Attention si vous utilisez HipChat : votre compte a peut-être été compromis au cours d’une tentative de piratage qui a été révélée lundi 24 avril par Atlassian, l’éditeur de la messagerie instantanée. Dans tous les cas, il est conseillé de changer sans tarder votre mot de passe de manière à ne courir aucun risque. De toute façon, Atlassian a pris la décision de forcer leur réinitialisation.
Selon nos constatations, la remise à zéro des mots de passe n’est pas générale. Dans l’immédiat en tout cas, certains de nos collègues n’ont pas été contraints de changer leur code d’accès. D’autres en revanche ont été obligés de le remplacer. Par ailleurs, il semble que le renouvellement du mot de passe touche indistinctement les membres, qu’ils passent par l’application dédiée ou par le site.
D’après Atlassian, ses autres produits n’ont pas été affectés par l’intrusion ni le reste de son infrastructure. L’entreprise australienne affirme par ailleurs qu’aucune preuve ne permet de dire que le piratage a affecté des données de paiement ou des informations bancaires.
Sur son blog, l’entreprise ajoute que la vulnérabilité était située dans un composant tiers. Plus grave, les pirates ont pu avoir accès à des métadonnées des salons de discussions et, dans de très rares situations (0,05 % des cas), aux messages et contenus des instances, ce qui peut potentiellement compromettre la confidentialité de certaines sociétés utilisant HipChat à des fins professionnelles.
Le nom, le mail et l’empreinte du mot de passe haché ont pu être lus
Dans un mail de mise en garde, HipChat explique que « ce week-end, notre équipe chargée de la sécurité a détecté un incident affectant HipChat.com qui a pu provoquer un accès non autorisé aux informations du compte utilisateur (incluant le nom, l’adresse de courrier électronique et le mot de passe haché). HipChat hache les mots de passe en utilisant bcrypt avec un salage aléatoire ».
Est-ce qu’il faut comprendre que les mots de passe restent hors de portée de celui ou ceux à l’origine de l’intrusion sur les serveurs de HipChat ? A priori oui : la page explicative sur Wikipédia indique que bcrypt est une fonction de hachage qui rend très difficile l’accès en clair aux mots de passe — c’est-à-dire, déchiffrés pour pouvoir les utiliser pour se connecter.
Réinitialisation du mot de passe
Mais mieux vaut ne pas tenter le diable : même si bcrypt offre une couche de protection très satisfaisante, HipChat a eu raison de provoquer la réinitialisation du mot de passe.
Si vous êtes concerné, faites-le sans tarder (de toute façon, sinon, vous ne pouvez plus vous connecter, les anciens mots de passe ayant été révoqués). Et si le mot de passe que vous utilisiez pour HipChat est celui que vous utilisez en général, vous savez ce qu’il vous reste à faire. C’est là que l’on voit bien l’intérêt d’avoir un mot de passe différent par service, pour réduire la portée de l’incident.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.