Mots de passe volés : Facebook à l’affût de toute violation

Ces derniers jours, les cas d’identifiants volés émergent les uns après les autres. Par exemple, la semaine dernière des milliers d’identifiants DropBox ont été dérobés depuis l’un de leurs partenaires.

Les pirates essaient, sans arrêt, d’augmenter leurs « retours sur investissement», en testant les données confidentielles qu’ils ont réussies à voler sur d’autres sites web.

Si les utilisateurs ont réutilisé ces mots de passe sur des réseaux sociaux comme Twitter ou Facebook, les pirates pourront avoir accès à leurs comptes également, ou bien les exploiter d’une autre façon, ou bien encore les vendre.

Le problème est tellement sérieux, que Facebook a révélé qu’il scrutait toute violation majeure, en balayant le plus de combinaisons identifiants et mots de passe qu’il pouvait trouver en ligne, et postés par des hackers. L’objectif étant de tester, si l’un d’entre eux pouvait servir au déverrouillage de comptes Facebook.

Dans le cas où Facebook trouve une correspondance, il en informe le propriétaire du compte. A la prochaine connexion, il ou elle sera guidé(e) par Facebook, au travers du processus de changement du mot de passe.

Dans un article posté sur leur site officiel, Chris Long, l’ingénieur sécurité de Facebook, a décrit le système que la compagnie a mis en place, pour rechercher les sites sur lesquelles les identifiants auraient tendance à se retrouver :

Malheureusement, c’est une habitude pour les hackers de mettre en ligne, et de rendre accessible au public, les emails et les mots de passe qu’ils ont volés. Beaucoup de sociétés de nettoyage ont fait l’expérience de ce phénomène, plutôt déplaisant, à savoir découvrir la divulgation publique des identifiants de compte de leur site. Lutter contre ce genre de situation prend beaucoup de temps et d’énergie.

Pas de soucis : Facebook est en train de faire du bon travail, sans mettre en danger vos mots de passe, et en les stockant en clair.

Comme l’explique Long, Facebook recherche sur ces sites de divulgation, uniquement les combinaisons email/mot de passe.

Lorsque vous vous connectez à Facebook, un algorithme crypte votre mot de passe avec la méthode salted-hash (salage/hashage). Le hashage est comparé avec ce que Facebook a en mémoire concernant votre compte. Si le hashage est validé, alors Facebook sait que vous avez fourni le bon mot de passe.

Deux mots de passe identiques, soumis au même algorithme de hashage, produiront des hashs identiques. Cependant, et c’est le plus important, ces hashs ne peuvent pas être décryptés de nouveau vers les mots de passe de départ. Ainsi, stocker les hashs, issus des mots de passe, est la solution la plus sûre, pour stocker les identifiants des utilisateurs.

Facebook a, tout simplement, adapté la méthode utilisée, pour gérer les identifiants afin de tester les identifiants, issus de failles ou autres violations. Voilà comment ce procédé fonctionne :

Long n’a pas spécifié quelle partie du système sera modifiée, mais l’idée de base reste toujours la même.

Par exemple, en novembre 2013, Facebook avait suspendu des comptes d’utilisateur, suite à la faille géante chez Adobe. Tous les comptes qui utilisaient les mêmes identifiants pour les comptes Adobe et Facebook, avaient été bloqués jusqu’à ce que leur propriétaire ait changé leur mot de passe.

L’initiative de Facebook qui consiste à rechercher tout mot de passe susceptible d’être réutilisé, n’est pas une nouvelle dérive du type “Big Brother”. En fait il s’agirait plutôt ici d’une initiative “Good Brother” ! Facebook a pour objectif de se protéger lui-même, contre la réutilisation des mots de passe, et cela est une très bonne chose.

Cependant, cela n’est pas une excuse pour continuer de réutiliser les mots de passe. Facebook protège les comptes de ces utilisateurs contre le piratage, mais cela n’empêchera certainement pas un hacker d’utiliser vos identifiants sur un autre site internet, où vous les réutilisez : Gmail, votre banque, Twitter, ou bien tous !

En réutilisant votre mot de passe, un hacker, qui mettrait la main sur un jeu d’identifiants, aura l’accès à tous vos comptes.

Pour s’assurer que de potentiels voleurs ne puissant pénétrer dans toutes les pièces de votre maison internet, nous devons tous suivre la règle simplissime suivante : UN site web, UN mot de passe.

Pour en apprendre plus sur les règles de base concernant les mots de passe, les diverses réglementations en vigueur, sans oublier une partie sur la réutilisation des mots de passe, vous pouvez écouter le podcast Sophos intitulé » : Busting Password Myths.

Nous ne pouvons pas nous reposer sur Facebook pour nous protéger en dehors de Facebook, mais nous pouvons assurément compliquer la vie de certains escrocs, en choisissant des mots de passe complexes et uniques : UN pour chaque pièce de votre maison internet.

Billet inspiré de : “Facebook prowls the internet looking for your password” de Lisa Vaas de Naked Security

Partagez “Mots de passe volés : Facebook à l’affût de toute violation” avec http://bit.ly/1wwCjwt