Last.fm piraté : du LinkedIn dans le scénario

Sécurité
1 12

Des données volées à Last.fm en 2012 viennent de faire surface. Plusieurs autres sites dont LinkedIn ont connu la même mésaventure ces dernières semaines.

Last.fm n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.

Ce constat est l’œuvre de LeakedSource.

Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur de Jabber inscrit sous l’alias daykalif@xmpp.jp, des informations associées à plus de 43 millions de comptes ouverts en l’espace d’une dizaine d’années sur le site de musique communautaire.

Selon les éléments d’horodatage, la fuite a eu lieu en mars 2012. Last.fm avait effectivement communiqué dans ce sens quelques semaines plus tard, interpellé par de nombreux utilisateurs qui se plaignaient de recevoir du spam. À cette occasion, il avait été demandé à tous de modifier leur mot de passe.

À l’origine, on évoquait 1,5 million de victimes, correspondant au nombre de mots de passe publiés sur un forum dédié à la cryptographie. Le bilan semble devoir s’alourdir, bien que l’authenticité de certaines données puisse être remise en doute (Softpedia, qui s’est livré à une analyse, considère qu’il peut exister des doublons et des comptes créés par des robots).

Au-delà des noms d’utilisateurs et des adresses e-mail, plusieurs « données internes » figurent dans le fichier transmis à LeakedSource. Notamment les taux de clics sur les publicités, les préférences pour la newsletter et le lecteur Web… mais aussi les dates d’inscription.

On s’aperçoit ainsi qu’à la fin de sa première année d’exploitation (2002), Last.fm comptait un peu plus de 3 000 utilisateurs. Le seuil du million avait été franchi en 2006 ; celui des 5 millions, deux ans plus tard. Le pic de popularité se trouve en 2009-2010, avec plus de 20 millions de nouveaux comptes.

Si l’audience a évolué ; la faiblesse des mots de passe est restée : plus de 250 000 utilisateurs ont choisi « 123456 » ; on retrouve « lastfm » 66 857 fois, « qwerty » 46 201 fois ou encore « abc123 » 36 367 fois.

Le déchiffrement de 96 % d’entre eux n’aura été qu’une question d’heures, au vu de l’algorithme de hachage utilisé (MD5) et de l’absence de salage (ajout de chiffres aléatoires à la fin des hashs), qui fait également défaut dans les données volées à LinkedIn et à MySpace et récemment mises en vente sur le darkweb.

Le problème n’est pas tant pour Last.fm lui-même, mais pour les services en ligne sur lesquels des utilisateurs auraient choisi les mêmes identifiants. C’est ce qui a récemment poussé Dropbox à réinitialiser les mots de passe non changés depuis la mi-2012, correspondant au piratage de LinkedIn.

garrett-md5
Au lendemain de l’annonce de la faille, Russ Garrett, alors développeur chez Last.fm, avait reconnu la faiblesse du MD5.

 

Crédit photo : stockhits – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur