Il y aura bientôt deux mois, le site de rencontres Ashley Madison a été durement piraté. L’Impact Team, le groupe de pirates à l’origine de l’attaque, s’est emparé des informations de 36 millions de comptes. Une énorme fuite de données qui montre encore une fois que les mots de passe choisis sont loin, très loin d’assurer la moindre protection.
Ashley Madison est un site de rencontres, mais d’un genre particulier. L’objectif est affiché avec franchise et fierté : aider les personnes en couple, voire mariées, à aller voir ailleurs dans la plus grande discrétion. Une aura sulfureuse sur laquelle les projecteurs se sont brutalement braqués il y a un peu moins de deux mois, quand un groupe de pirates s’est emparé des données d'environ 37 millions de comptes utilisateurs. De quoi donner immédiatement des sueurs froides aux inscrits.
Toutes les données personnelles des comptes
Lorsque l’annonce a été confirmée par l’éditeur Avid Life Media (ALM), la menace est devenue très sérieuse et la société a d’ailleurs souhaité arrondir les angles. Supprimer complètement son profil sur Ashley Madison était ainsi une opération payante, facturée 19 dollars. ALM avait rendu l’opération gratuite, mais les pirates avaient averti que non seulement cette procédure n’était pas aussi complète qu’indiqué, mais que les données avaient déjà été récupérées. Ils demandaient que les sites Ashley Madison et Established Men soient fermés définitivement, sans quoi les données deviendraient publiques.
Moins d’un mois plus tard, la menace était mise à exécution : plusieurs gigaoctets de données ont été mis en ligne, et beaucoup se sont jetés sur les fichiers pour vérifier leur authenticité. Un fichier d’environ 10 Go s’est ainsi retrouvé partagé par BitTorrent et contenait bien les emails, données de profils, listes de transactions par carte bancaire et autres informations présentes dans les comptes Ashley Madison. Tout était présent : noms, prénoms, adresses, descriptions, poids, taille, numéro de téléphone et ainsi de suite.
Des erreurs dans la sécurité et une utilisation internationale
Des données sensibles protégées par un mot de passe chiffré et salé, via bcrypt. En temps normal, ce dernier aurait dû représenter un sérieux défi : très gourmand en puissance de calcul, il aurait réclamé de nombreuses années pour déchiffrer le contenu. Mais un groupe de « crackers », CynoSure Prime, a révélé il y a quelques jours que des erreurs de programmation permettaient un décryptage beaucoup plus rapide pour environ 15 millions de comptes. En fait, les mots de passe de ces derniers étaient stockés dans la base de données (qui atteignait 100 Go après plusieurs semaines de publications) en ayant été passés seulement dans la moulinette MD5. Avec ce dernier, couplé au fait que les développeurs convertissaient automatiquement les majuscules en minuscules avant le hachage, a permis de tester plusieurs millions de possibilités chaque seconde.
Des choix opérés sans doute (c’est l’avis du groupe de crackers) pour accélérer les étapes de vérification et de connexion, ALM n’ayant pas voulu ralentir son site. Le résultat est que les données sont en circulation depuis plusieurs semaines, et l’on sait par exemple qu’environ 15 000 comptes ont été créés avec adresses email officielles provenant d’instances gouvernementales américaines. On trouve également plus de 1 300 comptes appartenant à des français, y compris parfois avec des adresses tout aussi officielles.
Mots de passe : un bien triste constat
Et si la situation n’était déjà pas assez navrante, on connaît désormais les mots de passe utilisés par plusieurs millions d’internautes. Le constat est assez effarant, mais s’aligne avec le comportement de ceux qui n’ont pas imaginé une seconde qu’utiliser une adresse officielle pouvait être un problème. Le Top 10 des mots de passe les plus utilisés est ainsi : 123456, 12345, password, DEFAULT, 123456789, qwerty, 12345678, abc123, pussy et 1234567. Rien de différent finalement avec les mots de passe utilisés ailleurs, à une exception. Mais le caractère très sensible des activités du site ne semble pas avoir invité ses utilisateurs à une plus grande prudence.
Les statistiques fournies par CynoSure Prime sont particulièrement intéressantes et précises. Elles se basent sur un échantillon de 11,7 millions de mots de passe, dont on sait désormais que seuls 4,6 millions d’entre eux étaient uniques, mais tous sont considérés comme faibles. On sait en outre que le mot de passe « 123465 » a été utilisé 120 511 fois, « password » 39 448 fois, « DEFAULT » 34 275 fois, et ainsi de suite. Finalement, les utilisateurs d'Ashley Madison n'ont pas pris plus de précautions que sur LinkedIn, Adult Finder ou encore chez Sony Pictures.
Déni, remord et humour comme sources d’inspiration
Quelques jours plus tard, CynoSure Prime extirpait de la base des mots de passe plus longs, et qui avaient nécessairement pris plus de temps à trouver. Constat intéressant : au moins une partie des utilisateurs d’Ashley Madison se sentait coupable d’utiliser un tel service. On jugera des mots de passe employés :
- ishouldnotbedoingthis : « Je ne devrais pas faire ça »
- ithinkilovemywife : « Je pense que j’aime ma femme »
- donteventhinkaboutit : « N’y pense même pas »
- justcheckingitout : « Je ne fais que regarder »
- goodguydoingthewrongthing : « Un mec bien faisant une erreur »
- youwillneverfindout : « Tu ne sauras jamais »
- allthegoodpasswordshavegone : « Tous les bons mots de passe ont été pris »
On pourrait être tenté de dire que ces mots de passe sont meilleurs que ceux mentionnés plus haut. S’il faut vraiment établir une « hiérarchie du pire », alors c’est le cas. Mais comme le rappelle CynoSure Prime, les suites de mots composants des phrases simples sont particulièrement vulnérables. En outre, il n’y a que des lettres, toutes en minuscules, même si ajouter des majuscules à certains mots de passe ne changerait probablement rien, tant ils sont prévisibles. 630 000 mots de passe étaient même identiques aux identifiants correspondants.
On ne rappellera jamais assez qu’un bon mot de passe est unique et contient des lettres minuscules et majuscules, des chiffres ainsi que des symboles. Ils ne doivent pas présenter de mots issus du dictionnaire ou d’informations trop aisées à deviner, comme les dates d’anniversaires des enfants, le second prénom, le nom de jeune fille et ainsi de suite. Bien entendu, le service sur lequel on s’inscrit a un rôle crucial à jouer, car il doit non seulement stocker les informations de manière sécurisée, mais il peut définir ce qu’il accepte ou non comme mot de passe. Ashley Madison n’aurait par exemple jamais dû accepter un mot de passe identique à l’identifiant.
