Un autre jour, un autre gros site piraté ! Il parait que l’année 2013 est l’année du hack. Le site internet Drupal.org a été attaqué hier par un groupe de hackers, environ un million de comptes ont été touchés.


L’équipe de développement de Drupal précise que le CMS lui-même n’est pas en cause, et que le problème vient de ses serveurs.

Les hackeurs auraient eu accès aux adresses mails et mots de passe (« hachés »). Pour contrer au plus vite cette incident, Drupal a immédiatement remis à zéro tous les mots de passe et a envoyé un mail aux utilisateurs concernés. Si vous faites partie des victimes, il vous faudra confirmer votre e-mail et choisir un nouveau mot de passe.

Dans une Foire aux questions dédiée au problème, Drupal confirme que la vulnérabilité ne provient pas de Drupal en lui même, mais d’un service tiers installé sur les serveurs de Drupal. Les utilisateurs du CMS qui hébergent ce dernier sur leur propre serveur dédié ou sur un hébergement mutualisé n’ont rien à craindre : le problème vient des serveurs de Drupal.org, et en aucun cas du CMS disponible en téléchargement.

Par contre, il faut toujours faire attention avec les CMS, parce qu’ils sont Open Source donc le code source est visible pour tous et même par les bidouilleurs et les hackers. Donc trouver des failles, c’est plus facile. Le risque de sécurité sont l’origine des extensions développées par la communauté. Avant d’installer une extension, il faut toujours vérifier si la dernière mise à jour est récente et regarder les commentaires de la communauté par rapport à cette extension.

1 Commentaire

  1. wazabi

    j’adrore ‘parce que ils sont Open Source donc le code source est visible pour tous et même par les bidouilleurs et les hackers’
    Les failles de securité dans les logiciels proprietaires existent aussi mais seul le proprietaire du logiciel peux faire une correction…si la faille est divulger (courant dans les groupres de hacker).