Nous avons reçu la semaine dernière une alerte de sécurité. Bien que nous recevons ce genre de chose de temps en temps (via le programme openbugbounty par exemple), cette alerte nous a semblé plus inquiétante. L’objet de cet article est de vous expliquer le déroulement des événements, les conséquences pour vous, pour nous et le futur.

# Mercredi

Le mercredi 10 janvier à 14h35 nous avons reçu un mail nous indiquant la présence d’une faille de sécurité dans le portail. Le mail présentait également une preuve de cette affirmation avec des captures d’écran de la liste des bases et des tables. Son rédacteur indiquait qu’en échange d’une somme comprise entre 500 et 1 000 Euros, il était disposé à nous expliquer la méthode pour corriger la faille.

À la réception de cet email, l’équipe en charge du serveur a débuté une discussion avec le bureau, des modérateurs et des personnes externes sur la meilleure manière de gérer cette situation. Il a été décidé de traiter le problème en interne et de ne pas accepter la proposition de gratification (qui d’ailleurs peut s’apparenter à une rançon), en conformité avec les recommandations des services de l’Etat : https://www.cybermalveillance.gouv.fr.

# Mercredi soir

Concernant la correction de la faille, la première stratégie a été de mettre à jour l’ensemble des outils utilisés (WordPress, Dokuwiki, etc.). Malheureusement GeoRezo est un portail âgé de bientôt 15 ans. Le code a été développé au fur et à mesure des besoins depuis ses débuts. Ainsi une bonne partie du code date d’il y a 10 ans.

# Jeudi et vendredi

Un premier audit rapide du code a montré une faille dans le service de Biblio (faille démontrée). En tirant le fil on déroulait la pelote. Jeudi matin les services se basant sur le code mis en cause ont été désactivés (agenda, biblio, 1ère page, etc.).

# Samedi et dimanche

À partir de jeudi soir nous avons réalisé les corrections du code, déployé peu à peu jusqu’à dimanche soir. Samedi et dimanche, un audit plus poussé a été réalisé pour lister tous les fichiers, les vérifier et les corriger.

Dimanche, le contact n’était pas rompu avec le rançonneur et le tarif avait diminué à 150 Euros.

# Les conséquences

À ce jour, nous avons une seule certitude : une faille par injection SQL a permis d’accéder à la base de données. Nous n’avons cependant aucune certitude que des données ont été récupérées. Le contenu de notre portail étant public, seuls les adresses emails et les mots de passe sont critiques. Les mots de passe sont hashés (i.e. il ne sont pas stockés en clair dans la base).

Nous vous invitons quoi qu’il en soit à ne pas utiliser le même login, email et mot de passe sur d’autres sites et à modifier votre mot de passe.

# Le futur

Depuis plusieurs années l’équipe GeoRezo maintient le portail en appliquant les mises à jour des différents produits logiciels que nous utilisons. Nous appliquons au plus vite les problèmes de sécurité dont nous avons connaissance soit par les mises à jour des produits, soit par le projet openbugbounty. Nous allons poursuivre ces travaux dans les prochaines semaines.

Au delà de ces aspects liés à la sécurité, nous allons également mener un projet de remise à plat de l’ensemble du portail, en partant d’une feuille blanche. Cette réflexion doit débuter très vite en interne mais nous prendrons le temps de vous écouter.

Si vous souhaitez réagir ou nous poser des questions sur tout ceci, nous avons créé un sujet spécifique sur le GeoBar.

Yves et l’équipe du GeoRezo