32 millions de mots de passe dans la nature

Tous les mots de passe de la base de données RockYou ont été retrouvés par un pirate. Beaucoup sont aussi utilisés pour des comptes MySpace ou Facebook.

Grosse faille de sécurité

Une firme spécialisée dans la sécurité sur Internet a publié un rapport détaillant une faille importante sur la base de données SQL du site Internet. Ce qu’elle ne savait pas à l’époque, c’est que ce problème avait déjà été exploité et que les 32 603 388 identifiants qu'elle contenait sont aujourd’hui en ventes sur Internet. Ils couvrent non seulement l'authentification sur le site de la firme, mais aussi les logins et mots de passe utilisés sur de nombreux sites sociaux et donné à RockYou afin d’activer certains plugins.

Tout ce qu’il ne faut pas faire

Ce qui est pire que la faille de sécurité est le fait que les mots de passe étaient stockés dans la base de données au format texte, sans la moindre protection (pas de méthode de chiffrement ou de hash). Enfin, pour coroner le tout, nous savons aujourd’hui que RockYou était au courant de l’incident depuis le 4 décembre 2009, mais n’a pas averti ses clients, n’a pas pris de mesure pour sécuriser les mots de passe présents sur sa base de données et ne force toujours pas ses utilisateurs à changer de mot de pase. De plus, il a fallu attendre le week-end dernier avant que le site comble la faille de sécurité en question.

Un tel manque de sérieux est tout simplement effrayant. La firme s’est d’abord fendue d’un communiqué non repris sur son blog, expliquant que les logins volés n’avaient pas de réel impact. Néanmoins, devant les données publiées par le hacker, la firme a changé de ton et a maintenant posté un message sur son site expliquant que le pirate a « au moins » accédé aux adresses email et mots de passe utilisé sur RockYou et qu’il est préférable de les changer sur son service et sur les autres sites où des identifiants similaires sont utilisés. On notera enfin qu'un bug présent sur le site fait qu'il est impossible d'effacer son compte en passant par l'interface prévue à cet effet.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
7 commentaires
    Votre commentaire
  • Papy440
    Si encore on pouvait jeter la pierre sur Rock You parce qu'ils seraient les seuls à chier dans la colle comme ça, mais le problème, c'est que de plus en plus de sites ou entreprises à qui on confie des mots de passe, des données, etc... , merdent royalement et n'assument pas l'erreur. Pire, font comme si de rien n'était.
    C'est simple, c'est une honte. Des mecs comme ça, faut les foutre à la porte sans état d'âme.
    A mort les développeurs "jmenfoutistes".
    0
  • patchman
    Citation:
    Enfin, pour coroner le tout, nous savons aujourd’hui...

    "pour coUroNner le tout" probablement...

    Et ce n'est pas prêt de changer malheureusement !!!
    2
  • Seb33300
    pour coroner le tout
    1