PassionFourmis est en cours de fermeture, Matthieu (ancien administrateur) effectue la migration vers ZoOrigin (PF restera en lecture quelques temps et nous travaillons à migrer vos comptes)

La fameuse faille

Détour obligatoire pour se tenir informé de la politique du forum, des nouveautés et mises-à-jour, ainsi que pour nous faire connaître les problèmes rencontrés / vos suggestions.
Avatar du membre
zat
Administrateur
Administrateur
Messages : 618
Enregistré le : 05 avril 2016, 11:47
Localisation : Lyon
Contact :

La fameuse faille

Message non lupar zat » 19 octobre 2016, 16:37

Je pense que c'est au staff de faire l'annonce de la faille plutôt que de laisser les rumeurs courir et les annonces non-officielles fleurir.

Avant que je prenne les rennes, il y avait une version d'un "module" du site PF qui contenait une faille de sécurité importante et déjà connue de Myrméco (merci @Will pour l'info). Juste avant de partir, Matthieu a supprimé tout le module pour corriger ce problème de sécurité mais je pense qu'il est nécessaire de prévenir les membres.

Alors les prévenir de quoi?
Il est possible que durant quelques mois, des hackers se soient introduits dans la base de données pour en prélever des informations. Notamment vos mots de passe chiffrés à sens unique. Pourquoi c'est en gras? Parce que ça signifie qu'il est très peu probable de retrouver ce qui se cache derrière... (ceux qui ne me croient pas, je les mets au défi de me donner la valeur en clair de ceci -> E57ECACFDC72362E20BAE00C32059A218906FB54710F8EF298973F38B15FBE3E)

Cependant, très probable n'est pas impossible, donc je vous invite à modifier votre mot de passe sur le site mais aussi ce même mot de passe si vous êtes inscrit ailleurs avec le même nom d'utilisateur.

L'origine de la faille a été identifiée et j'ai mis un plan d'action pour que ça ne se reproduise plus. Mais je suis désolé pour vous ! (enfin nous, j'ai changé aussi ^^).

Voilà, n'hésitez pas à me taper dessus et à me poser les questions que vous voulez. Je tâcherai de faire de mon mieux.

Avatar du membre
Will
Expert(e)
Expert(e)
Messages : 360
Enregistré le : 18 août 2014, 21:51

Re: La fameuse faille

Message non lupar Will » 19 octobre 2016, 16:45

Je me permets de recopier le complément d'info en ma possession :

Passion Foumis est resté environ 6 mois [correction, un an en fait, ndlr] avec un faille de sécurité (dans le joomla si je me souviens bien) facilement exploitable par qui sait le faire. Je parle d'un accès illimité a certains comptes admins, à la DB, à vos MP, à votre mot de passe, à votre adresse mail. Pour peux que vos identifiants soient identiques avec d'autres sites, on peut imaginer tout ce que cela implique. C'est un mircale que PF n'aie pas simplement été rayé de la carte par un hackeur du dimanche durant tout ce temps.

La faille a été détectée par certaines utilisateurs sur Myrméco il y a des mois déjà. Nous avons alerté Yakko, qui s'en allait. Nous avons alerté Papoose, qui ne savait rien y faire. Nous avons alerté Mathieu, qui n'a pas bougé le petit doigt, et ce durant plusieurs semaines.

La faille à finalement été réparée par Matthieu qui passait pas la, il y a deux semaine environ. Si aucune annonce n'a été faite de ma part ni d'un autre durant tout ce temps, c'est simplement parce que le crier publiquement avec le problème non réglé était une incitation au hacking pure et simple.

On peut cracher ce qu'on veut sur Jarode et 6 mois de données perdues, mais ici on joue dans une toute autre catégorie. On parle d'informations privées et personnelles de dizaines de membres, parfois également inscrits sur Myrméco, laissées accessibles des semaines par simple négligence. On parle de se prendre pour un admin, mais de ne pas respecter la responsabilité qu'on a vis à vis de ses utilisateurs en se tenant le poireau devant son nom rouge. Ce n'est pas seulement pathétique, c'est criminel et dangereux.

