Correction d'un problème de sécurité sur TuxFamily

Posté par WildChild le 04 novembre 2003 à 20:03. Modéré par Fabien Penso.

Étiquettes :

nov.

2003

Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

Aller plus loin

Annonce officielle (7 clics)

# Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Alexandre Belloni (site web personnel) le 04 novembre 2003 à 20:14. Évalué à 5.

> NdM: et le cryptage des mots de passe stockés ?

Ils sont pas cryptés pour pouvoir les envoyer par mail au boulay qui les perdent.

(solution que je n'aime pas d'ailleurs, il vaut mieux fournir un nouveau pass)
- [^] # Re: Correction d'un problème de sécurité sur TuxFamily
  
  Posté par Fabien Penso (site web personnel, Mastodon) le 04 novembre 2003 à 20:15. Évalué à 10.
  
  Pff c'est vraiment une grosse connerie. Il suffit d'envoyer par email un url avec une clé unique ou la personne peut mettre un nouveau mot de passe...
  
  Joueur joue encore, trouver une autre excuse.
  - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
    
    Posté par Julien Danjou (site web personnel) le 04 novembre 2003 à 20:45. Évalué à -6.
    
    Ouais, malheuresement ce n'est pas la seul contrainte quand on développe quelque chose d'un rien plus compliqué qu'un portail web en PHP.
    - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
      
      Posté par Fabien Penso (site web personnel, Mastodon) le 04 novembre 2003 à 21:21. Évalué à -1.
      
      Muarf. La pique à 2FF. Je me demande bien comment ils font sous Unix alors moi... Enfin tu confirmes ce que je pensais.
  - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
    
    Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 11:33. Évalué à 6.
    
    Exactement, c'est sur quoi nous sommes en train de travailler. Ce n'est pas évident de changer tout un système d'authentification comme ça, à la volée, ce nouveau service n'est pas encore disponible mais va l'être d'ici peu.
    - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
      
      Posté par Mr F le 05 novembre 2003 à 12:14. Évalué à 0.
      
      Euh ???
      
      Lancement d'une moulinette qui crypt tout les mot de passe et remplis la base de donnée.
      Modification du code, plutôt que de comparer deux chaines de caractères, comparer la cryptographie de la chaine de caractère entrée comme mot de passe avec celle contenu dans la base de donnée.
      Si c'est identique, login = ok, sinon login = dtc.
      
      J'vois pas trop ce qui est compliqué la dedans...
      
      Mais dites toujours, il se peut que je me trompe...
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 13:37. Évalué à 6.
        
        Si le système d'authentification était si simple que tu le décris, oui nous n'aurions pas eu trop de difficultés à le changer, mais TuxFamily repose sur des services divers et variés et donc le changement du système d'authentification a un impact significatif sur les services.
        
        Nous ne voulons pas arrêter tel ou tel service pour effectuer cette migration.
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Dimitri Fontaine (site web personnel) le 05 novembre 2003 à 13:42. Évalué à 8.
        
        Il se peut aussi que même en sachant de quoi on parle, il soit inutile de faire des suppositions.
        
        Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.
        
        S'il est vrai qu'on a affaire à une erreur gênante, on peut aussi voir que l'équipe incriminée a bien réagit. En restant ouverte et disponible, par exemple. Et en restant polie en lisant vos commentaire, aussi. Chapeau.
        
        Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.
        
        De mon côté, qu'on me vole les sources d'un projet que j'avais décidé libre ne me pose pas de soucis. J'ai donné mes fichiers à TF pour qu'ils les diffusent, par tous les moyens :-)
        dim
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Stéphane V. le 05 novembre 2003 à 15:46. Évalué à 2.
        
        Vous pouvez souligner, mettre en gras ou en italique la notion de projet libre, cela ne change rien au fait que lorsque l'on enregistre des données de clients/membres, on est tenu de tout mettre en oeuvre pour les garder confidentielles. Beaucoup, lors de l'affaire de TATI, avaient trouvé honteux de voir une société ne pas en faire autant. Ce n'est pas parce que TuxFamily est une association qu'il ne faut rien dire.
        
        L'argumentaire utilisé par les admin qui disent à 2 reprises dans leur communiqué que TuxFamily est un projet favorisant le libre et que c'est *mal* de la part du ou des pirates d'avoir fait ce qu'ils ont fait: je le trouve foireux. Il faut être bien crédule pour penser que des pirates ont un intérêt quelconque pour le logiciel libre. Ce qu'il recherche avant tout, c'est la *gloire*, être *reconnu* pour ce qu'ils ont fait.
        
        Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.
        
        Donc, c'est toujours le système de défense que l'on retrouvera lorsque l'on critiquera un projet libre ? Si c'est le cas, on peut aussi dire dans ce cas qu'il serait bon de ne pas mettre en production un projet qui ne tient pas la route ? En disant cela, je n'attaque pas les développeurs de TuxFamily, mais il faut reconnaitre que vous n'êtes pas leur meilleur *avocat*.
        
        Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.
        
        Mon site fait la promotion du logiciel libre, il répond à la charte et je ne vois pas en quoi je devrais distribuer les sources de mon site. Le contenu des sources de mon site est privé.
        
