Kickstarter victime d’une attaque, mais aucune information bancaire dérobée

Kickstarter, le service bien connu de financement participatif, a subi une attaque la semaine dernière. La société a annoncé durant la journée de samedi qu’une fuite de données avait bien eu lieu. Toutefois, les données bancaires ne sont pas en danger. Explications.

Kickstarter et plusieurs projets hébergés en cours de financement

Un service brassant des sommes parfois rondelettes... 

Beaucoup connaissent déjà Kickstarter, un site permettant de mettre en place un projet et d’appeler les internautes à le financer. De nombreux concepts ont ainsi pu déboucher sur une véritable existence commerciale grâce à ce service, rémunéré en gardant un pourcentage des sommes perçues. On se rappelle par exemple que l’association VideoLAN avait largement remporté son pari sur Kickstarter afin de financer le développement d’une version pour Windows 8, pratiquement terminée aujourd’hui. Aussi, de nombreux jeux vidéo, dont certains ont soulevé d'importantes sommes ont été ainsi financés, comme nous l'expliquions dans notre dossier sur le financement participatif dans ce domaine.

C’est sans doute l’aspect financier du service qui a attiré les pirates. Du propre aveu de l’entreprise, l’information sur une brèche de sécurité dans ses infrastructures est venue mercredi dernier, de la part d’une agence fédérale dont le nom n’a pas été donné. La faille de sécurité a été rapidement corrigée mais la fuite d’informations avait déjà eu lieu. En outre, des mesures ont été prises pour que ce type d’opération ne puisse plus avoir lieu à l’avenir.

... mais qui ne stocke aucune information bancaire 

Quelles sont les informations qui ont été dérobées ? Kickstarter insiste évidemment sur le fait qu’aucune information bancaire n’a été dérobée. Et pour cause : l’entreprise ne les stocke pas. Cela ne signifie pas cependant que les données volées ne sont pas potentiellement dangereuses : noms d’utilisateurs, adresses email, adresses de mailing list, numéros de téléphones et mots de passe. Ces derniers étaient chiffrés, ce qui signifie que les pirates ne peuvent pas accéder dans l’immédiat à des informations plus sensibles, mais ledit chiffrement ne pourra pas les retenir indéfiniment. Pour information, chaque mot de passe est salé indépendamment et haché plusieurs fois (SHA-1).

Pour éviter une autre fuite d’informations, Kickstarter a procédé principalement à deux actions. Ceux qui ont un compte classique ont ainsi vu leur mot de passe réinitialisé. Ils ont normalement reçu un email expliquant la situation et les invitant à se reconnecter via un lien qui leur demandera de choisir un nouveau mot de passe. Dans le cas d’un compte créé grâce à Facebook Connect, le lien avec le réseau social a été automatiquement rompu pour éviter tout problème. Ce qui n’a malheureusement pas empêché deux comptes d’être compromis. Selon Kickstarter, la situation est sous contrôle et les deux utilisateurs ont été contactés pour que les comptes soient à nouveau sécurisés.

Les dangers de la réutilisation des mots de passe 

Le danger pour les utilisateurs est cependant toujours présent dans le cas d’une réutilisation multiple du même mot de passe. Trop d’internautes créent des comptes en utilisant le même identifiant, qui peut être soit un pseudonyme identique, soit la même adresse email. Pour simplifier la navigation quotidienne, un mot de passe identique est choisi pour plusieurs services. Le problème est que si le couple identifiant et mot de passe est découvert, il permet alors d’accéder à tous les comptes créés de cette manière. Aussi, même si Kickstarter a réinitialisé les mots de passe, il faudra veiller à les changer pour les autres services où ils auraient pu être utilisés.

En outre, le vol d’informations personnelles telles que les noms, prénoms, adresses email et autres, peuvent permettre la mise en place d’attaques par phishing personnalisées. Ce peut être le cas pour Kickstarter car les pirates ont ainsi une vision de ce qui intéresse un internaute en particulier. Il peut donc y avoir des suites, sur la seule base des quelques informations dérobées. Un danger qui existe pour chaque faille de sécurité découverte de cette manière.

Or, le paysage de la sécurité est justement en pleine ébullition actuellement. Dans un monde post-Snowden, il est devenu clair pour les internautes que les agences de renseignement ne font pas grand cas du respect de la vie privée. Un paysage encore affecté par la longue chaine de piratages et fuites d’informations que l’on peut observer depuis quelques mois : les chaines américaines Target et Neiman Marcus, Snapchat ou encore Yahoo font ainsi partie des victimes.