Le géant américain de l’hébergement et des noms de domaine GoDaddy a annoncé lundi qu’une « tierce partie non autorisée » avait eu accès aux données personnelles de plus de 1,2 million de clients de son service d’hébergement WordPress.
Dans une lettre adressée à la Securities and Exchange Commission des États-Unis, GoDaddy a expliqué que l’incident avait été découvert le 17 novembre après avoir constaté une « activité suspecte » dans son environnement d’hébergement géré WordPress. L’enquête qui s’en est suivie a révélé qu’un pirate avait accès aux serveurs de l’entreprise depuis plus de deux mois. Le document indique que GoDaddy estime que la faille de sécurité est apparue pour la première fois le 6 septembre 2021.
Selon GoDaddy, en l’état actuel des connaissances, le pirate a eu accès aux adresses électroniques et aux numéros de client de jusqu’à 1,2 million de clients actifs et inactifs de Managed WordPress, ainsi qu’au mot de passe admin WordPress initial envoyé par GoDaddy aux clients lors de la création d’un site web. Les noms d’utilisateur et mots de passe sFTP et de base de données des clients actifs ont également été divulgués, ainsi que la clé SSL privée d’une partie des clients actifs. Selon ses propres informations, GoDaddy compte plus de 20 millions de clients.
Sommaire
Enquête en cours
« Nous avons constaté une activité suspecte dans notre environnement d’hébergement géré WordPress et avons immédiatement ouvert une enquête avec l’aide d’une société d’expertise informatique et contacté les forces de l’ordre », écrit Demetrius Comes, responsable de la sécurité des informations chez GoDaddy, dans le communiqué. « Nous regrettons sincèrement cet incident et l’inquiétude qu’il suscite chez nos clients ».
Selon ses propres informations, GoDaddy a déjà réinitialisé les mots de passe sFTP et de base de données révélés par le piratage. En outre, le mot de passe du compte administrateur a été réinitialisé pour les clients qui utilisaient encore le mot de passe par défaut. L’entreprise a expliqué qu’elle était en train d’émettre et d’installer de nouveaux certificats SSL pour les clients concernés. Ce processus serait un peu plus compliqué que la réinitialisation des mots de passe.
Pas la première faille de sécurité
Ce n’est pas la première violation de données de l’entreprise. En 2018, une erreur d’AWS avait exposé des données sur des serveurs GoDaddy. Les pirates ont eu un accès SSH à environ 28 000 comptes d’hébergement. L’accès non autorisé est passé inaperçu pendant plusieurs mois. Au début de l’année 2020, un pirate a accédé aux comptes SSH de certains clients, comme l’indique une lettre adressée aux autorités (PDF) en mai 2020.
L’année dernière, pendant la période de l’Avent, GoDaddy avait fait parler de lui en pratiquant le phishing dans son propre étang. L’hébergeur web avait promis un bonus à ses collaborateurs dans un courriel, mais n’avait fait que tester leur affinité avec les spams. En avril, Godaddy a racheté de nombreux domaines de premier niveau (TLD) à son concurrent américain Minds + Machines (MMX) pour l’équivalent d’environ 100 millions d’euros. Les domaines .bayern et .nrw ont également changé d’opérateur.