        Pour ce qui est des adresses emails, mon nom et mon prénom, ce sont des informations que je n'ai pas forcément envie de voir circuler partout.
        
        Ce que je voudrais savoir, c'est si les responsables de TuxFamily comptent déposer par exemple une plainte en justice pour savoir ou sont parties les données concernant leurs membres ?
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par chl (site web personnel) le 05 novembre 2003 à 18:51. Évalué à 1.
        
        Je suis d'accord avec toi que l'argument des administrateurs de TF est un peu leger, citation :
        De tels actes sont tout simplement inexcusables et encore plus lorsqu'ils sont réalisés à l'encontre d'une entité défendant les logiciels libres.
        
        Si heberger des projets libres suffisait a se defendre des pirates, ca se saurait ...
        De plus, si je me souviens bien, ftp.gnu.org avait lui aussi ete piraté ...
        
        Idem pour mes donnees personnelles je n'ai pas non plus envie qu'elles circulent partout.
        
        Par contre, je ne suis plus d'accord avec toi lorsque tu parles des sources de ton site. En effet, TF est un hebergeur libre, et je pense (mais ca reste a confirmer) que meme les sources de ton site se doivent d'etre libres. D'apres ce que j'avais compris de leur charte, TOUT ce qui est hebergé par TF se doit d'etre libre. Donc j'imagine que les sources de ton site sont regies a la meme regle.
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Éric (site web personnel) le 05 novembre 2003 à 21:36. Évalué à 2.
        
        Et ? je ne vois pas le rapport. Libre ne veut pas dire librement téléchargeable.
        
        Ça veut dire que "si on te distribue une copie", alors tu as le droit d'avoir accès au source, de modifier, de redistribuer ....
        
        Ça ne veut absolument pas dire que tu as le droit d'aller télécharger la chose si personne ne t'en attribue une licence. Un soft a beau être sous GPL tu n'as pas le droit de le prendre si personne ne te le distribue volontairement : rien ne t'autorise à le faire puisque toute les autorisations éventuelles se situent dans la licence, que personne ne t'a donné. Techniquement ce n'est pas le logiciel qui a une licence, c'est toi qui a (ou pas) une licence d'utilisation de ce logiciel. La différence est justement là, si tu "trouves" (légalement ou pas) un logiciel avec une licence libre, ça ne te donne pas le droit de le prendre tant que aucun détenteur du soft ne souhaite te le distribuer.
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 21:59. Évalué à 6.
        
        Nous avons fait une faute, nous le reconnaissons. Nous donnons de plus notre avis concernant cet acte, nous ne cherchons pas d'excuse. Nous avons été transparent sur cette affaire.
        
        Dans ces moments là nous cherchons plus le soutien que de véritables coupables (même si nous menons nous investigations). Le message de Dimitri va dans ce sens, pas le tient.
        
        Que veux-tu de plus ? Que nous nous exposions sur une place publique en clamant haut et fort que nous sommes fautifs, que nous nous flagélions ?
        N'attend pas ça de nous.
        
        Nous sommes des bénévoles qui administrons TuxFamily sur notre temps libre avec les moyens dont nous disposons. Nos sommes clairs avec nos hébergés et nous affirmons dans notre charte que, je cite: «3: Le service fourni n'inclut aucune garantie.» Ce n'est pas un échapatoire mais une justification des moyens que l'on peut mettre en place.
        
        Le piratage est un acte pitoyable, qu'il attaque les logiciels libres où non libres. Nous répondons aux critiques faciles qui consistent à fustiger les personnes (développant du libre ou non) qui commettent des erreurs. Le fait de développer des logiciels libres donnent un contre-argument supplémentaire: celui de la participation. Ce n'est en aucun cas une excuse.
        
        En espérant que le message soit clair.
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Stéphane V. le 06 novembre 2003 à 10:09. Évalué à -1.
        
        Que veux-tu de plus ? Que nous nous exposions sur une place publique en clamant haut et fort que nous sommes fautifs, que nous nous flagélions ?
        N'attend pas ça de nous.
        
        Non, ce que j'attends de vous, c'est que vous vous conduisiez en gens responsables et que vous cherchiez à savoir ou sont aller mes données personnelles. Pour cela, vous avez possibilité d'utiliser la justice. Mais semble-t-il c'est loin d'être une priorité pour vous ce que je trouve plus que regrétable.
        
        Deuxièmement, je ne jette pas sur vous l'erreur humaine qui à fait qu'un fichier était mal protégé. Tout être humain peut commettre une faute. Ce qui est grave par contre, c'est qu'en connaissance de cause, vous avez laissez les mots de passe de vos membres en clair dans votre base de données tout ça pour ne pas "arrêter des services". Il me semble en plus, si j'ai bien compris, que vous n'avez toujours pas crypté l'ensemble des mots de passe que vous stockez. Même si les mots de passe ont été changés sur les comptes des membres, c'est "reculer pour mieux sauter".
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Stéphane V. le 06 novembre 2003 à 10:25. Évalué à 2.
        
        Il me semble en plus, si j'ai bien compris, que vous n'avez toujours pas crypté l'ensemble des mots de passe que vous stockez. Même si les mots de passe ont été changés sur les comptes des membres, c'est "reculer pour mieux sauter".
        
        Je réponds à moi même. Je viens de tester l'envoi du mot de passe du panel et maintenant ce semble eêtre un mot de passe différent à chaque demande ce qui est une bonne chose et voudrait dire que celui-ci n'est plus stocké en clair dans la base de données.
        
        Merci pour avoir fait cette correction.
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 06 novembre 2003 à 10:28. Évalué à 5.
        
        Ha la la, que sais-tu de ce que nous entreprenons ? Crois-tu être le premier à avoir eu l'idée d'un recours en justice ?
        
        D'après ce que tu dis, sans pour autant l'argumenter, nous ne sommes pas des gens responsables. Qui te donne le droit de nous juger ainsi.
        
        Il semblerait que tu ne lises pas entièrement les comentaires que nous avons posté. Dès que nous avons su qu'il y avait un problème (la confirmation dudit problème) nous avons fait en sorte que le système ne soit plus vulnérable par directement deux actions:
        
        Nous avons audité notre plateforme pour connaitre le point d'entrée et nous avons corrigé les droits concernant la faille;
        
        Nous avons changer tout notre système d'authentification pour ne plus avoir un seul mot de passe en clair dans notre base de données. Ceci a été effectué en quelques heures, la nuit.
        
        Après ça nous avons réfléchi à une mesure plus drastique concernant le niveau de sécurité de notre plateforme. Ce que nous constatons c'est que notre «crédulité» (c'est le qualificatif que tu emploies) a été bafouée.
        
        TuxFamily est une hébergeur de projet à caractère libre. Nous avons délibéremment offert un maximum de services afin de permettre au monde du libre de disposer de tous les éléments lui permettant de communiquer. Ce qui veut donc dire que nos services sont un minimum bridés. Ceci est fait en toute connaissances de cause et c'est un accord de confiance tacite que nous prenons avec nous hébergés. Nous reprocher d'être crédule et d'être des personnes non responsables de leurs actes dénote la méconnaissance de notre esprit et de notre dévotion.

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Raphael le 06 novembre 2003 à 12:02. Évalué à 1.

Pour cela, vous avez possibilité d'utiliser la justice. Mais semble-t-il c'est loin d'être une priorité pour vous ce que je trouve plus que regrétable.

J'adore ce genre de troll. Celui bien baveux du mec qui ne sait pas, mais qui suppose. Et sa supposition fait force de loi.

Tu as demandé à un admin de Tuxfamily s'ils comptaient déposer une plainte ? Non ? Et malgré tout tu pars du principe que ce n'est pas dans leurs priorités ? Moi j'ai posé la question et j'ai eu une réponse.

Les personnes les plus critiques et les plus acerbes sont souvent celles qui n'ont pas besoin d'attendre d'avoir les infos pour établir d'eux mêmes les faits sur lesquels batir leurs critiques.

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Stéphane V. le 06 novembre 2003 à 13:29. Évalué à 0.

Les personnes les plus critiques et les plus acerbes sont souvent celles qui n'ont pas besoin d'attendre d'avoir les infos pour établir d'eux mêmes les faits sur lesquels batir leurs critiques.

Les administrateurs de TuxFamily ont les moyens de communiquer ce genre d'info:
- les mails puisqu'ils l'ont fait pour l'annonce du problème,
- le serveur NNTP http://tuxfamily.org/news/(...)

Je pense d'ailleurs que ce qui se dit ici devrait certainement plus ce faire sur le serveur NNTP de TuxFamily car potentiellement, c'est le lieu d'échange et de discussion des membres de TuxFamily.

Alors on peut toujours parler des mails que vous avez échangé avec les administrateurs de Tux mais les membres de TuxFamily ne sont pas destinataires de vos échanges.
- [^] # Re: Correction d'un problème de sécurité sur TuxFamily
  
  Posté par Raphael le 06 novembre 2003 à 17:23. Évalué à 3.
  
  Je ne considère pas que les administrateurs de TuxFamily aient un devoir de communication sur les mesures qu'ils ont l'intention de prendre contre les malfaisants en question.
  
  Ils ont communiqué sur le problème rencontré afin de prévenir leurs utilisateurs, par soucis de transparence. C'est une bonne chose, et je pense que de toute façon, il était de leur devoir de le faire.
  
  Maintenant, sur les poursuites légales, je ne crois pas qu'il s'agisse d'un point crucial pour les utilisateurs du service. Ceux qui se sentent concernés peuvent poser la question. Ceux qui s'en foutent peuvent ne pas la poser.
  
  Dans ton cas, tu ne t'en fous pas, mais tu ne prends pas la peine de poser la question... et tu fabriques ta propre réponse. Très fort.
  
  Si tu veux savoir comment ça se passe, renseigne toi. Et ne râle pas parce que l'information ne vient pas toute seule vers toi. Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !
  - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
    
    Posté par Stéphane V. le 06 novembre 2003 à 19:22. Évalué à 0.
    
    Je ne considère pas que les administrateurs de TuxFamily aient un devoir de communication sur les mesures qu'ils ont l'intention de prendre contre les malfaisants en question.
    
    http://www.cnil.fr/droits/droit2.htm(...)
    
