Certains quotidiens n’hésitent pas à utiliser le terme « casse du siècle » pour en parler. Un hacker qui se cache sous le nom de « Peace » met en vente actuellement des mots de passe de millions d’utilisateurs de MyScpace, de Tumblr et de LinkedIn.
Des données dérobées avant 2013
Tout utilisateur de réseaux sociaux a intérêt à changer de mots de passe. Selon, en effet, une récente révélation de Troy Hunt, spécialiste en sécurité informatique, un hacker aurait mis en vente des mots de passe dérobés à d’utilisateurs de Tumblr depuis quelque temps. Ces mots de passe sont au nombre de 65 millions.
La plateforme de microglobement n’est pas pour autant le seul outil en ligne affecté par ce problème. On sait aussi que depuis le 27 mai dernier, le même hacker, qui emprunte le nom de « Peace » s’est adressé à des personnes souhaitant acheter des mots de passe d’utilisateurs de MySpace. Ce dernier, il faut le rappeler, se trouve dans le top 5 des réseaux sociaux les plus populaires. 427 millions de mots de passe y auraient été volés par ce pirate. Et le nouveau propriétaire, Time Inc., en a fait la confirmation le 31 mai dernier, tout en précisant qu’il s’agirait de données dérobées avant l’été 2013. Depuis, en effet, le réseau social s’est doté de dispositifs de sécurité supplémentaires.
Enfin, le même pirate s’est déjà aussi adressé, le 18 mai dernier, à des personnes intéressées par des mots de passe de LinkedIn. Ces derniers auraient été volés suite à l’exploitation de bug de sécurité du réseau social professionnel.
Le changement de mots de passe ne devra tout de même pas s’imposer. En effet, selon divers spécialistes en sécurité, dont Troy Hunt, ces vols devraient avoir lieu aux environs de 2009, dans une période où MySpace avait connu une grande crise. A l’époque, les deux autres réseaux sociaux avaient encore des systèmes de sécurité fragiles.
Pouvant être déchiffrés facilement
Cette affaire nous incite à revenir sur le stockage et la protection des données des utilisateurs par les géants du Web. Comme Google, LinkedIn, Tumblr et MySpace réécrivent et protègent les mots de passe de leurs membres via un algorithme. « Crocodile01 » par exemple, sera ainsi remplacé par une série de chiffres. Un simple vol de données peut ainsi ne pas permettre de connaître les véritables contenus. Il n’est toutefois pas impossible de casser cette protection. Il s’agit d’un exercice plus difficile notamment en cas d’ajout de clé supplémentaire par les entreprises.
Selon les propos de « Peace », MySpace s’était contenté de l’algorithme de chiffrement nommé SHA 1 pour la protection des données de ses utilisateurs à l’époque de ce vol. Il est ainsi plus facile de casser les données venant de ce réseau qu’il va mettre à la disposition d’éventuels acheteurs. Le constat est le même pour la plupart des mots de passe d’utilisateurs de LinkedIn. L’existence de protection supplémentaire rend plus difficile l’affichage réel des mots de passe dérobés sur Tumblr.