L'équipe Joomla a annoncé une violation de la sécurité causée par une sauvegarde non chiffrée
Les développeurs exécutant Joomla, un projet open source et l'un des systèmes de gestion de contenu les plus populaires au monde, ont signalé une violation de données la semaine dernière. Un ancien membre de l'équipe a téléchargé une sauvegarde de l'ensemble du site Web Joomla Resources Directory dans un compartiment S3 Amazon Web Service (AWS) non protégé. La sauvegarde comprenait les détails d'environ 2 700 utilisateurs enregistrés. L'équipe de Joomla a décidé de ne pas balayer la brèche sous le tapis, et l'incident a été décrit dans une notification assez détaillée. Certains pourraient penser que c'est une décision étrange.
La plupart des données exposées étaient de toute façon accessibles au public
La plupart des comptes concernés appartiennent à des développeurs qui utilisent le site Web pour faire connaître leurs compétences et leurs services. Les détails exposés comprenaient les noms, adresses e-mail, adresses physiques, numéros de téléphone, sites Web de l'entreprise, préférences d'abonnement à la newsletter, adresses IP et mots de passe hachés. Tout, sauf les mots de passe, était en texte brut et la sauvegarde entière n'était pas chiffrée.
Ce n'est pas une très bonne chose, mais il faut dire que les utilisateurs concernés n'ont pas grand-chose à craindre. La plupart des informations étaient accessibles au public de toute façon, donc bien qu'il n'y ait aucune information sur l'accès ou non à la sauvegarde exposée, l'impact potentiel de cette violation de données particulière est plutôt faible.
La mauvaise gestion des sauvegardes n'est pas bonne
Malgré la gravité relativement faible de la brèche, l'équipe de Joomla semble prendre l'incident au sérieux. Et ils devraient donc.
Comme l'a souligné ZDNet, jusqu'à très récemment, Joomla était le deuxième système de gestion de contenu le plus populaire au monde, et bien qu'il soit loin d'être aussi grand que WordPress, le nombre de sites Web qui en dépendent est bien supérieur à 2 millions. La responsabilité des personnes qui exécutent le projet est assez énorme, et permettre aux sauvegardes non chiffrées de fuir comme ça n'est tout simplement pas acceptable.
Heureusement, la violation a été suivie d'un audit de sécurité et l'équipe nous assure qu'un certain nombre de changements aux politiques et procédures ont été mis en œuvre. Il s'agit certainement d'une situation meilleure tard que jamais, et nous espérons que les développeurs d'autres projets de cette taille apprendront des erreurs de Joomla et prendront les précautions nécessaires avant que les données ne soient exposées.