MySpace piraté : comme un air de LinkedIn

Sécurité
piratage-myspace
1 1

MySpace a subi un piratage dont les enseignements rappellent ceux d’une attaque subie par LinkedIn en 2012… et récemment revenue sur le devant de la scène.

MySpace n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.

Ce constat est l’œuvre de LeakedSource.

Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur inscrit sous l’alias Tessa88@exploit.im, des informations associées à plus de 360 millions de comptes ouverts sur le réseau social.

À près d’un tiers de ces comptes sont liés des noms d’utilisateurs, en plus des adresses e-mail. Et dans environ 20 % des cas, deux mots de passe ont été exfiltrés.

Difficile de ne pas établir un parallèle avec le hack subi en 2012 par LinkedIn… et récemment revenu sur le devant de la scène, avec un bilan nettement revu à la hausse (167 millions de comptes touchés en l’occurrence).

Dans les deux cas, la protection des données est largement insuffisante, tout du moins au vu des standards actuels. Ainsi les mots de passe sont-ils chiffrés avec l’algorithme SHA1, aujourd’hui considéré comme obsolète. Comme pour le cas LinkedIn, on relèvera l’absence de salage, en d’autres termes l’ajout de chiffres aléatoires à la fin des hashs.

Pas beaucoup plus d’efforts du côté des utilisateurs : seuls quelques milliers de mots de passe font plus de 10 caractères et presque aucun ne contient de majuscule(s). Un grand nombre se terminent par un « 1 », laissant suggérer que MySpace a, pendant un temps, exigé au moins un caractère numérique.

Bilan : la liste est dominée non pas par « password », mais par « password1», que l’on retrouve plus de 585 000 fois. Suivent « abc123 » (569 000), « 123456 » (487 000) et « myspace1 » (276 000).

Reflet d’une audience localisée essentiellement en Amérique du Nord depuis les débuts du service lancé en 2003, plus de 126 millions d’adresses e-mail sont en @yahoo.com. On en recense environ 79 millions en @hotmail.com et 25 millions en @gmail.com. La première extension .fr se trouve en 13e position, avec Hotmail (2,335 millions de comptes).

Dans l’absolu, le piratage est d’une importance moindre par rapport à celui subi par LinkedIn : selon les statistiques de SimilarWeb, MySpace – dont la dernière refonte majeure remonte à juin 2013 – a enregistré à peine 15 millions de visites au mois d’avril. Sauf que nombre d’internautes ont tendance à utiliser le même mot de passe sur plusieurs services…

Crédit photo : VTT Studio – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur