Le site LeakedSource a mis la main sur la base de données fuitée de Last.fm en 2012. Au total, ce sont les données de plus de 43 millions d'utilisateurs qui sont sorties, chiffrées en MD5, sans salage. Une sécurité minimale, même pour l'époque.
À chaque jour sa réapparition de fuite de données. Le service LeakedSource a récupéré plus de 43 millions d'identifiants d'utilisateurs de Last.fm, un service de musique populaire il y a encore quelques années. La fuite ne date pourtant pas d'hier, mais de mars 2012, comme l'avait signalé à l'époque Last.fm lui-même. LeakedSource a simplement récemment reçu ces données. Elles ont été vérifiées par deux journalistes, dont un de Softpedia.
Des mots de passe à peine chiffrés
Dans les faits, « chaque entrée contient un nom d'utilisateur, une adresse email, un mot de passe, une date d'inscription et quelques autres données internes » explique le service. C'est là que le bât blesse : les mots de passe sont hachés en MD5, sans salage. Pour mémoire, l'algorithme MD5 est considéré comme fragile depuis au moins 2004. L'absence de salage, c'est-à-dire de caractères aléatoires pour renforcer le chiffrement, est aussi un problème important. L'équipe indique avoir déchiffré 96 % de ces mots de passe en l'espace de deux heures.
La réapparition de ces données suit de quelques jours celle de 68 millions d'identifiants de Dropbox, aussi datés de 2012, comme nous l'a confirmé la société. Chez cette dernière, une partie des données était chiffrée avec bcrypt, l'autre avec SHA-1, ce qui est un large cran au-dessus du niveau minimal que représente MD5. Dropbox a d'ailleurs forcé la réinitialisation des mots de passe de ses utilisateurs, ce que n'a pas encore fait aujourd'hui Last.fm. Tout juste avait-il demandé à ses membres de changer de mot de passe en 2012.
Le problème de la réutilisation des identifiants
Il y a quatre ans, la société recommandait déjà que ce mot de passe soit différent de celui utilisé sur d'autres services. La réutilisation des mots de passe par les internautes est d'ailleurs devenue un large problème, même pour les sites qui n'ont pas connu de problème de sécurité.
Spotify nous confirmait ainsi hier avoir obligé une partie de ses utilisateurs à changer de mots de passe, retrouvés dans des bases de données fuitées d'autres services. L'entreprise suédoise surveille d'ailleurs activement ces publications pour prévenir ses membres.
Comme d'habitude, nous vous recommandons de changer votre mot de passe, si vous ne l'avez pas fait depuis l'époque, et de vous assurer qu'il n'a pas été réutilisé ailleurs. Vous pouvez vous appuyer sur notre guide complet pour créer un mot de passe robuste. Il est aussi recommandé d'activer l'authentification en deux étapes partout où vous le pouvez, deux sécurités valant mieux qu'une.
Commentaires (22)
#1
L’occasion de nous rappeler de l’existence de ce site qui fut un bel outil de découverte musicale il y a 10 ans..
#2
#3
Etape 1 : Créer un ordre des sysadmin, comme pour les médecins, les architectes, ou les avocats.
Etape 2 : Interdire d’exercer les sysadmin ayant laissé passer des chiffrements en clair, en MD5, ou sans salage.
Etape 3 : Enjoy
Les sysadmin peuvent faire énormément de dégâts à autrui, s’ils sont paresseux ou incompétents.
Ils devraient avoir une épée de damoclès au dessus d’eux, comme n’importe quel autre métier à responsabilités similaires.
#4
#5
#6
#7
La vache, du MD5 sans salage, même pour des trucs de base non sensibles, je n’oserais pas (alors que je ne suis pas sysadmin mais que je fais quand même parfois du back).
Bon avec les derniers articles sur NXI, va vraiment falloir investir dans Keepass ou autre parce que c’est vraiment le bordel chez les sites pros (sérieux ça fait vraiment pas pro). Histoire d’avoir une gestion saine de mes pwd.
#8
Le placement de produit porte ses fruits ici
#9
Keepass toussa c’ets bien gentil, mais quand je veux me connecter à un site depuis un pc qui n’est pas à moi et qu’il n’ya pas les permissions de lancer un exe (aka PC du taff :o) comment je fais ? Et sur mon téléphone ? Et pour garder la db synchro si elle est sur mon pc et mon téléphone ?
J’adore keepass mais c’est bien quand on n’utilise qu’un seul pc ou alors des PC sur le meme lan avec db sur un share mais bon…
Dashlane dans le principe est top, sauf que closed-source + entreprise privée == NONONONONO
#10
Encryptr ?
#11
un cerveau ?
#12
#13
Moi j’étais choqué quand j’ai appris l’existence du sitehttps://haveibeenpwned.com/
Bordel il y a déjà eu de sacrés casseroles, et ça continue…
Ça m’a permis de savoir que mes ID avaient été compromis sur plusieurs sites…
#14
#15
KeePass existe aussi en version “portable”, donc pas de soucis à ce niveau, il peut se promener sur une clef USB et mettre à disposition sa base de données de MDP partout 
" />
#16
#17
Tu peux share ta bdd sur un service cloud, ell est chiffrée et faut une master key forte ou un certif, dc aucun risque ou presque. Ça marche tres bien et aucun soucis de synchro pour moi perso
#18
https://keeweb.info/
#19
#20
Des mots de passe à peine chiffrés
Non. Les mots de passe sont complètement chiffrés.
…Mais facilement déchiffrables.
#21
#22
J’utilise keepass sans pb : syncro sur dropbox (y’a une manip expliqué sur leur site), application keepas sur mon android, et une de mes photos en guise de clé