La base de données derrière Wife Lovers, un site dédié à la publication de nu et à l’érotisme, et mettant en scène des épouses, a été la cible d’une violation de données, exposant au total, plus de 1,2 million d’adresses email uniques.
Wife Lovers est l’un des huit sites web pour adultes qui utilise cette base de données, mettant ainsi en danger les messages intimes des utilisateurs et les photos censées être celles de leurs épouses, dont certaines ignorent probablement, pour commencer, que leurs photos ont été publiées !
Les autres sites concernés sont :
- asiansex4u.com
- bbwsex4u.com
- indiansex4u.com
- nudeafrica.com
- nudelatins.com
- nudemen.com
- wifeposter.com
Le propriétaire de Wife Lovers et des sept autres sites, identifié par Ars Technica comme Robert Angelini, a déclaré sur son site Wife Lovers qu’il avait été averti, par une source que “nous estimons être crédible”, qu’un expert en sécurité anonyme a eu accès aux tableaux de bord des messages au niveau des sites et avait téléchargé les données personnelles des utilisateurs.
Les données volées incluaient :
- des adresses email,
- des IDs de publication,
- des mots de passe chiffrés,
- des adresses IP utilisées pour s’inscrire sur les sites.
Angelini a déclaré à Ars samedi matin que, au cours de ses 21 années d’activité, moins de 107 000 personnes avaient publiés au niveau de ses huit sites web pour adultes. Pourtant, la base de données de 98 Mo reçue vendredi était mystérieusement volumineuse : elle avait 12 fois plus d’adresses email que le nombre total d’utilisateurs ayant posté sur les sites, a déclaré Angelini à Ars. Nous ne savons pas si pas toutes les adresses email appartiennent aux véritables utilisateurs.
Angelini a confirmé la faille samedi matin et a désactivé les sites. Il a également mis en place une notification sur les sites fermés, invitant les utilisateurs à modifier leurs mots de passe sur d’autres services, en particulier s’ils les ont réutilisés effectivement ailleurs :
Lorsque vous publiez sur le tableau de bord des messages, votre adresse email et votre identifiant de publication sont déjà indiqués dans votre message. Ainsi, si une personne est capable de “cracker le code” du mot de passe de publication chiffré, elle pourra peut-être se connecter à d’autres sites web sur lesquels vous utilisez le même mot de passe, associé à cet identifiant ou à cette adresse email de publication, que celui utilisé sur notre site web.
Pour ce qui est de déchiffrer le code, cela a été fait presque instantanément. Le chiffrement utilisé pour les mots de passe ne valait rien : comme le décrit Dan Goodin d’Ars Technica, il s’agit d’un schéma de hachage vieux de quatre décennies, que l’expert en piratage de mots de passe Jens Steube, a reconnu et à réussi à déchiffrer ensuite un hash donné en 7 minutes !
13 chars base64 usually descrypt (-m 1500 in hashcat)
VTB3d1ZQYv.7o:ecotone
— hashcat (@hashcat) 18 octobre 2018
La fonction de hachage est appelée DEScrypt. Créé en 1979, elle est basée sur l’ancienne norme Data Encryption Standard (DES) : un algorithme que la National Security Agency (NSA) avait adapté, après qu’IBM l’ait soumis en tant que norme : 1) en modifiant l’algorithme pour fermer une backdoor que la NSA, à priori, connaissait secrètement, 2) en réduisant de moitié la taille de la clé, la rendant trop petite pour résister aux attaques par force brute.
Jeremi M. Gosney, expert en sécurité des mots de passe et CEO de la société de piratage de mots de passe Terahas, a déclaré à Ars que :
L’algorithme est littéralement archaïque par rapport aux normes modernes, conçu il y a 40 ans et totalement dépassé depuis 20 ans déjà. Il est salé, mais l’espace de salage est très petit. Il y aura donc des milliers de hachages partageant le même salage, signifiant ainsi que vous ne tirerez pas pleinement parti de celui-ci.
Angelini, quant à lui, envisage la possibilité qu’un membre de la famille avec une rancune particulière soit derrière cette faille. D’après un email qu’il a envoyé à Ars :
Elle est passionnée d’informatique et l’année dernière, j’ai exigé une ordonnance restrictive contre elle. Je me demande s’il s’agit de la même personne [qui a piraté les sites].
Une autre bonne question à poser peut-être : qui est responsable de l’utilisation d’un tel hachage poussiéreux et moisi, aussi frais que du poisson vieux de 40 ans ?
Goodin note que les utilisateurs des sites ont été autorisés à associer publiquement leurs comptes à une adresse email, tout en associant une adresse email privée différente à ces derniers. Cela pourrait entraîner la divulgation non seulement des identifiants de profil des utilisateurs, mais également de leurs identités :
Une recherche sur le web concernant certaines de ces adresses email privées a rapidement permis de trouver des comptes sur Instagram, Amazon et d’autres sites majeurs contenant les noms et prénoms des utilisateurs, leur emplacement géographique et des informations sur leurs loisirs, les membres de leur famille et d’autres données personnelles. Le nom qu’un utilisateur avait donné n’était en réalité pas son véritable nom, mais il correspondait aux noms d’utilisateurs qu’il affichait publiquement sur une demi-douzaine d’autres sites.
Troy Hunt, qui exploite le site “Have I Been Pwned“, a répertorié la violation. Toutefois, étant donné la nature délicate de l’exposition, il a indiqué que les enregistrements étaient sensibles, signifiant ainsi qu’il ne rendrait pas les adresses email accessibles à des fins de recherche conformément à sa pratique habituelle.
C’est ainsi que Hunt a traité Ashley Madison : une faille qui a débouché sur des menaces d’extorsion de fonds et de multiples suicides associés.
Hunt :
Cet incident est une violation énorme de la vie privée et pourrait être dévastateur pour des personnes comme [un des noms de la base de données exposée] s’il est démasqué (ou, je suppose, si sa femme le découvre).
Billet inspiré de Adult websites shuttered after 1.2 million user details exposed, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.