Le forum officiel de µTorrent a été indirectement attaqué. Un lot de 35 000 enregistrements a ainsi été dérobé. Bien que les mots de passe aient été hachés (SHA1) et salés, il est recommandé aux utilisateurs d’en changer.
Chaque jour apporte décidément une annonce de sécurité importante ou presque. Mais à la différence des fuites de données constatées sur LinkedIn, MySpace, Tumblr ou Vkontakte, celle du forum de µTorrent – qui appartient à BitTorrent – apparaît comme plus récente. En outre, il y a cette fois confirmation qu’il s’agit bien d’une attaque, et non d'une récupération chez les utilisateurs via des malwares, comme ce pourrait être le cas de Twitter.
Le bulletin de sécurité a été émis initialement il y a trois jours. L’équipe de µTorrent a ainsi indiqué : « Le 6 juin, nous avons été informés d’une faille de sécurité chez le prestataire qui nous fournit nos forums. Cette vulnérabilité apparaît comme ayant été exploitée chez d’autres clients de ce prestataire, mais elle a permis aussi aux pirates d’accéder à des informations sur d’autres comptes. Conséquence, ils ont pu télécharger une liste de nos utilisateurs du forum ». Il s'agirait d'une attaque indirecte.
Des mots de passe hachés et salés
Le chercheur en sécurité Troy Hunt, fondateur du site « Have I Been Pwnd ? » (qui permet de savoir en tapant son adresse si elle fait partie d’une fuite), a indiqué à The Hacker News qu’il avait pu mettre la main sur les données de µTorrent. S’y trouve un lot de 35 000 enregistrements comprenant les noms d’utilisateurs, identifiants et mots de passe, ces derniers étant hachés par SHA1 et salés. Mêmes constats chez Motherboard, qui a également récupéré les données. Un porte-parole – de BitTorrent cette fois – leur a également répété les mêmes propos que ceux du communiqué original.
Il est dans tous les cas conseillé de changer de mot de passe, même si 35 000 enregistrements ne représentent pas la totalité des inscrits. µTorrent insiste d’autant plus pour les utilisateurs qui auraient eu la mauvaise idée de réutiliser le mot de passe sur plusieurs autres services. Nous n’insisterons jamais assez sur ce point : la réutilisation est toujours une mauvaise idée. Même si elle fait gagner du temps et se révèle plus « pratique », elle entraine mécaniquement le piratage des autres comptes, pour peu que l’adresse email soit elle aussi la même.
On ne sait pas où exactement se situait la brèche
Il manque cependant plusieurs précisions importantes. On ne sait pas par exemple quand l’attaque a eu lieu exactement contre le forum. Autre inconnue : le nom du prestataire. Comme le suggère The Hacker News, il pourrait s’agir d'une société utilisant Power Board, qu'on retrouve effectivement pour le forum officiel. Le communiqué précisant que d'autres clients ont été touchés, l'attaque pourrait avoir été dirigée contre ce prestataire, avec une répercussion sur plusieurs comptes.
Il a également été indiqué que le prestataire avait effectué des modifications qui empêchaient les fichiers hachés d’être utilisés comme vecteurs d’attaque. Sans information complémentaire, on ne peut pas savoir non plus en quoi consistaient ces changements. Dans tous les cas, si les mots de passe peuvent être obtenus et déchiffrés, ils représentent toujours un danger du fait de la réutilisation potentielle.
