Accueil / Tic & Telecoms / Méga-fuites de données: «Tout mot de passe pourra être compromis»

Méga-fuites de données: «Tout mot de passe pourra être compromis»

Méga-fuites de données: «Tout mot de passe pourra être compromis»

Des centaines de millions de comptes se vendent en ce moment au marché noir…

Mais que se passe-t-il sur Internet ? Depuis environ un mois, c’est la panique. Des centaines de millions de vieux comptes LinkedIn, MySpace et Tumblr, hackés en 2012-2013, se vendent dans les tréfonds du dark Web. Dans la foulée, Mark Zuckerberg en personne s’est fait pirater ses comptes Twitter et Pinterest, tout comme Katy Perry et Kylie Jenner. Et la situation devrait empirer, selon Gérôme Billois, expert en cybersécurité chez Solucom.

D’où viennent ces données ?

LinkedIn s’était fait pirater en 2012. A l’époque, l’entreprise avait juré que seuls six millions de profils étaient concernés. Finalement, ce sont 177 millions de comptes (identifiants et mots de passe) qui ont fait leur apparition sur des sites d’enchères russes en mai. Soit le nombre total d’utilisateurs LinkedIn à l’époque. Ajoutez des centaines de millions de d’identifiants de MySpace et de Tumblr, dérobés en 2013, et un paquet d’autres sites, et ce sont au total près d’un milliard de comptes qui sont à vendre. D’autres devraient suivre, jurent les hackers, notamment de Yahoo.

Comment les hackers s’y sont pris ?

Gérôme Billois détaille : « Il y a plusieurs sources pour ces données, soit des vols massifs des bases chez les fournisseurs, soit des vols petit à petit en utilisant des virus déployés sur les PC du public, qui vont voler les mots de passe quand les utilisateurs se connectent. »

Qui sont les pirates ?

Il semble y avoir deux vendeurs concurrents, Tessa88 et Peace, tous les deux a priori basés en Russie. Ils ont accordé des interviews – sans apporter de preuves – à Wired et Zdnet. Ils restent assez vagues mais semblent se détester royalement. Ils ont pu faire partie de la même équipe avant de se séparer mais rien n’est sûr.

Pourquoi une vente quatre ans plus tard ?

« On est clairement sur la fin du cycle de vie des mots de passe volés », analyse Billois. « Ces bases sont aujourd’hui vendues à des faibles coûts sur des plateformes assez accessibles. » Le hacker Peace affirme qu’il n’a gagné que 15.000 dollars avec LinkedIn et 20.000 dollars pour MySpace et Tumblr. Mais pendant plusieurs années, il a utilisé les données pour des campagnes de spam, ce qui peut rapporter gros. « Quand les données viennent tout juste d’être volées, elles valent beaucoup plus cher et se vendent à l’unité ou par petits groupes. Elles sont fiables et les fournisseurs de services n’ont pas entamé les campagnes de remise à zéro des mots de passe des utilisateurs », précise Gérôme Billois.

Mais la fuite de vieux mots de passe, c’est vraiment grave ?

Oui. De nombreuses personnes utilisent le même mot de passe partout et ne le changent pas régulièrement. Exemple, Mark Zuckerberg, qui aurait dû être plus avisé, utilisait « dadada » sur LinkedIn, mais aussi Twitter et Pinterest. Twitter n’a pas été piraté mais a dû remettre à zéro plus de 30 millions de mots de passe la semaine dernière. Et même si ces bases sont souvent périmées, elles permettent aux hackers d’améliorer leurs techniques de « cassage » de mot de passe, notamment en obtenant des statistiques sur les règles et les mots les plus utilisés (chiffre à la fin, tiret au milieu etc.).

Ces mots de passe, ils ne sont pas protégés ?

En général, si. Les données sensibles sont souvent brouillées (« hachées »). Par exemple « dadada » devient « 0f158e648228a19cab5f23acfd6c36f716a702a9 ». L’opération est à sens unique. A partir du résultat, il est impossible, en théorie, de retrouver « dadada ». Sauf qu’au fil des années, les hackers ont accumulé des centaines de millions de mots de passe courants. Ils peuvent donc passer leurs dictionnaires à la moulinette et comparer les résultats à la liste protégée qu’ils viennent de dérober. S’ils repèrent un autre « 0f158e648228a19cab5f23acfd6c36f716a702a9 », ils savent que c’est « dadada ». Conséquence : un tel mot de passe ne leur résiste pas plus de 30 secondes, car LinkedIn employait des méthodes trop basiques.

Et donc, il ne reste plus qu’à se pendre ?

Si vous utilisez encore votre vieux mot de passe LinkedIn de 2012 sur votre Gmail et Facebook, arrêtez tout de suite la lecture de cet article et changez-le immédiatement. « Il n’y a malheureusement pas de solution magique aujourd’hui », soupire Billois. Qui conseille cependant plusieurs « bonnes pratiques » :

Dissocier les mots de passe des services basiques (forums, site Web lambda…) des plus sensibles (banque en ligne, paiements, email, Facebook).
Pour son compte Facebook ou Gmail, choisir un mot de passe long et unique, par exemple une phrase de trois mots simples commençant une majuscule, liés par un caractère spécial, comme « Victor+Hugo=1Poete » ou «Zlatan@PSG=152Buts »
Activer l’authentification à deux facteurs (par exemple un code reçu par SMS) pour les services critiques.

Parfois, cela ne suffit malheureusement pas. L’activiste du mouvement Black Lives Matter, Deray McKesson, a respecté toutes ces consignes, mais un hacker a réussi à se faire passer pour lui auprès de son opérateur téléphonique. Il a alors commandé une nouvelle carte SIM et a pu rediriger les SMS de sa cible pour obtenir le code de vérification Twitter.

Selon Gérôme Billois, il faut en être conscient. Malgré la double authentification et la biométrie qui se développe, « tout mot de passe pourra un jour être compromis ». Le seul but, c’est qu’il résiste jusqu’à ce qu’un piratage soit détecté et la remise à zéro activée. Maigre espoir.

Philippe Berry
20minutes.fr

Aller en haut