le fait que les assaillants ont exploité CVE-2019-16759 pour voler les données, ce qui a laissé un certain nombre de personnes perplexes. Comme certains utilisateurs l'ont rapidement fait remarquer , https://forums.comodo.com/ est construit avec Simple Machines Forum, un autre logiciel de forum Internet qui n'a rien à voir avec vBulletin.
Les modérateurs ont ensuite dû expliquer que les assaillants avaient en fait piraté https://forum.itarian.com/ , un forum différent appartenant à Comodo et basé sur vBulletin. Comme https://forum.itarian.com/ et https://forums.comodo.com/ sont hébergés sur le même serveur, les pirates ont eu accès à non pas une mais deux bases de données. Celui qui compte de nombreux utilisateurs de https://forum.itarian.com/ comptait apparemment un peu plus de 45 000 personnes.
Même avec la deuxième base de données, la faille n’est pas particulièrement horrible. Cela dit, cela révèle une triste vérité sur l'état actuel de la cybersécurité. Tout comme la réutilisation effrénée des mots de passe par les experts en sécurité, cet incident montre que même les professionnels ne sont pas disposés à faire confiance à leurs propres conseils et à suivre les principes de sécurité les plus élémentaires.
