« Nous avons récemment découvert et corrigé une erreur dont nous aimerions vous parler« . C’est ainsi que commence le courrier reçu cette semaine par quelques utilisateurs de WordPress.com. Le site héberge des blogs (sous WordPress, bien sûr !) pour les internautes qui ne veulent pas s’embêter à installer et administrer le logiciel eux-même.

Selon l’éditeur du service, un système automatisé un peu trop zélé aurait depuis septembre dernier collecté et conservé des mots de passe d’utilisateurs de WordPress.com dans un « format un peu moins sécurisé » que la normale. Et après enquête, il s’avère que le système en question était coutumier du fait, puisque la même erreur s’était déjà produite entre 2007 et 2008, sans que les équipes techniques de WordPress.com ne s’en rendent compte.

Concrètement, certains comptes ouverts sur WordPress.com entre juillet 2007 et avril 2008, puis entre septembre 2010 et juillet 2011 sont susceptibles d’avoir eu leur mot de passe stocké dans un format moins sûr.

Quel format exactement ? La communication officielle ne le mentionne pas, mais l’on peut imaginer, par exemple, qu’ils n’ont pas étés « salés » avant d’être « hachés ».

Salés, hachés ? Non, il ne s’agit pas de cuisine mais bien de sécurité : le « sel » est une valeur arbitraire ajoutée aux mots de passe avant leur encodage à l’aide d’un algorithme de hash tel SHA-1 ou MD5. Cette valeur n’est connue que du serveur qui procède à l’encodage. L’intérêt est de rendre le mot de passe encodé sur le site différent du même qui aura été encodé ailleurs (alors qu’il s’agit initialement du même mot de passe), et ceci dans l’espoir de le rendre plus difficile à casser via des tables arc-en-ciel.

Rien ne prouve toutefois que c’est ce qui s’est passé chez WordPress.com, et si vous avez d’autres hypothèse à soumettre, n’hésitez pas à nous en faire part !

Selon WordPress.com cette faiblesse n’aurait pas été exploitée par des pirates. Mais dans le doute les mots de passe des comptes concernées ont étés changés et leurs propriétaires notifiés.