Deux millions : c’est le nombre de comptes dérobés depuis plusieurs services en ligne tels que Facebook et Yahoo!. Les pirates ont mené leur opération grâce à un malware dont la mission était de récupérer les identifiants enregistrés dans l’ordinateur ou en écoutant les frappes au clavier.
Deux millions de mots de passe dérobés
La société Trustwave a publié un communiqué dans lequel elle explique une importante découverte. C’est ainsi que les identifiants de deux millions de comptes environ ont été dérobés par des pirates. Ces comptes recouvrent divers services :
- 1 580 000 identifiants de sites
- 320 000 identifiants de services email
- 41 000 identifiants de comptes FTP
- 3 000 identifiants d’accès du bureau à distance
- 3 000 identifiants de shells sécurisés
Pour obtenir ces informations, les pirates ont eu recours à un malware nommé Ponny. Ce dernier était chargé de récupérer les précieux identifiants via deux méthodes : soit en surveillant la frappe au clavier, soit en les récupérant directement dans le disque dur.
Il n’est pas précisé cependant la manière exacte dont le malware aurait pu être installé sur ces machines, en profitant de failles de sécurité sur des sites par exemple, couplées à d’autres failles sur les ordinateurs des internautes. Trustwave indique cependant que le navigateur a probablement joué un rôle déterminant dans le processus d'attaque.
Plus de la moitié des comptes compromis viennent de Facebook
Les identifiants proviennent à 57 % de Facebook, ce qui donne 1 140 000 de comptes compromis environ. Pour le reste, plus de 10 % proviennent de Yahoo!, presque 10 % de Google, presque 4 % de Twitter et environ 1,5 % de LinkedIn. Trustwave fait remarquer toutefois que la présence des sites vk.com et odnoklassniki.ru, des réseaux sociaux russes, pourrait renseigner sur l’origine des attaques.
Le malware Pony peut être commandé à distance par un composant nommé Pony Botnet Controller. C’est par ce biais que les machines infectées ont reçu l’ordre d’envoyer les informations dérobées à un serveur. Abby Ross, porte-parole de Trustwave, a indiqué à Mashable que le malware « était configuré de telle manière que la majorité des identifiants étaient envoyés à un serveur situé aux Pays-Bas. Ce serveur n’affiche pas la provenance des données et nous ne pouvons donc pas dire combien d’utilisateurs ont été affectés dans chaque pays. Cependant, nous pouvons confirmer que les attaquants ont ciblé des utilisateurs dans le monde entier, y compris aux États-Unis, en Allemagne, à Singapour, en Thaïlande et ailleurs ».
Les utilisateurs prévenus et les mots de passe réinitialisés
Selon Trustwave, les informations volées ne se seraient pas retrouvées en ligne de manière publique. Ce n’est qu’en analysant le code source qu’ils ont pu récupérer des clés qui ont par la suite été utilisées pour accéder au serveur C&C (Command and control). Par ailleurs, toutes les sociétés concernées ont été averties et ont précisé faire le nécessaire. Dans le cas de Facebook, la plus concernée par le problème, un porte-parole a bien confirmé que des emails étaient actuellement envoyés aux utilisateurs touchés par le vol d’informations et que les mots de passe étaient automatiquement remis à zéro.
Enfin, le bulletin de sécurité de Trustwave rappelle un élément qui revient systématiquement quand on parle de sécurité des mots de passe : trop d’entre eux sont encore faibles. Ainsi, presque 16 000 mots de passe étaient de la forme « 123456 ». On rappellera une fois de plus que quelques conseils élémentaires doivent être suivis pour concevoir un mot de passe efficace, surtout quand il s’agit d’accès à des services stockant de très nombreuses informations personnelles : utiliser des minuscules, des majuscules, des chiffres et au moins un caractère de ponctuation.
Commentaires (72)
#1
" /> 123456 le mot de passe pourri!!!
Au moins, perso avec 123456AZERTY, personne ne pourra passer " />
#2
En même temps, c’est bien de dire que les mots de passe sont faibles, mais il faudrait peut-être proposé un autre solution d’authentification au choix … => Clé/Certif, IP, …
Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …
Dans tous les cas, il ne passe probablement pas à travers Linux + Keepass ce keylogger :)
#3
#4
On sait quels sont les OS / versions impactés ?
#5
#6
#7
#8
avec norton 360, osef je suis protégé" />
#9
Contre les keyloggers, il y a ceci
#10
malware inspiré de Full Metal Panic Fumoffu ? :-)
#11
#12
#13
#14
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
3615 My life
Il y a 3 semaines, compte FF de ma chère et tendre (et très conne sur ce coup) amie piratée:
Elle reçoit un message privé d’un ami à elle (dont le compte a été piraté) lui indiquant “tu as vu la photo de toi qu’on a mit sur facebook !” suivit d’un lien …
Clickage sur le lien …
Arrivée sur un site lui redemandant de clicker sur une autorisation pour voir la photo et puis plus rien …
Gros freeze de la page …
Fermeture de la page et réouverture de FF …
Demande de relogging …
Re gros freeze total du PC …
Elle redémarre le PC qui lui semble bloqué …
Et paf, au redémarrage et réouverture de cession FF, ses mots de passe et login ne sont plus correct …
Moins de 12h après, une dizaine de ses amis FF lui demande par SMS à leur tour de quel photo elle parle …
#29
#30
Par contre, sommes nous sûrs que les shells sécurisés dont il est question sont bien des shells windows? Après pour peu que le keylogger utilise une faille de chrome ou firefox, ce pourrait tout à fait être sur d’autres systèmes…
ok, uk ou eu, apres y’a plein de variantes selon les regions/sous regions, j’ai ete etonne de la creativite sur ces points. En tout cas j’ai un uk au taf, c’est pas du qwerty pour les caracteres speciaux; j’ai aussi vu des claviers belges ou suisses, tu restes tjrs tres perturbe pour taper ton caractere sioux de ton mdp.
Bref, sisi l’humour me va des fois, je souligne juste que je ne met jamais de e accent dans un mot de passe; va pour tous les autres chars.
Désolé de t’avoir froisse, on est pas toujours habitue a changer de clavier en france profonde.
T’as un jour jeté un coup d’oeil à un clavier bépo ? :-P
C’est celui que j’utilise et faut pas se louper en choisissant son mot de passe si on veut pas s’arracher les cheveux à chercher… (pour de vrai un caractère contenant trois points, pas trois points à la suite)
#31
#32
#33
OMG, 1 140 000 millions de comptes ?
Ca fait environ 162 comptes par être humain sur Terre ! ^^
#34
#35
#36
#37
en même temps 16000 sur 2million ça fait moins de 1% c’est pas énorme.
Et puis comme dis c’est un key logguer alors le mdp peu être aussi compliqué qu’on veut ça ne change rien.
Pour le brouilleur de frappe au clavier je ne vois pas trop comment ça marche, les message windows doivent être toujours disponible vu que c’est une api de base de windows enfin bref
perso j’utilise keepass
#38
#39
#40
/rant
J’en profite pour gueuler contre Linkedin qui ne propose pas d’option pour cacher son adresse email à ses contacts. Je m’en suis rendu compte quand j’ai commencé à recevoir du spam sur une adresse qui était relativement préservée.
Quand je leur ai envoyé un email à ce sujet ils m’ont dit en gros “tu n’as qu’à avoir confiance en tes contacts”.
#41
les pirates ont eu recours à un malware nommé Ponny.
En exclu pour PCI, j’ai d’ailleurs les photos du malware! Attention, à pas ouvrir au boulot! " />
#42
Encore des 123456 ? Bien fait pour leur gueule. On devrait leur interdire de récupérer leur compte, ça leur ferait les pieds " />
#43
un malware nommé Ponny
/me imagine les pirates en train de chanter : “My little Ponny, my little Ponny”… " />
#44
16 000 mots de passe étaient de la forme « 123456 » -> Pour combien de comptes FB bidon ? Ce chiffre est donc largement acceptable !
#45
#46
#47
#48
#49
#50
#51
#52
Comment crée son password et pourquoi en image et en anglais..
http://xkcd.com/936/
#53
#54
#55
#56
#57
#58
#59
#60
#61
#62
Il me semble que c’est Pony Botnet, avec un seul N " />
Et sinon je trouve cela hallucinant. " />
En général, quand je découvre un botnet, au maximum dedans ya 500 bots.
(et ensuite, et bien, le botnet ne survit pas une fois l’hébergeur prévenu " />)
La , une seule instance avec des millions de passwords c’est juste
Je doute fortement que cela soit un kevin qui ai utilisé Pony (disponible pour qui cherche comme le rappelle si bien l’article) où alors, il est doué et ce n’est pas vraiment un kevin du coup..
Même en inondant le p2p et les sites de ddl de ce truc , pour atteindre ce chiffre
Il faut du temps..(estimation au doigt mouillé)
Ca sent l’utilisation d’exploit kits
#63
#64
#65
#66
#67
#68
#69
#70
#71
#72