Octobre 2013 : problème de sécurité relatif aux données personnelles
Le 1er octobre 2013, nous avons appris qu'une erreur d'implémentation avait rendu disponibles, pour les volontaires possédant un compte sur l’infrastructure « LabsDB » de Wikimedia, des informations privées (adresses courriel, hashs de mots de passe, identifiants de session et horodatage de la dernière connexion) concernant environ 37 000 participants aux projets Wikimédia.
Lancé en mai 2013, LabsDB est censé permettre à des volontaires de réaliser des outils et produire des rapports utilisant en temps réel les données issues de nos bases de données. C’est une façon de soutenir les innovations issues de la base de la communauté Wikimedia. Dans ce cadre, les données privées sont automatiquement censurées avant que les volontaires y aient accès. Malheureusement, les mécanismes utilisés pour modifier les données privées n’ont pas fonctionné pour quelques wikis de Wikimedia[1] en raison d’une incompatibilité de schéma, et les utilisateurs de LabsDB ont eu accès à ces données privées pour un certain nombre de comptes d’utilisateurs figurant dans ces bases de données spécifiques. 228 utilisateurs ont accès à LabsDB au 1er octobre, et ces données ont été disponibles du 29 mai au 1er octobre 2013.
Un volontaire de confiance a découvert et signalé ce problème. L’accès aux données concernées a été révoqué dans les 15 minutes suivant son signalement. Rien ne nous permet d’affirmer que ces données personnelles ont été exportées en masse ou utilisées à des fins malveillantes, mais nous ne pouvons pas exclure cette éventualité. Par mesure de précaution, nous avons révoqué les sessions de tous les utilisateurs touchés et nous leur demandons de changer de mot de passe lors de leur prochaine connexion.
Nous avons également envoyé une notification par courrier électronique aux utilisateurs concernés qui ont enregistré une adresse courriel dans leurs préférences.
Nous regrettons cette erreur. LabsDB reste un élément récent au sein de notre infrastructure, et nous suivrons avec attention le processus de correction afin de réduire au maximum les chances qu’une erreur semblable survienne à l’avenir.
Cordialement,
Erik Moeller,
vice-président du département Technique et développement.
- ↑ Liste des bases de données affectées : lezwiki, loginwiki, minwiki, testwikidatawiki, tyvwiki, votewiki, wikidatawiki, wikimania2013wiki, wikimania2014wiki, wikiquote (sa), wikisource (as, be, gu), wikiversity (ko, sl), wikivoyage (de, el, en, es, fr, he, it, nl, pl, pt, ro, ru, sv, uk), wiktionary (vec).
Pour nous contacter
Si vous avez des questions, vous pouvez nous contacter par courrier électronique à :
accountsecurity wikimedia.org
Vous pouvez aussi joindre la Wikimedia Foundation à :
Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
Téléphone : +1-415-839-6885
Fax : +1-415-882-0495
Questions et réponses
- Que s'est-il passé ?
Le 1er octobre 2013, nous avons appris qu’une erreur de configuration d’une de nos bases de données avait rendu accessibles des informations privées concernant environ 40 000 utilisateurs des projets Wikimedia aux volontaires ayant accès à l’infrastructure LabsDB de Wikimedia.
- Qu'est-ce que LabsDB ?
Lancé en mai 2013, LabsDB doit permettre à des volontaires de réaliser des outils et produire des rapports utilisant en temps réel les données issues de nos bases de données. C’est un moyen de soutenir les innovations provenant de la base de la communauté Wikimedia.
- Qui a découvert le problème ?
Ce problème a été découvert et signalé par un volontaire de confiance, et l’accès aux données en question a été révoqué dans les 15 minutes suivant le signalement.
Le rapport d’anomalie est accessible en ligne.
- Quel type d’information était accessible aux utilisateurs de LabsDB ?
Quatre types d’informations étaient potentiellement accessibles : adresses de courrier électronique des utilisateurs, empreintes (hashs) de mots de passe, identifiants de session (servant à garder la connexion ouverte), et date et heure de la dernière connexion.
