Tumblr : 65 millions de mots de passe volés et mis en vente !
Le 12 Mai dernier, Tumblr a révélé qu’il venait de découvrir une faille de sécurité qui datait de 2013, et qui concernait des identifiants et des mots de passe.
Les détails étaient plutôt limités, et la compagnie a apparemment refusé de mettre un chiffre précis sur les comptes réellement affectés.
A présent, nous savons : la série de données en question concernait plus de 65 millions de comptes, prête à être vendue sur le Dark Web, comme le confirme un expert indépendant en sécurité.
Troy Hunt, qui s’occupe du portail dédié à la sensibilisation vis à vis des failles de sécurité relatives aux données : Have I Been Pwned, a envoyé fin Mai une rafale d’emails aux utilisateurs de Tumblr concernés, et prêts à s’inscrire au système de notifications, en cas de piratage de leurs comptes.
Selon les informations reçues, le nombre total de comptes affectés s’élèverait à 65 469 298.
Ce nombre positionne cette faille de sécurité à la troisième place au classement des plus importantes fuites de données enregistrées jusque maintenant sur le site Have I Been Pwned, après les 164 millions de mots de passe LinkedIn volés et mis en vente sur le Dark Web au début du mois de Mai suite à une faille remontant à 2012, et enfin après les 152 millions de comptes concernés par la faille de sécurité chez Adobe en 2013.
Ces fuites de données sont certes massives, cependant il en existe une autre qui a sa place tout en haut de la liste des failles établie par le site Have I Been Pwned : il s’agit des 360 millions de comptes MySpace concernés par une faille de sécurité plutôt ancienne, et de plus non signalée.
Pourquoi un tel déferlement de données volées, provenant de plus de failles de sécurité anciennes ?
Comme le mentionne Hunt dans un post mis en ligne fin Mai, nous voyons quelques points communs :
Le fait que “Peace” ait mit en vente ces données, ne signifie pas pour autant qu’il soit à l’origine de ces failles. Peut-être qu’elles existaient depuis des années, ou bien qu’elles sont passées de mauvaises mains en mauvaises mains depuis des années.
Cependant, comme l’a noté Hunt, si cela s’inscrit par contre dans une sorte de tendance, il est fort probable que ce phénomène continu. Si tel est le cas, il faut se préparer au combat, dans la mesure où des failles de sécurité encore plus importantes vont faire surface, avec encore plus de divulgation publique de données.
Tumblr a déclaré qu’il semblait que les identifiants n’avaient pas été utilisés par la première personne ayant réussi à mettre la main dessus :
Nous avons récemment appris qu’une tierce partie avait obtenu l’accès à une série d’adresses email d’utilisateurs Tumblr avec les mots de passe déjà salés et hashés et datant du début 2013, avant donc l’acquisition de Tumblr par Yahoo. Dès que nous avons eu connaissance de cet incident, notre équipe sécurité a immédiatement enquêté sur ce sujet.
Notre analyse pour l’instant ne nous donne aucune indication qui confirme que ces données aient été utilisées pour avoir accès à des comptes Tumblr. Par mesure de précaution, cependant, nous demandons aux détenteurs de comptes Tumblr affectés, de changer leurs mots de passe au plus vite.
Les mots de passe qui sont stockés de manière sécurisée, doivent être salés et hashés (nous avons d’ailleurs un article détaillé pour les mordus d’informatique et un autre peut être plus accessible concernant la faille récente chez MySpace), donc il faut voir aussi le bon côté des choses !
Le salage n’est pas une clé secrète de chiffrement. En effet, il est stocké avec le mot de passe final hashé, mais a pour objectif de s’assurer que si 2 utilisateurs choisissent le même mot de passe, ils n’obtiendront pas à la fin le même hash.
Le salage donc garanti qu’une liste permettant de craquer les hashs, ne puisse pas être établie à l’avance pour tous les utilisateurs : vous devrez alors établir une liste de hashs pour tous les salages possibles, combinée avec tous les mots possibles du dictionnaire.
Comme dans tous les cas de failles de sécurité, les utilisateurs affectés devront se rendre sur Tumblr afin de changer leurs mots de passe immédiatement.
Pour conclure, si vous avez utilisé le même mot de passe à d’autres endroits (ce qui bien évidemment n’est pas conseillé, mais voilà justement pourquoi cela est important ici !), vous devriez rapidement vous rendre sur ces autres sites afin de le changer également, en utilisant cette fois-ci un mot de passe unique pour chaque site web.
Suivre @SophosFrance
//
// ]]>
Billet inspiré de “65 million Tumblr passwords stolen and up for sale” par Lisa Vaas de Naked Security
Partagez “Faille de sécurité chez Tumblr : 65 millions de mots de passe volés et mis en vente !” avec http://wp.me/p2YJS1-2J6
Faille de sécurité Yahoo : 500 millions de comptes concernés !
[…] Mai, Tumblr avait révélé qu’il venait de découvrir une faille de sécurité remontant à 2013, qui avait affecté les emails de 65 millions […]