    "Si vous créez un fichier nominatif, vous en êtes responsable. Vous détenez une parcelle de la vie privée d'autrui. Ayez conscience des droits des personnes que vous fichez et respectez les obligations que la loi vous impose."
    
    http://www.cnil.fr/droits/droit205.htm(...)
    
    "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non
    autorisés ( art. 29 )"
    
    C'est vrai, il ne semble pas avoir l'obligation de communiquer sur les mesures qu'ils ont l'intention de prendre mais ils avaient d'autres devoirs qu'ils n'ont pas respecter donc les conditions ne sont pas les mêmes. J'ai posé une question et j'ai eu un semblant de réponse qui n'a pour le moment rien d'officiel du tout puisque posté sur LinuxFr.
    
    Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !
    
    J'ai posé une autre question sur le serveur nntp. Je n'ai pas eu de réponse. C'est normal ?
    
    http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)
    
    Je pose des questions que d'autres peuvent aussi se poser. Lorsque je pose une question publiquement (qu'elle soit dérangeante ou pas), j'aime avoir une réponse publiquement. Sachant qu'il est de bon ton visiblement de parler des récents problèmes de Tux sur LinuxFr plutot que sur le serveur NNTP de Tux, je ne vois pas pourquoi je ne pourrais poser les questions que je peux avoir ici.
    
    Ne cherchez pas à défendre (s'il en est vraiment besoin) les admin de Tux car je pense qu'ils peuvent le faire par eu même. Comme je l'ai dit dans un précédent post, je ne leur jette pas la pierre, mais je n'aime pas que l'on me cherche simplement car certains (dont vous visiblement) ne veulent pas que l'on attaque ce qui pourrait représenter le libre.
    
    Comme je viens de le dire, les Admin de Tux avaient certains devoirs qu'ils n'ont pas vraiment respecter. Bon le mal est fait mais lorsque je pose une question, je n'aime que l'on me plonk alors que les questions sont selon moi, et certainement d'autres, justifiées.
    - [^] # Commentaire supprimé
      
      Posté par Anonyme le 06 novembre 2003 à 22:13. Évalué à -1.
      
      Ce commentaire a été supprimé par l’équipe de modération.
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Stéphane V. le 07 novembre 2003 à 00:51. Évalué à 2.
        
        euh si tu fermais ton comptes sur TuxFamily pour aller voir ailleurs ce serait tres bien pour tout le monde
        
        T'inquiète pas, c'est en cours.
        
        de plus tu allegerais un peu plus ton prortefeuille!
        
        Tu m'expliqueras ?
        
        Autre solution tu subventionne TuxFamily de tel sorte qu'ils puissent payer a plein temps un inge syst securite...
        
        Commence par relire mes posts et tu verras que je critique pas l'erreur de sécurité sur le fichier de configuration. Il n'y a pas besoin d'être ingénieur système pour savoir qu'un mot de passe ne doit pas être stocké en clair dans une base de données.
        
        Au passage, je viens de lire ton journal LinuxFr (message aux modérateurs) et j'ai l'impression que c'est l'hopital qui se fout de la charité. Enfin... c'est gentil de participer.
    - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
      
      Posté par Rastaman le 09 novembre 2003 à 22:13. Évalué à 1.
      
      J'ai posé une autre question sur le serveur nntp. Je n'ai pas eu de réponse. C'est normal ?
      
      http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)
      
      User-Agent: Microsoft Outlook Express 6.00.2800.1158
      
      Mwahahaha
      
      http://frenchmozilla.org/(...)

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Mr F le 09 novembre 2003 à 13:00. Évalué à 1.

J'ai pas trouvé les sources de votre portail... J'n'ai pas non plus passé 4 heures à cherché il est vrai...

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Yann Droneaud (site web personnel) le 10 novembre 2003 à 11:32. Évalué à 2.

http://www.vhffs.org/(...)

http://cvsweb.tuxfamily.org/cvs/vhffs-panel/?cvsroot=vhffs2(...)

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Éric (site web personnel) le 04 novembre 2003 à 20:26. Évalué à 7.

Maintenant c'est un peu tard mais je trouve un peu anormal de trouve cette erreur classique chez des développeurs qui prennent la responsabilité d'héberger des gens.

Des erreurs de configuration ça peut arriver même si c'est toujours malheureux. Par contre des mots de passe hébergés mis en clair ou sous forme décodable ce qui me fait peur c'est que j'hésite entre l'inexpérience et l'irresponsabilité (suivant que vous connaissiez les conséquences ou pas).
Et pour un hébergeur, même bénévole et gratuit, ces deux qualificatifs me font très peur.

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Julien Danjou (site web personnel) le 04 novembre 2003 à 20:37. Évalué à 6.

Il est évident que c'est un problème, mais que nous avons du maintenir pour diverses raisons techniques à l'époque. C'est loin d'être un problème d'inexpérience ou d'irresponsabilité.

Maintenant, la plateforme est libre est si vous souhaitez modifier cela et augmentez sa sécurité, il n'y a qu'un pas à faire.
- [^] # Re: Correction d'un problème de sécurité sur TuxFamily
  
  Posté par Éric (site web personnel) le 04 novembre 2003 à 21:10. Évalué à 1.
  
  Question plus constructive alors, parce que je sais bien qu'on ne fait pas tout le temps tout ce qu'on voudrait pour cause de temps :
  
  "Qu'en est-il maintenant ?"
  Est-ce que le fait de ce séparer de cet état de fait est déjà du passé, en développement, en discussion, ou simplement mis sur une todo ?
  - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
    
    Posté par Julien Danjou (site web personnel) le 04 novembre 2003 à 21:15. Évalué à 10.
    
    Aujourd'hui nous avons corrigé la faille qui a permis cette récupération de la base et supprimer les mots de passe en clair de la base de données.
    
    D'autres améliorations concernant la sécurité sont aussi dans la TODO list de vhffs 3.
    - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
      
      Posté par Mathieu Pillard (site web personnel) le 04 novembre 2003 à 22:14. Évalué à 2.
      
      https://panel.tuxfamily.org/user/lost.php(...) renvoie donc un nouveau password maintenant ? Si oui, faut changer le texte...
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Prae le 05 novembre 2003 à 09:29. Évalué à 2.
        
        Hmmm! Hmmm ...
        les fautes d'orthographes :P
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 11:29. Évalué à 3.
        
        Bonjour,
        
        ce lien est pour le moment inactif suite aux évolutions que nous avons apporté au système d'authentification.
        
        Nous travaillons sur ce point pour pouvoir le rendre actif d'ici peu.
    - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
      
      Posté par Stéphane V. le 07 novembre 2003 à 15:06. Évalué à 1.
      
      Aujourd'hui nous avons ... supprimer les mots de passe en clair de la base de données
      
      Donc, le mot de passe de la base de données qui est préchargé dans le panel de configuration n'est pas stocké en clair dans la base de données ?
      
      Vous faite comment alors pour réafficher une telle information ? Vous utilisez un algorithme réversible ?
      - [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 07 novembre 2003 à 15:55. Évalué à 1.
        
        Non nous régénérons un nouveau mot de passe
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Stéphane V. le 07 novembre 2003 à 17:01. Évalué à 2.
        
        Non nous régénérons un nouveau mot de passe
        
        Je m'excuse d'insister, mais lorsque je visualise dans le panel les informations sur ma base de données MySQL, j'ai 3 informations qui sont affichées:
        - le host (non modifiable),
        - le user (non modifiable)
        - le password (modifiable et préchargé).
        - le groupe (sélectionnable).
        
        Voici la balise HTML de la page https://panel.tuxfamily.org/mysql/mysql.php(...) qui me semble plus qu'étrange si les mots de passes sont cryptés:
        <input TYPE=text VALUE="****" NAME=db_passwd>
        
        La ou il y a des ****, c'est bien le mot de passe de ma base de données.
        
        Le mot de passe qu'il y a sur les bases de données n'a pas pu être regénéré car sinon, il n'y aurait plus beaucoup de sites qui fonctionneraient encore chez Tux tant que les webmasters des différents sites membres n'auraient pas fait la modification de leurs sources.
        
        Donc, je pense qu'il y a eu une incompréhension du post auquel vous répondez.
        
        [^] # Re: Correction d'un problème de sécurité sur TuxFamily
        
        Posté par Igor Genibel (site web personnel) le 07 novembre 2003 à 17:50. Évalué à 1.
        
        Ok, tu marques un point sur ce coup.
        
        Nous avons changé tout le système d'authentification concernant les utilisateurs physiques (tous les mots de passe sont cryptés), pas encore les utilisateurs virtuels (les accès aux bases de données sont indépendant de l'utilisateur physique)
        
        Nous allons donc aussi changer ceci.
[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par BufferBob le 05 novembre 2003 à 17:36. Évalué à 5.

Je comprends pas qu'on puisse à ce point jeter la pierre à ceux - parceque ce sont eux, pas vous, détracteurs - qui font avancer le chmilblick vers l'avant.

Je pense qu'on est surtout face à un problème médiatique ! L'image du hacker est salie au travers de pirates / script-kiddies à deux balles, les 3/4 des sites véhiculent une notion de 'piratage facile' où les gamins - puisque c'est d'eux dont on parle - trouvent des softs qui les rendent tout puissants sans mesurer les conséquences de leurs agissements.

Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri que je sache, parceque l'erreur est humaine et le code qui compose les applis héritent inévitablement de ces 'tolérances'

La difference est que si l'on est capable de refouler 90% des attaks, arrive toujours l'exception, celle qui rentre dans les 10% restants et là on morfle, le propos c'est tout de même de comprendre qu'on pourrait tous y être sujet et faire ainsi preuve d'un peu plus d'humilité...
Ne gagnerais-t-on pas à véhiculer une autre image des hackers que celle de pirates-fouteurs-de-m. ?
A travers ce nom de 'hacker', et la trop grande facilité à trouver des logiciels prêts à l'emploi, un mouvement a pris de l'ampleur, avec lequel il faut désormais compter.

C'est de toute façon toujours plus facile de critiquer durement ce qui est ou n'est pas chez les autre; je ne cautionne pas.

BufferBob - Appelle à bouger plutôt qu'à crier
- [^] # Re: Correction d'un problème de sécurité sur TuxFamily
  
  Posté par Éric (site web personnel) le 05 novembre 2003 à 21:43. Évalué à 2.
  
  > Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri
  > que je sache, parceque l'erreur est humaine et le code qui compose les applis
  > héritent inévitablement de ces 'tolérances'
  
  Bien sûr que personne n'est à l'abris d'une erreur. D'ailleurs visiblement personne ici n'a critiqué l'erreur de conf qui est à l'origine du problème.
  
  Là on parle d'un comportement à (gros) risques connu et assumé. Il est normal que sur un comportement de ce style des questions soient posées.
  
  > C'est de toute façon toujours plus facile de critiquer durement ce qui est ou
  > n'est pas chez les autre; je ne cautionne pas.
  
  Quand quelque chose parait anormal il est bon de le dire. Jouer l'aveugle ne fait avancer personne. Puis avec ta réflexion on ne devrait jamais rien dire ?
  
  Les remarques ont été faites, elles ont obtenu réponse, tout s'est passé relativement correctement je trouve.
  
  (et je ne vois pas le rapport avec le shmilblick pour ce qui est de l'image du hacker)

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par jcs (site web personnel) le 04 novembre 2003 à 23:00. Évalué à -1.

NdM: et le cryptage des mots de passe stockés ?
Et la clé de chiffrement, on la stocke où ? On peut aussi chiffrer avec un mot de passe (par exemple, jetez un coup d'oeil à PKCS#5 http://www.rsasecurity.com/rsalabs/pkcs/pkcs-5/index.html(...)) mais c'est peut-être un marteau pour tuer une mouche.
Et ne nous refusons rien, on peut aussi tenter le SSL bi-authentifié mais ça implique que TuxFamily doit délivrer (c'est à dire signer) des certificats numériques. Ce n'est pas trop compliqué techniquement avec OpenSSL (enfin tant que le niveau de sécurité désiré n'est pas énorme) mais ça nécessite de mettre en place une infrastructure, des procédures, un serveur...
Et j'allais oublier s/cryptage/chiffrement !

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par patton le 04 novembre 2003 à 23:19. Évalué à 2.

heu md5? sha?
[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Éric (site web personnel) le 04 novembre 2003 à 23:49. Évalué à 7.

ben non, parce que justement on parle de cryptage, pas de codage/décodage.

Pas de clé à stoquer : on utilise une fonction à sens unique, qui ne permet pas de décodage.
Regardes comment fait ton Linux, c'est le même principe qu'il faut appliquer.
- [^] # Re: Correction d'un problème de sécurité sur TuxFamily
  
  Posté par jcs (site web personnel) le 05 novembre 2003 à 08:12. Évalué à 3.
  
  Ah ok, c'est le stockage du haché du mot de passe dont on parle. Mais si on n'utilise pas le bon vocabulaire je peux pas comprendre. En cryptographie, le terme 'cryptage' n'a pas de sens.

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 11:32. Évalué à 3.

C'était ce que était proposé aux hébergés jusqu'à hier soir comme l'a expliqué Julien. Ce n'est dornévant plus le cas.

# Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Ramso le 04 novembre 2003 à 20:17. Évalué à 5.

c'était quoi qu'on ne fasse pas la même erreur ?

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Igor Genibel (site web personnel) le 05 novembre 2003 à 11:30. Évalué à 5.

Un problème de droit sur un fichier de configuration d'un des services.

# sha2

Posté par free2.org le 04 novembre 2003 à 22:22. Évalué à 8.

pour les newbies qui se demandent comment "stocker" un mot de passe sans qu'on puisse facilement le décrypter il suffit de stocker un digest (hash de type sha2 512 bits par exemple) de ce mot de passe

si le mot de passe est compliqué et suffisament long (genre passphrase) il sera quasi impossible à retrouver à partir de son digest (il faudrait tester toutes les combinaisons possibles)

c'est ce que fait Linux dans /etc/shadow par défaut

[^] # Re: sha2

Posté par WildChild le 04 novembre 2003 à 23:12. Évalué à 8.

C'est ce qui était fait dans la base de donnée mais le problème était du au fait que les mots de passe étaient aussi stockés en clair à côté de ceux chiffrés pour des raisons historiques selon ce que j'ai compris...

Toute cette histoire est due à quelques erreurs cumulées ensembles. L'erreur est humaine... La bêtise aussi car c'est vraiment stupide de pirater un service du genre compte tenu de la qualité qu'il a!
[^] # Re: sha2

Posté par Vincent Bernat (site web personnel) le 05 novembre 2003 à 01:35. Évalué à -1.

J'aime bien l'explication qui n'explique rien. C'est quoi un hash ? Comment on fait pour vérifier que c'est le bon mot de passe ?

http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213435(...)
- [^] # Re: sha2
  
  Posté par WildChild le 05 novembre 2003 à 02:41. Évalué à 4.
  
  Un hash c'est quelque chose calculé à partir d'une formule mathématique et c'est dans un sens seulement. Une fois encodé tu ne peux pas décoder. Pour la question de vérifier si c'est le bon mot de passe, quand l'utilisateur l'entre tu n'as qua lui appliquer la formule aussi et comparer avec ce qui était déjà hashé dans la base de donnée. Comme ca les mots de passe ne sont pas en clair dans la base de donnée et ca aide pour la sécurité!
  - [^] # Re: sha2
    
    Posté par dawar (site web personnel) le 05 novembre 2003 à 10:21. Évalué à 2.
    
