Facebook achète des mots de passe volés sur le marché noir

Alex Stamos, Chief Security Officer a déclaré au Web Summit à Lisbonne que Facebook achetait des mots de passe volés vendus sur le marché noir en ligne, obtenant ainsi des identifiants auprès de cybercriminels, afin de repérer ceux réutilisés par ses utilisateurs.

CNET a cité Stamos : “La réutilisation de mots de passe est la cause N°1 des préjudices subis sur internet”.

A priori Facebook réalise une vérification croisée entre ces mots de passe et les mots de passe hashés de ses utilisateurs, afin de détecter si des correspondances apparaissent. Stamos a déclaré que ce travail était très lourd d’un point de vue informatique, mais cette démarche avait déjà permis à Facebook d’alerter des dizaines de millions d’utilisateurs, en leur recommandant de renforcer leurs mots de passe.

Nous savions déjà que Facebook réalisait des vérifications concernant les identifiants et mots de passe de ses utilisateurs avec des logins volés et mis en ligne discrètement.

Cette démarche a été révélée au grand jour après la faille de sécurité Adobe de 2013, lorsque l’équipe sécurité de Facebook explorait en profondeur les fuites de données, afin de trouver les utilisateurs qui avaient commis le pêché impardonnable d’avoir utilisé le même mot de passe pour se connecter à Facebook et Adobe.

Une fois des correspondances trouvées, Facebook a isolé les utilisateurs en question, mettait alors leurs comptes hors de vue du public, jusqu’à ce que les propriétaires aient changé leurs mots de passe.

A l’époque, beaucoup de gens se sont demandés comment Facebook avait été capable de trouver les utilisateurs réutilisant leur mot de passe, sans avoir stocké au préalable les mots de passe en clair, ou par le biais de techniques non chiffrées ou à l’efficacité de chiffrement médiocre. Certains doivent se poser la même question concernant l’achat par Facebook de mots de passe sur le marché noir en ligne.

Nous allons réitérer ce que nous avions dit à l’époque, en 2013, au sujet de la faille de sécurité Adobe : Facebook n’a pas besoin de mettre en place un système type BIG BROTHER pour réaliser du data mining.

Chris Long, security incident response manager chez Facebook, avait à l’époque donné l’explication suivante :

Nous avons utilisé les mots de passe en clair qui avaient été trouvés par des experts. Nous avons ensuite pris ces mots de passe en clair récupérés et nous les avons utilisés au sein du même code que nous utilisons pour vérifier votre mot de passe lors de la connexion.

En d’autres mots, Facebook ne stockent pas les mots de passe de ses utilisateurs. A la place, il applique un hashage unilatéral et stocke le résultat.

Facebook peut faire cela car les mots de passe sont utilisés pour créer des hashes, cependant l’inverse est impossible, à savoir utiliser des hashes pour recréer les mots de passe de départ.

Lorsqu’un utilisateur se connecte à Facebook, le mot de passe saisi passe par un hashage unilatéral. Si le résultat correspond à ce que Facebook a en mémoire, la connexion est établie.

Facebook a utilisé la même méthode avec ces mots de passe que celle utilisée par les experts qui ont récupéré les données Adobe. Idem donc pour les mots de passe achetés sur le marché noir : si un mot de passe récupéré, hashé par Facebook, s’avère correspondre à ce que l’entreprise a en mémoire, Facebook sait que cela correspond à un mot de passe de l’un de ses utilisateurs.

Bien que le fait que Facebook protège ses utilisateurs (heureusement !) de cette manière ne soit pas nouveau, nous ne savions tout de même pas qu’il payait des hackers pour le faire.

Il s’agit ici d’une révélation, même si cela n’est pas surprenant si l’on y réfléchi : comment Facebook pourrait se procurer ces mots de passe sinon ?

Néanmoins, cela pose une question éthique intéressante. Est qu’une stratégie efficace concernant les mots de passe doit passer par le subventionnement de cybercriminels.

Cela peut être comparé au paiement des rançons exigées par les ransomwares, et il s’agit d’un sujet sur lequel les services de police ont essayé de discuter en profondeur avec les victimes.

En réalité, en Juillet, la police nationale hollandaise et Europol ont lancé un portail appelé No More Ransom, destiné à aider les victimes à récupérer leurs données, sans avoir à payer de rançons aux cybercriminels qui peuvent, sait-on jamais, essayer de vous relancer une deuxième fois, ou une troisième fois, …etc.

Que pensent les services de police à propos de Facebook qui remplit les poches des cybercriminels avec de l’argent ? Que doivent ils penser, étant donné que cette démarche est initiée pour protéger les utilisateurs de toutes sortes de menaces, y compris les malwares tels que les ransomwares ?

Merci de nous faire part de vos commentaires dans la section ci-dessous.

Et si vous êtes à la recherche d’une alternative concernant la réutilisation des mêmes mots de passe sur différents sites internet, nous avons une solution pour vous. En effet, pourquoi ne pas utiliser un gestionnaire de mots de passe ? De plus vous trouverez ci-dessous une vidéo pour vous permettre de choisir le mot de passe robuste pour verrouiller ce dernier !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez :
Billet inspiré de Facebook is buying up stolen passwords on the black market, par Lisa Vaas, Sophos NakedSecurity.