Plus de 427 millions de mots de passe provenant de MySpace sont actuellement en vente. L’entreprise n’a encore rien confirmé, mais des tests préliminaires montrent que les données sont bien ce qu’elles semblent être. Il est recommandé aux utilisateurs de changer leur mot de passe au plus vite.
Alors que la brèche dans LinkedIn s’est révélée récemment beaucoup plus importante que prévu, MySpace pourrait battre tous les records. Selon LeakedSource, qui avait déjà donné de nombreux détails sur LinkedIn, ce ne sont pas moins de 427 484 128 mots de passe issus de MySpace qui ont fuité. Ce piratage ne serait pas récent, mais aucun élément chronologique ne permet d’en savoir plus pour l’instant.
360 millions de combinaisons adresse et mot de passe
MySpace n’a pas encore communiqué sur le sujet, alors que l’annonce de LeakedSource date de vendredi. On sait ainsi que sur les 427 millions de passe, 360 213 024 « seulement » sont en fait dangereux, car reliés à une adresse email. 111 341 258 sont même accompagnés d'un nom d'utilisateur. Le site Motherboard, qui s’intéresse à l’affaire, indique avoir envoyé à LeakedSource cinq adresses appartenant à des employés ou amis, le site ayant renvoyé le bon mot de passe à chaque fois. Une opération également réalisée par Fortune.
Les identifiants ne bénéficient par ailleurs que d’un simple hachage SHA1, sans aucun salage. À cause de cette très faible protection, LeakedSource estime être en mesure de récupérer les données en clair dans 98 à 99 % des cas, d’ici quelques jours seulement.
La conjonction d’une adresse et d’un mot de passe est pour rappel dangereuse, car elle offre aux pirates la possibilité d’aller vérifier sur d’autres sites si le même duo a été réutilisé. Le fait d’employer plusieurs fois le même mot de passe représente un danger courant, qui s’exprime encore davantage quand le mot retenu est de faible force. Dans le cas de MySpace, les statistiques ne sont encore une fois guère brillantes.
« password1 »
Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa ». Dans la liste, on retrouve également de nombreux mots composés d’une suite de lettres minuscules accompagnées d’un « 1 », sans doute le témoignage d’une consigne de sécurité mal comprise : « password1 », « myspace1 », « qwerty1 », « fuckyou1 » ou encore « iloveyou1 ». Les éternels « abc123 » et « 12346 » sont également présents.
Ces données ont été mises en vente vendredi après-midi par un pirate nommé « Peace ». Il en demande la modique somme de 6 bitcoins, soit environ 2 880 euros à l’heure où nous écrivons ces lignes. Motherboard, qui est également entré en contact avec lui, rapporte qu’il a souhaité vendre le lot avant que des « idiots ne commencent à le diffuser ».
Absence de réaction
Plusieurs signes indiquent que ce piratage remonte déjà à un petit moment. La réaction de Peace semble indiquer que d’autres personnes possèdent ces informations et pourraient commencer à les proposer ailleurs. Selon LeakedSource, il s’agit tout simplement de la « nature de l’information », ajoutant que « trois personnes peuvent garder un secret, si deux d’entre elles sont mortes ».
Mais que la brèche soit ancienne ou non, elle pose la question de la communication par MySpace. La société n’a toujours pas officiellement réagi. Motherboard indique qu’en dépit de multiples demandes, aucune réponse n’a été donnée.
Dans tous les cas, il est fortement recommandé de changer son mot de passe immédiatement, même si le compte n’est plus utilisé. Il est toujours possible avec les bons identifiants de récupérer des informations personnelles qui pourraient servir pour d’autres attaques, sans parler du risque de les réutiliser sur d’autres sites. Nos confrères donnent d’ailleurs le même conseil que celui que nous avions mentionné dans le cas de LinkedIn : l’utilisation d’un gestionnaire de mots de passe comme 1Password, Dashlane, KeePass ou LastPass, afin de générer de longs mots forts.