Bref, il serait sage pour celui qui li ce message de changer son mot de passe non pas seulement de ce forum, mais aussi des autres, de sa boite mail, et dire merci à l’équipe de PF au passage, qui ne vous à apparemment pas daigné digne à ce jour d'en être informés.


Ajout : et il aura finalement eu besoin que moi, je pousse un coup de gueulante et d'un nouvel admin pour une réponse publique soit donnée à un problème connu de 12 mois.
Bon, maintenant c'est réglé, et tout est bien pour repartir sur de bonnes bases. ;)

Avatar du membre
Bernie
Modérateur
Modérateur
Messages : 983
Enregistré le : 03 février 2016, 21:00
Localisation : Sud Ouest Landes de Gascogne

Re: La fameuse faille

Message non lupar Bernie » 19 octobre 2016, 17:52

AH ! c'est pour cela que depuis quelque temps une certaine Mimi la Chaudasse me contacte sur mon E-mail pour me proposer des séances de gymnastique acrobatiques nocturnes. :sifflote: :sifflote: :sifflote:
« Parle seulement quand tu sais que tu apporteras une solution ; il doit être un artisan, celui qui parle dans le conseil ; parler est plus difficile que tout autre travail. »
Ptahhotep, vizir. Ve dynastie,

Avatar du membre
Yakko
Ancien administrateur
Ancien administrateur
Messages : 3442
Enregistré le : 18 juin 2014, 20:14
Localisation : Rhône

Re: La fameuse faille

Message non lupar Yakko » 19 octobre 2016, 17:58

Juste pour remettre les choses dans leur contexte, Jarode est en effet venu vers moi fin septembre (le 26/09 exactement) pour m'informer du problème de mise à jour, et je l'en remercie. Cette info a été remontée vers le maître des clés de l'époque.

Ledit maître des clés avait, à cette époque, peut-être perdu l'emplacement de la porte du forum mais le principal, me semble-t-il est qu'il ait pu transmettre le trousseau (de clés) à une personne ayant les compétences techniques pour gérer le site et le forum, ce qui n'était pas forcément mon cas.

EDIT : Bernie, tu me fais toujours marrer ! :D
:) Mes Blogs, consacrés aux Crematogaster, Messor, Camponotus, Lasius et Pheidole :!:

Avatar du membre
zat
Administrateur
Administrateur
Messages : 618
Enregistré le : 05 avril 2016, 11:47
Localisation : Lyon
Contact :

Re: La fameuse faille

Message non lupar zat » 19 octobre 2016, 20:53

Bernie a écrit :AH ! c'est pour cela que depuis quelque temps une certaine Mimi la Chaudasse me contacte sur mon E-mail pour me proposer des séances de gymnastique acrobatiques nocturnes. :sifflote: :sifflote: :sifflote:


Ah non mais ça c'était moi ! :p

Avatar du membre
Geotzi
Fervent(e)
Fervent(e)
Messages : 261
Enregistré le : 28 mai 2015, 10:10
Localisation : Picardie (Aisne)

Re: La fameuse faille

Message non lupar Geotzi » 19 octobre 2016, 21:33

Bon bah mot de passe changé.

Il ne faut clairement pas déconner avec ce genre de faille...

Merci Will. ;)

Avatar du membre
zat
Administrateur
Administrateur
Messages : 618
Enregistré le : 05 avril 2016, 11:47
Localisation : Lyon
Contact :

Re: La fameuse faille

Message non lupar zat » 19 octobre 2016, 21:34

Non, c'est pour ça que j'ai préféré faire le message, quitte à passer pour un branquignol. D'ailleurs je mets à jour le fofo dans les jours qui viennent à compter de maintenant. Il sera aux dernières versions des modules/du core.

Retourner vers « Annonces, règles, nouveautés, problèmes »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité