Le site LeakedSource a mis la main sur la base de données fuitée de Last.fm en 2012. Au total, ce sont les données de plus de 43 millions d'utilisateurs qui sont sorties, chiffrées en MD5, sans salage. Une sécurité minimale, même pour l'époque.
À chaque jour sa réapparition de fuite de données. Le service LeakedSource a récupéré plus de 43 millions d'identifiants d'utilisateurs de Last.fm, un service de musique populaire il y a encore quelques années. La fuite ne date pourtant pas d'hier, mais de mars 2012, comme l'avait signalé à l'époque Last.fm lui-même. LeakedSource a simplement récemment reçu ces données. Elles ont été vérifiées par deux journalistes, dont un de Softpedia.
Des mots de passe à peine chiffrés
Dans les faits, « chaque entrée contient un nom d'utilisateur, une adresse email, un mot de passe, une date d'inscription et quelques autres données internes » explique le service. C'est là que le bât blesse : les mots de passe sont hachés en MD5, sans salage. Pour mémoire, l'algorithme MD5 est considéré comme fragile depuis au moins 2004. L'absence de salage, c'est-à-dire de caractères aléatoires pour renforcer le chiffrement, est aussi un problème important. L'équipe indique avoir déchiffré 96 % de ces mots de passe en l'espace de deux heures.
La réapparition de ces données suit de quelques jours celle de 68 millions d'identifiants de Dropbox, aussi datés de 2012, comme nous l'a confirmé la société. Chez cette dernière, une partie des données était chiffrée avec bcrypt, l'autre avec SHA-1, ce qui est un large cran au-dessus du niveau minimal que représente MD5. Dropbox a d'ailleurs forcé la réinitialisation des mots de passe de ses utilisateurs, ce que n'a pas encore fait aujourd'hui Last.fm. Tout juste avait-il demandé à ses membres de changer de mot de passe en 2012.
Le problème de la réutilisation des identifiants
Il y a quatre ans, la société recommandait déjà que ce mot de passe soit différent de celui utilisé sur d'autres services. La réutilisation des mots de passe par les internautes est d'ailleurs devenue un large problème, même pour les sites qui n'ont pas connu de problème de sécurité.
Spotify nous confirmait ainsi hier avoir obligé une partie de ses utilisateurs à changer de mots de passe, retrouvés dans des bases de données fuitées d'autres services. L'entreprise suédoise surveille d'ailleurs activement ces publications pour prévenir ses membres.
Comme d'habitude, nous vous recommandons de changer votre mot de passe, si vous ne l'avez pas fait depuis l'époque, et de vous assurer qu'il n'a pas été réutilisé ailleurs. Vous pouvez vous appuyer sur notre guide complet pour créer un mot de passe robuste. Il est aussi recommandé d'activer l'authentification en deux étapes partout où vous le pouvez, deux sécurités valant mieux qu'une.
