Cyber-attaque : baptême du feu pour Kickstarter
Notifiée, la semaine passée, d’une intrusion dans ses systèmes informatiques, la plate-forme de crowdfunding Kickstarter exclut toute exfiltration de données sensibles, mais invite ses utilisateurs à réinitialiser au plus vite leur mot de passe.
Inscrit à son tour sur le tableau de chasse des pirates informatiques, Kickstarter se déclare victime d’une intrusion dans ses serveurs et déplore des dommages collatéraux sur plus de 5 millions d’utilisateurs, invités à réinitialiser sans délai leur mot de passe.
La plate-forme de crowdfunding basée aux États-Unis assure qu’aucune information bancaire n’a été dérobée. Elle reconnaît toutefois que des noms d’utilisateurs, des numéros de téléphone ou encore des adresses mail et postales ont pu être aspirés lors de cette offensive. Les faits lui ont été rapportés dans la nuit du mercredi 12 au jeudi 13 février (heure française) par les autorités américaines.
La faille qui a permis ces « accès non autorisés » a été résorbée dans la foulée et « des mesures de sécurité supplémentaires » ont été adoptées, selon Yancey Strickler. Le CEO de Kickstarter a résumé la situation ce samedi dans un billet de blog reprenant les informations adressées en parallèle par e-mail aux quelque 5 millions d’utilisateurs concernés.
Sans s’attarder sur la nature des vulnérabilités exploitées et sur la technique d’assaut (probablement une injection SQL), le dirigeant rappelle que les pirates n’ont pu accéder aux mots de passe que sous forme chiffrée. Les plus anciens étaient protégés par un cryptage SHA-1 additionné d’un salage (insertion de caractères aléatoires). Les plus récents bénéficiaient d’une couche de protection complémentaire via l’algorithme bcrypt.
Pour autant, Yancey Strickler l’admet : « Il est possible pour une personne suffisamment expérimentée et disposant du matériel adéquat de craquer ces mots de passe, surtout s’ils sont faibles ou évidents à deviner« . Et d’ajouter : « Dans tous les cas, nous vous recommandons de modifier [au plus vite] votre mot de passe […] et éventuellement d’utiliser des gestionnaires comme 1Password et LastPass« .
Conséquence de cette alerte, les paramètres d’authentification automatique via Facebook Connect ont été réinitialisés. Aux dernières nouvelles, deux comptes ont effectivement été compromis. Kickstarter a dû traiter plus de 5000 demandes d’internautes… et préciser qu’aucune donnée bancaire n’est stockée sur sa plate-forme, excepté les quatre derniers chiffres et la date d’expiration des cartes de crédit pour les projets basés en dehors des Etats-Unis.
Le site, qui soufflera bientôt sa 5e bougie, s’est imposé comme l’une des institutions du financement participatif. Un total de 480 millions de dollars y a été injecté en 2013, par près de 3 millions d’investisseurs (« backers »).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le crowdfunding ?