MySpace n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.
Ce constat est l’œuvre de LeakedSource.
Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur inscrit sous l’alias Tessa88@exploit.im, des informations associées à plus de 360 millions de comptes ouverts sur le réseau social.
À près d’un tiers de ces comptes sont liés des noms d’utilisateurs, en plus des adresses e-mail. Et dans environ 20 % des cas, deux mots de passe ont été exfiltrés.
Difficile de ne pas établir un parallèle avec le hack subi en 2012 par LinkedIn… et récemment revenu sur le devant de la scène, avec un bilan nettement revu à la hausse (167 millions de comptes touchés en l’occurrence).
Dans les deux cas, la protection des données est largement insuffisante, tout du moins au vu des standards actuels. Ainsi les mots de passe sont-ils chiffrés avec l’algorithme SHA1, aujourd’hui considéré comme obsolète. Comme pour le cas LinkedIn, on relèvera l’absence de salage, en d’autres termes l’ajout de chiffres aléatoires à la fin des hashs.
Pas beaucoup plus d’efforts du côté des utilisateurs : seuls quelques milliers de mots de passe font plus de 10 caractères et presque aucun ne contient de majuscule(s). Un grand nombre se terminent par un « 1 », laissant suggérer que MySpace a, pendant un temps, exigé au moins un caractère numérique.
Bilan : la liste est dominée non pas par « password », mais par « password1», que l’on retrouve plus de 585 000 fois. Suivent « abc123 » (569 000), « 123456 » (487 000) et « myspace1 » (276 000).
Reflet d’une audience localisée essentiellement en Amérique du Nord depuis les débuts du service lancé en 2003, plus de 126 millions d’adresses e-mail sont en @yahoo.com. On en recense environ 79 millions en @hotmail.com et 25 millions en @gmail.com. La première extension .fr se trouve en 13e position, avec Hotmail (2,335 millions de comptes).
Dans l’absolu, le piratage est d’une importance moindre par rapport à celui subi par LinkedIn : selon les statistiques de SimilarWeb, MySpace – dont la dernière refonte majeure remonte à juin 2013 – a enregistré à peine 15 millions de visites au mois d’avril. Sauf que nombre d’internautes ont tendance à utiliser le même mot de passe sur plusieurs services…
Crédit photo : VTT Studio – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…