NPC Alertes de sécurité

English


Une violation de données visant GoDaddy risque de toucher les clients des utilisateurs de WordPress - NPC Alertes de sécurité

3 décembre 2021



Quelle est la problématique?

Le 22 novembre 2021, GoDaddy a signalé à la US Security and Exchange Commission (SEC) qu’un mot de passe compromis permettait à une tierce partie non autorisée d’accéder à son environnement d’hébergement WordPress. La violation de la sécurité a exposé les adresses courriel et les numéros de client de 1,2 million utilisateurs actifs et inactifs du service, y compris les mots de passe administrateurs de WordPress. Les noms d’utilisateur et mots de passe du protocole de transfert de fichier sécurisé (sFTP) pour les clients actifs et les clés privées du protocole de couche de sockets sécurisés (SSL) d’un nombre inconnu d’utilisateurs actifs ont également été exposés.

Le sFTP est utilisé pour l’accès, le transfert et la gestion des fichiers sur le serveur d’un site Web; les certificats du protocole SSL sont utilisés sur les sites Web pour créer un lien sécurisé avec les visiteurs et pour chiffrer les données envoyées ou reçues à l’aide d’une clé privée.

La violation a été détectée le 17 novembre 2021, mais une enquête a révélé que les données pourraient avoir été compromises dès le 6 septembre 2021. Après avoir constaté la violation, GoDaddy a réinitialisé les mots de passe exposés et a émis et installé de nouveaux certificats pour les clients dont les clés du protocole SSL ont été exposées. Toutefois, étant donné que l’atteinte est demeurée inconnue pendant deux mois, la mise à jour des mots de passe ne suffit pas. Ainsi, les clients de GoDaddy doivent consulter leur compte et leur site Web à la recherche de toute activité suspecte pendant cette période et demeurer à l’affût des attaques d’hameçonnage.


Qu’est-ce que cela signifie pour moi?

La violation ne semble pas avoir révélé de renseignements personnels identifiables (PII) ni de détails de paiement que GoDaddy possédait sur ses clients. Toutefois, l’exposition de l’adresse courriel signifie que les clients de l’hébergement WordPress de GoDaddy doivent demeurer à l’affût des tentatives d’hameçonnage.

Le plus préoccupant, c’est que la brèche de sécurité est passée inaperçue pendant plus de deux mois. Durant cette période, l’exposition des identifiants sFTP aurait pu donner accès à l’information stockée sur l’un ou l’autre de ces sites Web hébergés par WordPress, y compris l’information provenant des visiteurs ou des clients. L’accès à ces serveurs pourrait également permettre de modifier le site Web, de voler d’autres types de données, de télécharger des logiciels malveillants ou d’ajouter un faux utilisateur administratif pour en faciliter l’accès par la suite.

Dans le cas des utilisateurs dont la clé privée SSL a été exposée, un pirate pourrait être en mesure d’intercepter et de déchiffrer le trafic à l’aide de la clé en question, à condition qu’il réussisse une attaque d’intercepteur entre un visiteur du site et un site touché.


Que dois-je faire?

Les entreprises qui utilisent l’hébergement WordPress de GoDaddy doivent rechercher toute activité non autorisée dans leurs pages Web, leurs analyses de site Web et leurs paramètres de compte.

Dans le cas des clients de l’hébergement WordPress de GoDaddy, l’entreprise a déjà réinitialisé les mots de passe administratifs touchés, les identifiants sFTP et les bases de données des utilisateurs, et a commencé à émettre et à installer de nouveaux certificats SSL. Cependant, étant donné la gravité du problème et les données auxquelles le pirate a eu accès, nous recommandons à tous les utilisateurs de l’hébergement WordPress de GoDaddy de présumer qu’ils ont été victimes d’une infraction et de suivre les étapes suivantes pour réparer les dommages causés par cet incident et atténuer les risques en cas d’incident.

  • Modifier les mots de passe
    Modifiez tous vos mots de passe GoDaddy et WordPress, même pour les autres comptes ou applications qui utilisent le même mot de passe. S’il y a lieu, forcez la réinitialisation du mot de passe pour vos utilisateurs ou clients, et encouragez-les à faire de même pour tous les sites où ils utilisent le même mot de passe.

  • Aviser les utilisateurs
    Si votre site recueille un type quelconque de PII, notamment si vous exploitez un site de commerce électronique, vous devrez peut-être aviser vos clients de l’atteinte à la sécurité. Vérifiez auprès de GoDaddy si vous avez été touché par la violation et vérifiez les exigences de déclaration réglementaires de votre administration.

  • Rechercher des utilisateurs ou des modules d’extension non autorisés
    Scannez votre site et votre serveur pour détecter tout logiciel malveillant, virus ou autre anomalie, et les éventuels comptes d’administrateur non autorisés. Assurez-vous qu’aucun module d’extension non autorisé n’a été installé en consultant la page de gestion du module de votre terminal WordPress en arrière-plan. Vérifiez également le système de fichiers de votre site (wp-content/plugins et wp-content/mu-plugins) à la recherche de tout élément qui n’apparaît pas sur la page des modules.

  • Demeurer à l’affût des tentatives d’hameçonnage par courriel
    Que vous soyez client ou non de l’hébergement WordPress de GoDaddy, il est important de demeurer constamment à l’affût de tout courriel qui vous demandent de fournir des renseignements personnels. Avec un si grand nombre d’adresses compromises, le risque d’hameçonnage par courriel est important, car les noms d’utilisateur et autres renseignements acquis les rendront plus crédibles. N’oubliez pas que la plupart des entreprises ne vous demanderont jamais de fournir votre mot de passe ou votre NIP par courriel. Le cas échéant, vérifiez la crédibilité du site Web lié au courriel.

  • Améliorer la sécurité des mots de passe
    Il est recommandé d’utiliser de longs mots ou phrases de passe (nous vous recommandons au moins 14 caractères), et un mot de passe différent pour chaque compte que vous possédez. Veillez également à activer l’authentification multifacteur (en anglais seulement) dans la mesure du possible pour empêcher les attaques en force sur vos comptes.


Sources:

(en anglais seulement) GoDaddy Announces Security Incident Affecting Managed WordPress Service - GoDaddy

(en anglais seulement) GoDaddy Announces Security Incident Affecting Managed WordPress Service - SEC Archives

(en anglais seulement) GoDaddy Breached – Plaintext Passwords – 1.2M Affected - Wordfence

(en anglais seulement) GoDaddy security breach exposes WordPress users' data - Reuters

NPC Alertes de sécurité

Recevez les alertes de sécurité de NPC par courriel pour demeurer au fait des plus importantes menaces à la sécurité de vos appareils, de vos données et de votre vie privée. Nous n'utilisons cette liste à aucune autre fin.

Je m'inscris