Notez bien que les empreintes (hashs) de mots de passe ne les révèlent pas en clair : si une tierce partie avait obtenu une copie de ces hashs, il lui aurait fallu mettre en œuvre une attaque en force brute pour obtenir les mots de passe à partir de leurs empreintes. Ce genre d’opération est plus susceptible de donner des résultats quand les mots de passe sont simples et non sécurisés. Les empreintes de mots de passe sont calculées avec l’algorithme MD5 et un « sel » choisi aléatoirement au moment de la création ou le changement de ces mots de passes (afin de prévenir un certain nombre d'attaques faciles contre les mots de passe réutilisés).
Cette erreur de configuration n’a pas affecté les données des donateurs, et aucune autre donnée privée n’était accessible.
- Pendant combien de temps ces informations ont-elles été accessibles ?
Ces données ont été disponibles du 29 mai au 1er octobre 2013.
- Pourquoi a-t-il fallu aussi longtemps pour que cette erreur soit découverte ?
Seule une fraction de nos wikis publics était affectée par le problème, et seule une partie des données privées était accessible. La procédure de modification de ces données avait été testée et semblait fonctionner comme prévu, mais un groupe de nouveaux wikis a été ajouté avec une petite différence dans leur modèle de base de données. Cette petite différence a suffi pour que le processus connaisse un dysfonctionnement partiel sans avertissement, jusqu'à ce qu’un volontaire signale la découverte du problème.
- Qui aurait pu avoir accès à ces informations ?
Des utilisateurs de LabsDB auraient pu avoir accès à ces informations, mais nous n’avons aucun indice suggérant que quiconque l’aurait fait.
Au 1er octobre, 228 utilisateurs ont accès à LabsDB.
- Quels types de protocoles de sécurité avez-vous mis en place pour éviter que des données privées deviennent accessibles ?
Dans le cadre de cette procédure, les données privées sont modifiées avant que les volontaires aient accès aux données. Malheureusement, les mécanismes utilisés pour modifier les données privées n’ont pas fonctionné pour quelques wikis de Wikimedia en raison d’une incompatibilité de modèle de base de données. Les utilisateurs de LabsDB ont donc eu accès à ces données privées pour un certain nombre de comptes utilisateur, dans ces bases de données spécifiques.
- Est-ce que quelqu’un a effectivement récupéré des informations personnelles ?
Rien ne nous permet d’affirmer qu’une tierce partie ait effectivement eu accès à ces informations. Nous savons simplement que quiconque possédant un compte sur LabsDB l’aurait pu. Nous avons cherché à savoir si c’était le cas, mais rien ne nous permet de dire que ces données personnelles ont été exportées en masse ou utilisées à des fins malveillantes. Nous ne pouvons cependant pas exclure cette éventualité avec certitude.
- Quelles étaient les bases de données touchées ?
- aswikisource
- bewikisource
- dewikivoyage
- elwikivoyage
- enwikivoyage
- eswikivoyage
- frwikivoyage
- guwikisource
- hewikivoyage
- itwikivoyage
- kowikiversity
- lezwiki
- loginwiki
- minwiki
- nlwikivoyage
- plwikivoyage
- ptwikivoyage
- rowikivoyage
- ruwikivoyage
- sawikiquote
- slwikiversity
- svwikivoyage
- testwikidatawiki
- tyvwiki
- ukwikivoyage
- vecwiktionary
- votewiki
- wikidatawiki
- wikimania2013wiki
- wikimania2014wiki
- Qu’avez-vous entrepris pour corriger cette erreur de configuration ?
L'accès aux données en question a été révoqué dans les 15 minutes suivant le signalement. Par mesure de précaution, nous avons révoqué les sessions de tous les utilisateurs touchés, et nous leur demandons de changer de mot de passe dès leur prochaine connexion. Nous avons aussi envoyé un message par courrier électronique aux utilisateurs dont l’adresse était confirmée.
Nous suivrons aussi avec attention le processus de correction afin de minimiser tout risque d’erreur de cette nature à l'avenir.
- J’utilise ce même mot de passe sur d’autres sites. Est-ce qu’il faudrait que je le change aussi là-bas ?
Même si les éventuelles parties tierces n’ont pu avoir accès qu’à des empreintes (hashs) des mots de passe, ces empreintes sont vulnérables à certaines formes d’attaque en force brute qui pourraient permettre de récupérer les mots de passe, surtout si ceux-ci ne sont pas très forts. Nous vous recommandons de changer ce mot de passe sur tous les sites où vous vous en servez. Le mieux serait d’en choisir un différent de celui qui vous sert sur les projets Wikimedia.