Un des serveurs de Trillian a été victime d'une fuite de données personnelles (mot de passe et identifiants). Cela ne concerne pas le logiciel phare de Cerulean Studios, mais ses anciens forum et blog.
Trillian est un logiciel qui prend en charge de multiples messageries instantanées (Facebook, Google, AIM, ICQ, XMPP, Yahoo!, Twitter,etc.) et qui les regroupe au sein d'un même client. Cerulean Studios, la société qui l'édite, revient aujourd'hui sur le devant de la scène avec une mauvaise nouvelle : un de ses serveurs a été victime d'une faille de sécurité qui a entrainé une fuite de données personnelles.
Des données vieilles et des mots de passe hachés/salés, mais prudence tout de même
Cela ne concerne pas directement le client de Trillian, mais d'un serveur « isolé du reste de son réseau » et qui hébergeait son forum (vBulletin) ainsi que son blog (Wordpress). Tous les deux n'étaient plus utilisés depuis longtemps et ils n'avaient été conservés en ligne qu'à « des fins d'archivage ». La société ajoute que « la plupart des données étaient vieilles de 3 à 14 ans ». Dans le lot, on retrouve tout de même les identifiants ainsi que les empreintes MD5 hachées et salées des mots de passe des utilisateurs des deux services.
Mais le problème est toujours le même : si vous avez utilisé les mêmes authentifiants pour le blog, le forum et le client, alors il faudra changer votre mot de passe dès que possible. Prudente, la société explique en effet que, « bien que les mots de passe dérobés soient hachés, la puissance de calcul actuelle laisse penser que cibler un mot de passe spécifique est dans le domaine du possible ».
Prendre l'habitude d'une bonne hygiène numérique pour ses mots de passe
Une fois encore – et on ne le répétera jamais assez – utiliser le même mot de passe sur plusieurs services/sites est une mauvaise idée, la preuve encore aujourd'hui. Il faut autant que possible en choisir un unique à chaque fois, ou s'aider d'un gestionnaire de mot de passe si besoin (attention à bien choisir un mot de passe principal suffisamment robuste).
L'équipe technique précise que le serveur incriminé a été mis hors ligne dès qu'elle a été mise au courant de la brèche. Il n'est pas prévu de le rebrancher puisqu'il ne s'agissait que d'archives disponibles pour référence.
