Un utilisateur a réussi à accéder à notre base de donnée LDAP et a publié les adresses de courriel, les identifiants et apparemment les hash des mots de passe de tous ceux qui se sont enregistrés sur identity.mageia.org. Toutefois les hash publiés ne correspondent pas à ceux que nous avons enregistrés, ainsi il n’est pas certain que les mots de passe actuels aient été compromis. À titre de précaution tous les mots de passe ont été réinitialisés. De nouvelles règles ont été ajoutées pour prévenir tout accès au serveur LDAP. Les administrateurs système recherchent la façon dont on a pu accéder aux bases bien que la configuration aurait dû l’éviter.
Les mots de passe stockés sur le serveur LDAP de Mageia sont chiffrés avec hachage et sel (hash et salt), ce qui signifie que leur décryptage complet, s’il ont bien fuité, dans un format exploitable requerrait une puissance de calcul significative pour des mots de passe sûrs et complexes. Bien que les données compromises semblent ne laisser apparaître que les noms et les adresses de courriels de identify.mageia.org, nous recommandons fortement aux utilisateurs d’être très prudents si les mots de passe de leur compte Mageia sont utilisés ailleurs, et de les changer partout où ils ont été utilisés.
Pour retrouver l’accès à votre compte Mageia, la réinitialisation du mot de passe devrait être suffisante pour tous les utilisateurs sans accès git. Le lien de réinitialisation peut être obtenu sur https://identity.mageia.org/forgot_password, après quoi vous recevrez un courriel contenant le lien.
Les utilisateurs privilégiés devront contacter un administrateur système pour retrouver leur accès.
Nous sommes sincèrement désolés pour tous les problèmes et dérangements que cela a pu vous causer.
Rédaction de Patricia Fraser – Traduction d’André Salaün
