Il y a des annonces dont on se passerait volontiers, mais que l'on est forcé de faire. Un site Internet comme le notre, régi sous le statut d'association à but non lucratif, se doit de communiquer sur ce que nous avons subi il y a quelques jours.

Autant jouer carte sur table, notre site a été la cible d'une attaque malveillante. Une faille présente depuis les anciennes versions du site a été exploitée et des fichiers php extérieurs ont été déposés sur notre serveur, tandis que d'autres ont été modifiés. Nous ne rentrerons bien évidemment pas dans les détails, mais sachez qu'aujourd'hui cette faille a été comblée.

Les conséquences de cette intrusion dans notre système sont assez importantes puisqu'un fichier de log avec des logins et mots de passe de membres a été sorti. Malgré le fait que tous les mots de passe soient cryptés en base, des techniques ont permis aux deux personnes malveillantes d'utiliser certaines de ces données, pour prendre possession de compte ESL, Steam ou gmail par exemple.

Comme vous avez pu le remarquer, nous avons donc demandé à tous nos membres de changer leur mot de passe sur notre site. Mais nous vous conseillons également de le faire sur tous les sites utilisant le même mot de passe, par précaution. Soyez d'autant plus vigilant si votre mot de passe était simple, court ou existant dans le dictionnaire. Nous sommes bien entendu désolés du désagrément causé.

Mais pirater laisse toujours des traces, surtout quand on ne réfléchit pas à s'en prémunir. L'acte commis par ces deux personnes est grave et peut bien évidemment être sévèrement puni par la loi française. Un comportement honorable aurait été de signaler cette faille à l'équipe qui dirige le site, mais l'utiliser à des fins malveillantes comme celles citées plus haut n'est pas pardonnable. 

Nous avons donc déposé une plainte contre X avec présomption auprès du commissariat de Saint-Ouen. A noter que cette plainte a été appuyée d'un dossier regroupant les différentes preuves matérielles et autres témoignages recueillis.

A noter que le problème de samedi et dimanche dernier où le site a été mis en "malveillant" n'est pas du tout lié à cette histoire mais à une faille OpenX (serveur gérant nos campagnes de pub) qui a permis à un BOT de placer du code javascript malveillant. Cette faille a également été comblée en mettant à jour OpenX.