    Mince, le hash je croyais que c'etait un truc qui fait rire et qui rend bête, après on fait des bétises dans la config de son serveur ?
    
    j'ai honte... ->[ ]
[^] # Re: sha2

Posté par jcs (site web personnel) le 05 novembre 2003 à 09:52. Évalué à 6.

Je rajouterai deux petites précisions :
1 - Il est conseillé de faire du SSL pour l'authentification car il faut envoyer le mot de passe "en clair" au serveur pour qu'il lui applique la fonction de hachage et le compare au haché dans la base de données.
2 - Si quelqu'un de "malveillant" a accès à la liste des hachés, il va pouvoir lancer une attaque par dictionnaire pour tester tous les hachés. Plus il y en a dans la base, plus il risque d'en trouver un car il suffit de hacher un mot du dictionnaire pour pouvoir le comparer à tous les hachés disponibles. Une solution consiste à hacher non pas le mot de passe seul mais la concaténation du mot de passe et d'une petite valeur aléatoire, appelée "salt", stockée elle aussi dans la base de données. Dans ce cas, même s'il y a deux fois le même mot de passe dans la base, ils auront des "salt" différents donc des hachés différents. Même si le pirate obtient la base de données (donc le haché et le "salt"), quand il hache un mot du dictionnaire, il ne peut tester qu'un seul mot de passe alors qu'avant quand il hachait un mot du dictionnaire, il pouvait tester tous les mots de passe de la base.
- [^] # Re: sha2
  
  Posté par Yannick le 05 novembre 2003 à 11:34. Évalué à 0.
  
  Question bête (enfin question de novice sur le sujet) :
  
  Pourquoi n'envoie-t-on pas directement le hash du mot de passe ?
  - [^] # Re: sha2
    
    Posté par jcs (site web personnel) le 05 novembre 2003 à 12:01. Évalué à 1.
    
    Si c'est le client qui calcule le hash du mot de passe et pas le serveur, nimporte qui se présentant avec le hash de ton mot de passe (et à fortiori, un pirate ayant eu accès à la base de donnée contenant la liste des hashs) peut se faire passer pour toi auprès du serveur, même s'il ne connait pas le mot de passe.
  - [^] # Re: sha2
    
    Posté par free2.org le 05 novembre 2003 à 12:07. Évalué à 1.
    
    parceque alors on se retrouve dans la situation antérieure (quand il n'y avait pas de cryptage) avec comme mot de passe "en clair" le hash en question (mot de passe "en clair" qui n'est pas facile à mémoriser par un attaquant, c'est son seul "avantage")
    
    quelqu'un qui accède à la base de données des hash a donc accès à tous les comptes, et c'est précisément ce qu'on voulait éviter !
- [^] # Re: sha2
  
  Posté par spongurex le 05 novembre 2003 à 18:16. Évalué à 0.
  
  on peut aussi utiliser la methode du "challenge" :
  
  1) on envoi une phrase aléatoire
  2) la phrase est crypter avec le MD5 (ou SHA2) mot de passe du client (par javascript)
  3) le client compare la phrase crypter avec le cryptage qu'il a lui même effectuer
  
  Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer
  - [^] # Re: sha2
    
    Posté par spongurex le 05 novembre 2003 à 18:20. Évalué à 1.
    
    Je m'auto repond, tout le monde aura compris que dans la phase 3, c'est le serveur qui compare.
    
    Correctif :
    
    on peut aussi utiliser la methode du "challenge" :
    
    1) on envoi une phrase aléatoire
    2) la phrase est crypter avec le MD5 (ou SHA2) du mot de passe du client (par javascript)
    3) le serveur compare la phrase crypter avec le cryptage qu'il a lui même effectuer
    
    Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer
    
    Allez, on me moisse le message ci dessus
    - [^] # Re: sha2
      
      Posté par Éric (site web personnel) le 05 novembre 2003 à 22:00. Évalué à 1.
      
      euh ....
      
      J'ai un mot de passe "XXX", la phrase aléatoire que le serveur tire est "YYY"
      
      1- serveur m'envoie "YYY"
      2- je fais methode_cryptage(XXX,YYY)
      3- j'envoie le résultat au serveur
      4- le serveur fait le même cryptage ...BIP
      
      Pour faire le même cryptage le serveur doit connaitre YYY (ça il le connait car il l'a généré lui même), sauf qu'il doit connaitre aussi XXX. Et là ça rentre en conflit avec ton assertion "le mot de passe est stocker en crypter".
      
      Ceci dit on peut ruser, au lieu de crypter la phrase aléatoire avec le mot de passe on peut crypter la phrase avecun hash du mot de passe. Sauf que au final on tourne en rond : ce qui sera nécessaire des deux cotés pour s'authentifier ne sera plus "XXX" mais le hash de XXX et ce hash sera stoqué en clair ...
      
      Bref, marche pas. Ce que tu résoud là n'est pas le stockage mais celui de la transmission (et coté HTTP le SSL est la solution la plus simple).
      
