Une boutique en ligne de puériculture a été piratée

Utilisateurs ITMot de passe

Il est devenu de bon ton de penser qu’aujourd’hui la cybercriminalité est une question d’argent.

Il est également de bon ton de penser que les agresseurs sont de plus en plus et exclusivement focalisés sur des objectifs fructueux, comme des multinationales et des gouvernements.

En d’autres termes, si vous êtes un petit gars du net, vous êtes hors du radar des pirates et vous pouvez rester en sécurité simplement en gardant la tête baissée.

Bien sûr, casser des systèmes en utilisant leurs failles juste pour le plaisir – le lulz – a été brièvement populaire quelques années auparavant. Grâce à l’équipe Lulzsec, un tas d’arrestations semblait mettre fin à tout cela.

Mais ces arrestations n’ont pas éliminé le plaisir de cracker. Il y a encore beaucoup de cas de pirates gratuits, juste pour le plaisir.

Même si vous pilotez un minuscule site web sans grand-chose à cacher, vous (et vos clients) n’en sont pas moins exposés aux risques criminels, comme l’exemple de @JokerCracker, qui donne ouvertement sa raison de piratage comme, “C’est juste une remise en question personnelle”.

JokerCracker a annoncé un certain nombre de hack-and-reveals (je pirate et je le montre) ces derniers jours.

Il creuse autour des failles de sécurité de votre site web, probablement à l’aide d’outils automatisés pour trouver les logiciels que vous utilisez, et quelles vulnérabilités peut-il le plus facilement exploiter.

Une fois qu’il sait pirater votre serveur web par dumping d’une ou plusieurs de ses bases de données, au lieu de simplement répondre à vos requêtes pré-arrangées, il va extraire ce qu’il peut et télécharger ce qui ressemble à des informations personnelles identifiables (Personally Identifiable Information – PII) sur un site public, où vous pouvez obtenir à volonté les données volées.

L’étape finale est un tweet pour que le monde sache.

jc-tweet-486

Un triste exemple du week-end dernier où il a piraté une boutique australienne en ligne de puériculture. Il a volé environ 900 dossiers, peut-être parce que c’est la base de données entière recueillie par le propriétaire du site.

(Uniquement l’e-mail, le nom et mot de passe ont été divulgués. Le nom et prénom des parents, le nom de l’enfant et son l’anniversaire, demandé à l’inscription, ne figuraient pas dans le dump.)

Conseils

Les mots de passe, comme vous l’aurez deviné, n’ont pas été cryptés. Ils ont tous été stockés en texte brut.

  • Si vous êtes un utilisateur d’un site Web qui est piraté de cette façon, et vous avez partagé votre mot de passe avec d’autres sites, changer les mots de passe immédiatement, et n’utilisez plus ces mots de passe piratés.
  • Si vous êtes le propriétaire d’un site web qui est piraté de cette façon, publiez un avertissement sur votre page principale pour avertir vos utilisateurs et clients.
  • Si vous êtes webmaster de toutes sortes de sites web ou similaire (blogs), ne gardez pas les mots de passe en clair.
  • Si vous pensez qu’un site enregistre les mots de passe en clair, ne vous y inscrivez pas.

Notez que le dernier point implique que vous puissiez facilement savoir comment se comporte un site vis-à-vis de la sécurité des mots de passe.

Heureusement, de nombreux sites publient, ou vous diront si vous le demandez, comment ils traitent vos mots de passe et leur processus de réinitialisation.

Mais d’autres ne le font pas clairement, et souvent c’est parce qu’ils savent qu’ils n’ont pas le bon comportement, ou ne sont même pas conscients de l’importance de la question.

Dans ce cas, vous pourriez être en mesure de le savoir simplement en essayant de changer votre mot de passe.

forgot-pwd-email-486

Si vous obtenez un lien de réinitialisation de mot de passe, ils n’ont probablement pas stocké votre mot de passe en texte clair. Mais si vous obtenez votre ancien mot de passe de nouveau dans un courriel, il est clair que le site n’est pas très sérieux.

Quant à BabycareAdvice.com, c’est un bon cas d’école. Ils n’utilisent pas HTTPS à la connexion et pas de “challenge-response” non plus pour vérifier votre mot se passe, vous savez ce mail que vous recevez pour confirmer votre inscription. Votre mot de passe est là, en clair, en attendant d’être espionné.

Utilisateurs

Vous êtes utilisateurs du site Web, soyez vigilants. Si vous pensez qu’un site ne traite pas vos renseignements personnels avec le respect qu’il mérite, même pour les soi-disant connexions occasionnelles ou jetables, envisagez de travailler, faire du shopping ou jouer ailleurs.

Webmasters

Vous administrez des sites Web, ne soyez pas satisfaits des normes de sécurité d’il y a dix, cinq ou même deux ans. Montrer que vous vous souciez des informations personnelles de vos clients et aidez à construire et à entretenir la confiance de vos visiteurs, utilisateurs, clients.


Crédit Paul Ducklin – Naked Security – Voir le billet original (UK)
Traduction Jérôme Vosgien.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.