Pourquoi la violation de données de GoDaddy concernant +1 million de clients est plus grave que ce qui a été décrit

0
4
Pourquoi la violation de données de GoDaddy concernant +1 million de clients est plus grave que ce qui a été décrit

Plus d’un million de clients de l’hébergement GoDaddy ont subi une violation de données en septembre 2021 qui est passée inaperçue pendant deux mois. GoDaddy a décrit l’événement de sécurité comme une vulnérabilité. Les chercheurs en sécurité indiquent que la cause de la vulnérabilité était due à une sécurité inadéquate qui ne répondait pas aux meilleures pratiques du secteur.

La déclaration de GoDaddy annonce qu’ils ont changé les mots de passe pour les clients affectés de leur hébergement géré WordPress.

Cependant, le simple fait de changer les mots de passe ne résout pas complètement les problèmes éventuels laissés par les pirates, ce qui signifie que jusqu’à 1,2 million de clients de l’hébergement GoDaddy peuvent rester affectés par des problèmes de sécurité.

GoDaddy informe la SEC de l’existence d’une faille de sécurité

Le 22 novembre 2021, GoDaddy a informé la Commission de sécurité et d’échange des États-Unis (SEC) qu’elle avait découvert un « accès tiers non autorisé » à son « environnement d’hébergement WordPress géré ».

L’enquête de GoDaddy a révélé que l’intrusion a commencé le 6 septembre 2021 et n’a été découverte que le 17 novembre, soit deux mois plus tard.

Qui est affecté et comment

La déclaration de GoDaddy indique que jusqu’à 1,2 million de clients de son environnement d’hébergement géré WordPress pourraient être affectés par la faille de sécurité.

Selon la déclaration à la SEC, la violation des données est due à un mot de passe compromis dans leur système d’approvisionnement.

Un système d’approvisionnement est le processus qui permet de configurer les clients avec leurs nouveaux services d’hébergement, en leur attribuant un espace serveur, des noms d’utilisateur et des mots de passe.

GoDaddy a expliqué ce qui s’est passé :

« En utilisant un mot de passe compromis, un tiers non autorisé a accédé au système de provisionnement dans notre base de code héritée pour Managed WordPress. »

Les données des clients de GoDaddy qui ont été exposées :

  • Adresses e-mail
  • Numéros de clients
  • Mots de passe originaux du niveau administrateur de WordPress
  • Noms d’utilisateur et mots de passe du FTP sécurisé (SFTP)
  • Noms d’utilisateur et mots de passe de la base de données
  • Clés privées SSL

Quelle est la cause de la faille de sécurité de GoDaddy ?

GoDaddy a décrit la cause de l’intrusion comme étant une vulnérabilité. Une vulnérabilité est généralement considérée comme une faiblesse ou une faille dans le codage d’un logiciel, mais elle peut également résulter d’un manquement aux bonnes mesures de sécurité.

Des chercheurs en sécurité de Wordfence ont fait la découverte surprenante que l’hébergement WordPress géré de GoDaddy stockait les noms d’utilisateur et les mots de passe sFTP d’une manière non conforme aux meilleures pratiques du secteur.

SFTP est l’abréviation de Secure File Transfer Protocol. Il s’agit d’un protocole de transfert de fichiers qui permet à quelqu’un de télécharger des fichiers depuis un serveur d’hébergement en utilisant une connexion sécurisée.

Selon les experts en sécurité de Wordfence, les noms d’utilisateur et les mots de passe étaient stockés en texte brut non crypté, ce qui permettait à un pirate de récolter librement les noms d’utilisateur et les mots de passe.

Wordfence a expliqué la faille de sécurité qu’ils ont découverte :

« GoDaddy stockait les mots de passe sFTP de telle sorte que les versions en clair des mots de passe pouvaient être récupérées, plutôt que de stocker des hachages salés de ces mots de passe, ou de fournir une authentification par clé publique, qui sont toutes deux les meilleures pratiques du secteur.

…Stocker des mots de passe en clair, ou des mots de passe dans un format réversible pour ce qui est essentiellement une connexion SSH n’est pas une meilleure pratique. »

Les problèmes de sécurité de GoDaddy peuvent encore être en cours

La déclaration de GoDaddy à la SEC indique que l’exposition des courriels des clients pourrait conduire à des attaques de phishing. La société a également indiqué que tous les mots de passe des clients concernés avaient été réinitialisés, ce qui semble mettre un terme à la violation de sécurité, mais ce n’est pas tout à fait le cas.

Cependant, plus de deux mois entiers s’étaient écoulés avant que GoDaddy ne découvre la faille de sécurité et l’intrusion, ce qui signifie que les sites Web hébergés par GoDaddy pourraient encore être dans un état compromis si les fichiers malveillants n’ont pas été supprimés.

Il ne suffit pas de changer les mots de passe des sites Web concernés, il faut procéder à une analyse de sécurité approfondie pour s’assurer que tous les sites Web concernés sont exempts de portes dérobées, de chevaux de Troie et de fichiers malveillants.

La déclaration officielle de GoDaddy n’a rien dit sur l’atténuation des effets des sites web déjà compromis.

Les chercheurs en sécurité de Wordfence ont reconnu cette lacune :

« …l’attaquant disposait de près d’un mois et demi d’accès pendant lequel il aurait pu prendre le contrôle de ces sites en téléchargeant des logiciels malveillants ou en ajoutant un utilisateur administratif malveillant. En procédant ainsi, l’attaquant aurait pu maintenir la persistance et conserver le contrôle des sites même après le changement des mots de passe. »

Wordfence précise également que les dommages ne se limitent pas aux entreprises hébergées sur un hébergement géré WordPress. Les chercheurs en sécurité ont observé que l’accès des pirates aux bases de données des sites Web pourrait conduire à l’accès aux informations des clients des sites Web, révélant ainsi des informations sensibles sur les clients stockées sur les sites Web de commerce électronique.

Les effets de la violation de données de GoDaddy pourraient se poursuivre

GoDaddy a seulement annoncé qu’elle avait réinitialisé les mots de passe. Cependant, rien n’a été dit sur l’identification et la réparation des bases de données compromises, la suppression des comptes d’administrateurs malveillants et la recherche des scripts malveillants qui ont été téléchargés, sans parler des éventuelles violations de données concernant les informations sensibles des clients des sites de commerce électronique hébergés sur GoDaddy.

Citation

GoDaddy annonce un incident de sécurité affectant le service WordPress géré.

Lire le rapport de sécurité de Wordfence

Atteinte à la vie privée de GoDaddy – Mots de passe en texte clair – 1,2 million de personnes concernées

Lien source