Après un piratage du serveur Drupal.org, l’organisation a réinitialisé les mots de passe de quelque 1 million de comptes. Il n’y a pas de problème par contre pour les sites web qui utilisent Drupal.
Selon un communiqué posté sur le blog du site web de Drupal.org, il y a eu une fuite d’informations sur des comptes de Drupal.org et groups.drupal.org en raison d’un bug dans du software de tiers installé sur les serveurs. L’organisation insiste sur le fait qu’il ne s’agit pas d’un problème au niveau du système de gestion du contenu Drupal même.
Parmi les informations qui ont pris la clé des champs, il y a des noms d’utilisateur, adresses e-mail et informations de pays, ainsi que des mots de passe hachés. Des contrôles sont encore en cours pour savoir si d’autres informations encore se sont envolées, mais Drupal.org affirme en tout cas que sur cette infrastructure de serveurs, aucune donnée de carte de crédit n’était stockée. Drupal.org indique aussi que les mots de passe ont été ‘salted’ et hachés à plusieurs reprises, en vue de compliquer nettement les abus possibles (‘salted’ signifie que des signes aléatoires ont été ajoutés au mot de passe lors du stockage).
Comme mesure de prévention, Drupal.org a réinitialisé les mots de passe de tous les comptes Drupal.org, alors que les utilisateurs seront invités à adapter leur mot de passe lorsqu’ils se connecteront la prochaine fois. Sur le blog, l’on explique aussi une fois encore comment adapter un mot de passe et quelles mesures préventives complémentaires peuvent être prises (comme décrites dans la liste des questions et réponses FAQ sur le blog).
Les sites web utilisant Drupal ne sont pas touchés, et cela vaut aussi pour Acquia, l’entreprise de Dries Buytaert qui fournit des services liés à Drupal.
Par ailleurs, la réaction de Drupal.org a été appréciées dans les commentaires, parce que l’organisation a tenu à communiquer immédiatement à ce propos et a indiqué clairement quelles étaient les informations qui avaient pris la clé des champs et quel était le risque possible (mais aussi comment réagir correctement).
