Faille de sécurité MySpace : 500 millions de mots de passe volés !
Heureusement, les données dérobées n’étaient pas récentes, et provenaient d’une autre faille de sécurité qui avait eu lieu 4 années plus tôt.
Par contre la nouveauté venait de la taille de la liste qui était mise en vente, près de 20 fois celle des 6.5 millions de mots de passe qui avaient été signalés volés en juin 2012.
La faille de sécurité LinkedIn avait été aggravée par la méthode de stockage des mots de passe, à savoir l’utilisation d’un hashage SHA-1, sans salage.
Cette manière de faire signifie en réalité que malgré le fait que LinkedIn ne conserve pas votre mot de passe courant, il ne sécurise tout de même pas suffisamment ce dernier vis à vis d’une éventuelle faille de sécurité.
Sécurité insuffisante
LinkedIn a tout simplement mis en place un chiffrement de votre mot de passe par hashage de type SHA-1, et a stocké à la place le hashage lui-même. Ainsi quiconque choisissant par exemple MOTDEPASSE, finira avec le hash suivant : 112b b791 3047 91dd cf69 2e29 fd5c f149 b35f ea37.
Même si les hackers ne peuvent pas utiliser un algorithme mathématique leur permettant d’aller du hash vers la valeur de départ, ils peuvent par contre produire à une vitesse phénoménale une quantité massive de mots de passe, à partir d’une liste interminable et tester les hashs les uns après les autres.
Les serveurs même les plus modestes d’un point de vue budget et servant aux hackers (modeste du moins certainement à l’échelle d’un pays ou bien d’un gang de cybercriminels), peuvent traiter des milliers de millions de calculs du type SHA-1 par seconde.
Cela est largement suffisant pour tester toutes les combinaisons possibles de mots de passe sur 10 caractères en majuscules en moins d’une heure !
De plus, les logiciels modernes pour craquer les mots de passe ne travaillent pas bêtement en allant de AAAAAAAAAA à ZZZZZZZZZZ, mais ils savent très bien que MOTDEPASSE est plus utilisé que OSTHEOPATHE, lui-même plus utilisé que VNNQMVHZJL.
Une des bonnes pratiques actuelles est d’appliquer un stretching à chaque mot de passe avant de les stocker, en appliquant une technique de hashage répétitive, par exemple des milliers ou des dizaines de milliers de fois, ainsi toute tentative d’attaque visant à essayer toutes les combinaisons possibles prendra plus de temps pour obtenir un résultat valable.
Encore pire, le hashage direct des mots de passe bruts signifie aussi que dès qu’un hacker a trouvé que OSTHEOPATHE donnait 075b 3a59 32b4 8df1 13e3 9ba4 df41 954b 2419 e705, il peut le dire à tout le monde, rendant le craquage de ce mot de passe, la deuxième fois, aussi simple que de jeter un coup d’œil dans une liste géante de hashs déjà répertoriés.
Les bonnes pratiques actuelles se basent sur la création d’un salage aléatoire (ainsi dénommé car il complique le résultat en sortie), qui lui-même est combiné avec le mot de passe avant le hashage à proprement parlé. Ainsi, même des mots de passe identiques produiront des résultats en sortie différents, et du coup chaque combinaison salage-plus-mot-de-passe devra être craquée de façon indépendante.
Le cas MySpace
Et oui, une nouvelle faille de sécurité est apparue !
Cette fois, la faille de sécurité est sensée provenir de MySpace, et le nombre de mots de passe supposé être dérobés attend le chiffre délirant de 427 millions !
Apparemment, il n’y a que 360 millions d’utilisateurs sur la liste, cependant certains comptes possèdent plus d’un mot de passe listé, pour des raisons inexpliquées.
Encore une fois, les mots de passe à priori concernés par cette faille de sécurité étaient simples, il s’agissait de hashs de type SHA-1 sans salage, vulnérables vis-à-vis d’attaques ultrarapides, mentionnées plus haut, consistant à essayer toutes les combinaisons possibles, telles que celles utilisées dans le cas de la faille de sécurité de LinkedIn en 2012.
Selon Leaked Source, beaucoup de mots de passe ont déjà été craqués, avec un top 50 déjà établis et qui concernent plus de 6 millions de mots de passe, soit seulement 1.5% du total !
Il est intéressant de noter que, motdepasse1, abc123 et le tant attendu 123456, arrive en deuxième, troisième et quatrième position respectivement.
En première place nous trouvons le mot de passe plutôt surprenant (mais cependant facile à craquer) homelesspa, qui est associé à plus de 850 000 comptes. Leaked Source soupçonne d’ailleurs que ces derniers ont été créés de manière automatique, à priori orchestrés par un gang de scammers, afin d’être utilisés à des fins malveillantes.
Est-ce vrai ?
Bien sûr, les histoires de failles de sécurité concernant le vol de mots de passe peuvent réserver bien des surprises au final.
Nous avons récemment écrit au sujet d’une déclaration concernant une faille de sécurité impliquant 250 millions de comptes, supposées appartenir à des utilisateurs du services de messagerie Mail.ru (le fournisseur de messagerie électronique le plus populaire en Russie).
A la fin, les données concernées par cette faille étaient tellement anciennes qu’elles s’avéraient d’aucune utilité, ou bien avaient été créées de toutes pièces dès le départ.
Cependant des journalistes de Motherboard avaient déclaré avoir envoyé à Leaked Source 5 adresses email provenant de comptes MySpace, pour lesquels ils connaissaient les mots de passe …
…et avoir reçu en retour les mots de passe associés, impliquant donc que certaines données provenant de cette faille sont tout de même bien authentiques et actuelles.
Quoi faire ?
Les codes du 2FA sont en général envoyés par SMS, ou bien générés par une application spécifique sur votre téléphone, et ils sont différents à chaque fois, ainsi votre mot de passe seul ne vous permettra pas d’avoir accès à votre compte.
D’une manière générale, le 2FA ne vous complique pas autant la vie que cela, par contre il est un rempart majeur pour d’éventuels cybercriminels, nous vous le recommandons vivement.
Suivre @SophosFrance
//
// ]]>
Billet inspiré de “MySpace breach could be the biggest ever – half a BILLION passwords!” par Paul Ducklin de Naked Security
Partagez “Faille de sécurité MySpace : 500 millions de mots de passe volés !” avec http://wp.me/p2YJS1-2Jd