L'éditeur australien Atlassian a été victime d'une intrusion qui a affecté HipChat, son service de discussion instantanée. Par sécurité, il a décidé de forcer la réinitialisation de certains mots de passe.

Attention si vous utilisez HipChat : votre compte a peut-être été compromis au cours d’une tentative de piratage qui a été révélée lundi 24 avril par Atlassian, l’éditeur de la messagerie instantanée. Dans tous les cas, il est conseillé de changer sans tarder votre mot de passe de manière à ne courir aucun risque. De toute façon, Atlassian a pris la décision de forcer leur réinitialisation.

Selon nos constatations, la remise à zéro des mots de passe n’est pas générale. Dans l’immédiat en tout cas, certains de nos collègues n’ont pas été contraints de changer leur code d’accès. D’autres en revanche ont été obligés de le remplacer. Par ailleurs, il semble que le renouvellement du mot de passe touche indistinctement les membres, qu’ils passent par l’application dédiée ou par le site.

D’après Atlassian, ses autres produits n’ont pas été affectés par l’intrusion ni le reste de son infrastructure. L’entreprise australienne affirme par ailleurs qu’aucune preuve ne permet de dire que le piratage a affecté des données de paiement ou des informations bancaires.

Sur son blog, l’entreprise ajoute que la vulnérabilité était située dans un composant tiers. Plus grave, les pirates ont pu avoir accès à des métadonnées des salons de discussions et, dans de très rares situations (0,05 % des cas), aux messages et contenus des instances, ce qui peut potentiellement compromettre la confidentialité de certaines sociétés utilisant HipChat à des fins professionnelles.

Le nom, le mail et l’empreinte du mot de passe haché ont pu être lus

Dans un mail de mise en garde, HipChat explique que « ce week-end, notre équipe chargée de la sécurité a détecté un incident affectant HipChat.com qui a pu provoquer un accès non autorisé aux informations du compte utilisateur (incluant le nom, l’adresse de courrier électronique et le mot de passe haché). HipChat hache les mots de passe en utilisant bcrypt avec un salage aléatoire ».

Est-ce qu’il faut comprendre que les mots de passe restent hors de portée de celui ou ceux à l’origine de l’intrusion sur les serveurs de HipChat ? A priori oui : la page explicative sur Wikipédia indique que bcrypt est une fonction de hachage qui rend très difficile l’accès en clair aux mots de passe — c’est-à-dire, déchiffrés pour pouvoir les utiliser pour se connecter.

Réinitialisation du mot de passe

Mais mieux vaut ne pas tenter le diable : même si bcrypt offre une couche de protection très satisfaisante, HipChat a eu raison de provoquer la réinitialisation du mot de passe.

Si vous êtes concerné, faites-le sans tarder (de toute façon, sinon, vous ne pouvez plus vous connecter, les anciens mots de passe ayant été révoqués). Et si le mot de passe que vous utilisiez pour HipChat est celui que vous utilisez en général, vous savez ce qu’il vous reste à faire. C’est là que l’on voit bien l’intérêt d’avoir un mot de passe différent par service, pour réduire la portée de l’incident.

 

Partager sur les réseaux sociaux