La faille vBulletin a fait de gros dégâts

Une faille visant vBulletin, corrigée fin septembre 2019, a fait de gros dégâts… et pas seulement pour les sites web. Des centaines de milliers d’internautes sont concernés.

24 septembre 2019, panique chez les gestionnaires de sites web au fait des alertes de cybersécurité. Une faille « critique » touche vBulletin 5. VBulletin est un outil web permettant de gérer, par exemple, un forum.

Premier détail, de taille, il faut très peu de connaissances ou de compétences pour pouvoir exploiter la faille.

Il ne faut aucune authentification pour exploiter cette vulnérabilité.

L’alerte était très précise concernant l’impact sur la confidentialité: « la divulgation d’informations est considérable » dixit le NIST (CVE-2019-16759).

J’ai attendu un mois pour parler des conséquences, afin de laisser le temps aux sites alertés de corriger. De prévenir leurs utilisateurs.

Des fuites – trop – nombreuses !

J’ai détecté dans les sites pirates et autres blackmarket surveillés par le Service Veille ZATAZ pas moins de 903 sites impactés.

Parmi les victimes  : Vmedia, Hookers, Elsword, Com2us, Toulanforum …

Le problème de cette faille ? Elle a permis à des pirates de mettre la main sur les identités des membres de dizaines de sites.

Identités, mais aussi IP, adresses mails, pseudonymes et autres mots de passe. Heureusement, les « password » d’accès sont hashés. Donc non utilisable en l’état.

Plusieurs espaces pirates diffusent, depuis août 2019, outils et liens vers des espaces faillibles. Sur GitHub, un outil exécute un PoC pour vérifier si votre site est vulnérable (ports 443 et 80).

Ce qui m’inquiète le plus ?  Ce que les pirates ne disent pas encore.

Par exemple, le site Canadien Vmedia expliquait le 25 septembre avoir corrigé une faille sur son forum. « Il est possible que notre base de données vBulletin ait été compromise, ce qui inclut les informations de compte des membres de notre communauté. » souligne l’entreprise dans un communiqué de presse. « Plus précisément, les adresses de messagerie, les mots de passe, les anniversaires et les coordonnées géographiques des utilisateurs peuvent avoir été vulnérables. Bien que vBulletin chiffre les mots de passe des utilisateurs stockés, les autres informations saisies par les utilisateurs ne sont pas chiffrées et peuvent avoir été compromises lors de cette attaque. »

Ce que j’ai pu constater dans des black market et autres espaces pirates VIP n’indiquent rien d’autre, pour le moment, que les IP, mails, pseudonymes et mots de passe. Il n’y avait pas, dans ce cas, de dates d’anniversaire ou « autres informations saisies par les utilisateurs« .

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. ungars Reply

    « les autres informations saisies par les utilisateurs ne sont pas chiffrées » :
    je crois halluciner !

  2. Analyste-Cybersecurité Reply

    En tant que Analyste en Cybersécurité tout les sites webs que je test ont les données non chiffrées, il y a même pas 10% qui chiffre leur données et il y a même des sites webs qui ont encore leurs mot de passe en clair…

  3. Pingback: ZATAZ Les données du forum Zone alarm piratées - ZATAZ

  4. Pingback: ZATAZ Courriel professionnel, n'est pas courriel personnel - ZATAZ

  5. Pingback: ZATAZ » Mise en vente de plus de 10 000 sites web

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.