Le 12 mai, Tumblr indiquait qu’un certain nombre d’utilisateurs étaient concernés par une fuite de mots de passe. L’éditeur semblait indiquer que la brèche n’était guère importante. Il s’avère que plus de 65 millions de personnes ont été touchées.
Non seulement l’histoire se répète, mais les ingrédients et intervenants sont pratiquement les mêmes. Seul le nom de la société concernée change : Tumblr. Racheté par Yahoo, l’éditeur avait publié un court message le 12 mai pour expliquer qu’une brèche avait permis le vol de mots de passe. Sans donner de chiffre, il laissait entendre qu’un petit nombre seulement d’utilisateurs avait été touché. D’ailleurs, de nouveaux mots de passe allaient leur être demandés.
Des mots de passe hachés et salés
Motherboard, qui s’est penché également sur cette fuite, a eu confirmation par le chercheur Troy Hunt – qui s’occupe parallèlement du site Have I Been Pwned – que la fuite touchait en fait 65 469 298 comptes, comprenant à la fois les adresses email et les mots de passe. D’après Peace, pirate qui possédait déjà les données des fuites de LinkedIn et MySpace, les mots de passe étaient hachés via SHA1 et salés.
À cause de ce salage (des octets aléatoires sont ajoutés dans les hashs), Peace estime que ces données sont essentiellement une liste d’adresses email. C’est d’ailleurs pourquoi il n’aurait réussi qu’à les revendre 150 dollars sur le site The Real Deal, où les données de LinkedIn et MySpace avaient été vendues pour quelques bitcoins.
LinkedIn, MySpace, Tumblr : de nombreux points communs
Le cas présente de nombreuses similitudes avec ces brèches. À chaque fois, il semble que des pirates aient exploité une ou plusieurs brèches dans la défense, voire des failles de sécurité, et qu’ils aient gardé ces informations dormantes pendant plusieurs années. Troy Hunt estime d’ailleurs dans un billet publié hier qu’en conséquence de l’âge probable des données de Tumblr, environ la moitié seulement des mots de passe seraient utiles.
Cependant, l’âge même de ces données peut se retourner contre les utilisateurs de différentes manières, particulièrement si les mots de passe n’ont pas été changés depuis. Même si aujourd’hui les pratiques de sécurité laissent globalement à désirer, elles étaient encore pires il y a quelques années. La question de la réutilisation des mots de passe pourrait d'ailleurs se poser : même si les membres ont bien changé leurs identifiants sur Tumblr depuis l'époque de la fuite, ceux-ci ont pu les conserver sur d'autres services qu'ils estiment à l'abri.
À noter que Tumblr n'a pas encore réagi à ces nouvelles informations.
