Last.fm n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.
Ce constat est l’œuvre de LeakedSource.
Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur de Jabber inscrit sous l’alias daykalif@xmpp.jp, des informations associées à plus de 43 millions de comptes ouverts en l’espace d’une dizaine d’années sur le site de musique communautaire.
Selon les éléments d’horodatage, la fuite a eu lieu en mars 2012. Last.fm avait effectivement communiqué dans ce sens quelques semaines plus tard, interpellé par de nombreux utilisateurs qui se plaignaient de recevoir du spam. À cette occasion, il avait été demandé à tous de modifier leur mot de passe.
À l’origine, on évoquait 1,5 million de victimes, correspondant au nombre de mots de passe publiés sur un forum dédié à la cryptographie. Le bilan semble devoir s’alourdir, bien que l’authenticité de certaines données puisse être remise en doute (Softpedia, qui s’est livré à une analyse, considère qu’il peut exister des doublons et des comptes créés par des robots).
Au-delà des noms d’utilisateurs et des adresses e-mail, plusieurs « données internes » figurent dans le fichier transmis à LeakedSource. Notamment les taux de clics sur les publicités, les préférences pour la newsletter et le lecteur Web… mais aussi les dates d’inscription.
On s’aperçoit ainsi qu’à la fin de sa première année d’exploitation (2002), Last.fm comptait un peu plus de 3 000 utilisateurs. Le seuil du million avait été franchi en 2006 ; celui des 5 millions, deux ans plus tard. Le pic de popularité se trouve en 2009-2010, avec plus de 20 millions de nouveaux comptes.
Si l’audience a évolué ; la faiblesse des mots de passe est restée : plus de 250 000 utilisateurs ont choisi « 123456 » ; on retrouve « lastfm » 66 857 fois, « qwerty » 46 201 fois ou encore « abc123 » 36 367 fois.
Le déchiffrement de 96 % d’entre eux n’aura été qu’une question d’heures, au vu de l’algorithme de hachage utilisé (MD5) et de l’absence de salage (ajout de chiffres aléatoires à la fin des hashs), qui fait également défaut dans les données volées à LinkedIn et à MySpace et récemment mises en vente sur le darkweb.
Le problème n’est pas tant pour Last.fm lui-même, mais pour les services en ligne sur lesquels des utilisateurs auraient choisi les mêmes identifiants. C’est ce qui a récemment poussé Dropbox à réinitialiser les mots de passe non changés depuis la mi-2012, correspondant au piratage de LinkedIn.
Crédit photo : stockhits – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…