      Ou alors j'ai loupé un truc.
      - [^] # Re: sha2
        
        Posté par spongurex le 05 novembre 2003 à 23:21. Évalué à 1.
        
        Ce que j'ai dis :
        mon mot de passe est XXX
        
        1) je reçoit YYY de la part du serveur
        2) j'envoi cryptage( MD5(XXX), YYY)
        3) le serveur fais cryptage ( HASH_STOCKER, YYY) et compare
        
        le mot de passe est crypter sur le serveur et rien ne passe en clair.
        
        Effectivement, si quelqu'un peut recuperer ce qui est envoyer (YYY) et voir ce qui repart et faire l'algo inverse.
        
        A ce moment la, on envoi MD5( cryptage( MD5(XXX), YYY) ) ce qui fait que le retour en arriere est impossible, meme si on a l'algo de cryptage et la phrase aleatoire, on peut rien faire sans le mot de passe (du moins, je pense)
        
        Donc nouveau scenario :
        
        1) je reçoit YYY de la part du serveur
        2) j'envoi MD5( cryptage( MD5(XXX), YYY) )
        3) le serveur fais MD5 (cryptage( HASH_STOCKER, YYY) ) et compare
        
        En javascript, c pas forcement facile a faire mais des fonction pour hasher en md5 existe et des fonction de cryptage avec cle aussi donc...
        Dernier point, il faut faire en sorte que le message ait la même longueur que le MD5(XXX), c'est tres facile : MD5(heure_actuel_en_seconde)
        
        [^] # Re: sha2
        
        Posté par Éric (site web personnel) le 06 novembre 2003 à 00:00. Évalué à 1.
        
        C'est ce que je dis. Dans ce cas le mot de passe réel (ie la seule chose qui m'est nécessaire pour m'authentifier) c'est MD5(XXX). XXX n'est qu'un codage mnémotechnique qui permet d'obtenir ce mot de passe.
        
        Et ce mot de passe est bien stocké en clair dans ta base (vu que tu t'en sers pour valider l'authentification. Coté stockages tu as effectivement l'équivalent d'un stockage de mot de passe en clair.
        
        Pour t'en convaincre voilà la procédure :
        - je vole tes hashs
        - je commence une procédure de challenge
        - je recois YYY
        - je fais MD5 (cryptage( HASH , YYY) )
        - je suis vérifié par le serveur.
        
        Tu n'as fait que améliorer la transmission (celui qui écoute ne pourra jamais forcer l'authentification), mais ton stockage est toujours "faible", contrairement à l'option suivante utilisée dans les systèmes habituellement :
        
        - Je te demande ton pass (XXX)
        - tu me l'envoies en clair
        - je fais un hash de ce pass
        - je compare le hash à ma base
        
        Le point faible est la deuxième étape (transmission en claire), mais on peut le corriger via https.
        
        [^] # Re: sha2
        
        Posté par pasBill pasGates le 06 novembre 2003 à 03:22. Évalué à 1.
        
        Oui, mais comment tu voles le hash en 1) ?
        
        Car le hash ne passe jamais sur le reseau, c'est l'avantage de ce type d'autentification, tu montres que tu connais le mot de passe, sans jamais le montrer.
        
        [^] # Re: sha2
        
        Posté par Matthieu Moy (site web personnel) le 06 novembre 2003 à 08:17. Évalué à 1.
        
        > Oui, mais comment tu voles le hash en 1) ?
        
        Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).
        
        Ensuite, tu as toute la base, en clair, à porté de la main.
        
        Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?
        
        [^] # Re: sha2
        
        Posté par Éric (site web personnel) le 06 novembre 2003 à 09:36. Évalué à 2.
        
        demandes à TxFamily, c'est bien ce qu'il s'est passé non ? c'est bien que la chose est un problème.
        L'utilité de crypter les mots de passe c'est de ne pas en rajouter de problèmes si jamais une faille existe (et il en existera une tôt ou tard).

# Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Alexandre Belloni (site web personnel) le 05 novembre 2003 à 02:31. Évalué à 3.

Je viens de rentrer et là j'essaye mon nouveau mot de passe TF (celui qui a été envoyé).

Bizarrement ça ne fonctionne pas ...

Je demande mon mot de passe au panel il m'envoie un simple mot de passe : x

Je rentre dans le panel, je change le mot de passe. Je reçois un mail comme quoi le pass a changé.
Et là je redemande au panel mon mot de pass. Je retrouve bien le pass que je viens de mettre.
La question est : qui a changé mon mot de passe entre 20H25 (heure du communiqué) et 2H04 (heure ou j'ai essayé le mot de pass contenu dans le communiqué).

De plus, il est impossible de contacter le panel depuis 2H25 ...
Le problème est-il vraiment réglé ?

[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par WildChild le 05 novembre 2003 à 02:45. Évalué à 2.

Probablement qu'il y a encore des détails à régler et qu'ils ont fermé le panel en attendant histoire de ne rien détruire!
[^] # Re: Correction d'un problème de sécurité sur TuxFamily

Posté par Julien Danjou (site web personnel) le 05 novembre 2003 à 06:58. Évalué à 4.

Bah ca se voit, on bosse dessus (la nuit ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.