MacKeeper : 13 millions d’utilisateurs Mac sans protection !
Même si vous n’avez pas un Mac, vous avez sans doute déjà entendu parler de MacKeeper
Si vous avez un Mac, vous avez probablement déjà vu les campagnes de promotion de MacKeeper, soit sous la forme d’annonces à cliquer sur des sites partenaires, soit sous la forme de fenêtres d’alertes, soit sous la forme de fenêtres .
Avec des slogans tels que “Nettoyer votre Mac”, “Booster vos performances” et “renforcer votre sécurité”, les arguments commerciaux de l’entreprise sont plutôt agressifs afin de promouvoir MacKeeper en tant que support technique personnel qui est censé vous aider grâce à la protection anti-virus, le cryptage des données, le nettoyage de fichiers malveillants et l’optimisation des performances.
Malheureusement, en ce moment, l’entreprise fait parler d’elle dans la presse, mais plutôt négativement, selon un article posté par Reddit, intitulé faille de sécurité massive, par un expert sécurité se surnommant lui-même FoundTheStuff.
Forbes aurait identifié l’expert en question sous le nom de Chris Vickery, et déclare qu’il a pu accéder à une base de données de MacKeeper renfermant plus de 13 millions de données clients, incluant apparemment des noms, des emails, des identifiants, le hachage des mots de passe, les numéros de téléphone, les adresses IP, des informations sur le système, et bien plus encore.
Pire encore, il semblerait que les mots passe étaient stockés avec le simple algorithme de hachage MD5, appliqué sur le mot de passe brut, sans salage ni stretching.
Le salage consiste à rajouter des caractères de façon aléatoire à chaque mot de passe, avant le hachage. Ainsi, dans le cas ou 2 utilisateurs choisiraient le même mot de passe, le hachage sera quant à lui différent, les rendant finalement uniques.
Le stretching est une technique de hachage appliquée en boucle, afin de rendre chaque mot de passe plus long et beaucoup plus compliqué à deviner, et ralentir ainsi les attaques visant à les dévoiler.
Le stockage des mots de passe directement sous forme d’un hachage MD5, est mieux que de les conserver en clair, mais n’assure pas pour autant une sécurité optimale.
Aujourd’hui, les machines dédiées au piratage des mots de passe, peuvent calculer des centaines de billions de hashs MD5 par seconde, et les comparer avec une base données de mots de passe non salés, afin de détecter si quelqu’un à utiliser un mot de passe en particulier.
MacKeeper n’pas encore confirmé on infirmé le détail des données qui ont été dérobées. Il a simplement signalé que “toutes les cartes de crédit et les données relatives au paiement étaient traitées par une tierce partie, et n’avaient jamais été en danger”, et que “l’entreprise ne collecte aucune données sensibles concernant ses clients”.
Il semblerait que Vickery ait tout simplement fait des recherches sur internet en utilisant un outil, dédié à la recherche de serveurs, appelé Shodan. Il permet ainsi de visualiser les bases de données qui sont accessibles au public et qui utilisent le logiciel MongoDB.
En fouillant dans ses résultats, il a alors trouvé que les bases de données de MacKeeper était disponibles directement en ligne, sans aucun processus d’authentification en place, signifiant ainsi qu’il n’a pas eu besoin d’utiliser un quelconque identifiant ou mot de passe.
Selon MacKeeper, il était la seule personne externe à s’être connectée à la base de données récemment, et l’entreprise a affirmé qu’il avait observé et signalé ce qu’il avait trouvé, et n’avait rien fait de plus avec les données qui étaient en accès libre.
Si cette histoire est vraie, MacKeeper a vraiment évité une faille de sécurité massive…
…cependant cela reste un vrai problème pour une telle entreprise, de laisser plus de 13 millions de données clients en accès libre sur internet.
Si vous êtes un utilisateur MacKeeper, changez votre mot de passe, n’en prenez pas un que vous avez déjà utilisé ailleurs, et surtout choisissez-le correctement !
Suivre @SophosFrance
//
// ]]>
Billet inspiré de “MacKeeper fails to keep 13 million Mac users safe” par Paul Ducklin de Naked Security
Partagez MacKeeper : 13 millions d’utilisateurs Mac sans protection ! avec http://wp.me/p2YJS1-2kP
Comment supprimer MacKeeper sur mon Mac ? – GAUTHIER Nicolas
[…] installer un autre logiciel. Ce malware est au coeur d’une Class Action aux USA, une fuite de 13 millions de données personnels a été signalé, l’éditeur semble vouloir poursuivre un gamin de 14 ans qui mettait en […]