Le réseau social Vkontakte est victime à son tour d’une imposante fuite de données. 171 millions de comptes ont été affectés, avec les mêmes grandes lignes que les cas LinkedIn et MySpace. Aujourd’hui, 100 millions des comptes sont en vente pour un petit bitcoin.
Vkontakte est souvent appelé le « Facebook de Russie ». Il possède actuellement 350 millions d’utilisateurs environ et a été fondé par Pavel Durov il y a une dizaine d’années. L’ancien PDG ayant été fiché comme opposant de Vladimir Poutine, il vit depuis 2014 dans la Fédération de Saint-Christophe-et-Niévès (Petites Antilles) avec son frère. Il est également le fondateur de Telegram.
Des mots de passe catastrophiques...
Le site a quoi qu’il en soit été victime d’une importante fuite de données vers la fin de l’année 2012, début 2013. Il y a trois ans et demi, le site comptait un peu moins de 190 millions d’utilisateurs. Les 171 millions de comptes volés à cette période correspondent donc sans doute à la totalité des profils alors accessibles.
Le site LeakedSource, qui analyse notamment les données dérobées, publie comme toujours quelques statistiques sur les mots de passe dépiautés. Le constat est globalement affligeant. Si les fuites de MySpace et LinkedIn ont montré que beaucoup faisaient un semblant d’effort dans la conception des identifiants, ceux trouvés dans Vkontakte sont une compilation des pires possibles : 123465, 12345679, qwerty, 111111, 123456790, 123467, 12345678, 123321, 000000 et 123123 pour un extraordinaire Top 10.
... et disponibles en clair
Malheureusement, puisque l’on parle d’un réseau social, les données volées ne contiennent pas uniquement des mots de passe. L’adresse email associée est présente, de même que les nom, prénom, ville de résidence, numéro de téléphone et adresse email secondaire de chaque inscrit. Une vraie mine d’or, que ZDnet a pu obtenir et tester. Nos confrères indiquent que ces informations sont valables, même si une partie correspond visiblement à des comptes ayant été depuis supprimés.
Dans le cas de Vkontakte, la fuite de données est d’autant plus dangereuse que les mots de passe n’étaient pas protégés par la moindre mesure de sécurité, pas même un simple hachage. Les données sont donc rapidement exploitables, la base des 100 millions de comptes étant actuellement vendue par un pirate pour un seul bitcoin, soit 520 euros environ au cours actuel.
Le danger évidemment avec des mots de passe en texte clair est qu’ils peuvent être réutilisés directement pour tenter l’aventure sur d’autres sites. Vkontakte a de de plus été racheté en 2014 par le fournisseur Mail.ru, et il est possible que nombre d’utilisateurs ait simplement choisi le même mot que pour leur compte email – 41 % des adresses utilisées se finissent d’ailleurs en @mail.ru, contre à peine 2 % pour Gmail. Même si avec des identifiants aussi faibles, obtenir l’accès n’aurait dans tous les cas pas été très complexe. Et il ne s’agit encore ici que des comptes sur Internet, la présence des numéros de téléphone pouvant bien sûr occasionner nombre de désagréments.
Pour Vkontakte, tout va bien
La ligne de défense de Vkontakte, exposée notamment à Motherboard, est presque épidermique : « La base de données de VK n’a pas été piratée. Nous parlons ici de vieux identifiants et mots de passe qui ont été collectés par des fraudeurs en 2011-2012. Toutes les données des utilisateurs mentionnées dans cette base ont été changées d’office. Rappelez-vous s’il-vous-plaît qu’installer des logiciels peu fiables sur vos appareils peut entrainer une perte de vos données. Pour des raisons de sécurité, nous recommandons l’activation de l’authentification à deux facteurs dans les paramètres du profil et l’utilisation d’un mot de passe fort ».
En d’autres termes, l’utilisateur est en tort, car il a nécessairement utilisé un mot de passe trop faible ou installé un logiciel vérolé. Que les mots de passe aient été en clair n’interroge pas l’entreprise, qui n’indique évidemment pas si un chiffrement des identifiants a depuis été mis en place. Par contre, l’activation de l’authentification à deux facteurs sera effectivement un pas dans la bonne direction, même si la création d’un mot de passe long et assez complexe (minuscules, majuscules, chiffres, caractères spéciaux, pas de mot du dictionnaire …) reste la base de la sécurité sur ce type de service en ligne.
Commentaires (37)
#1
Le côté positif de la chose est que grâce à ça, quelqu’un va finalement remarquer que j’existe.
" />
#2
Bah purée c’est la déferlante ces temps
" />
#3
il est a 520 le bitcoin ?
Tiens un petit encart dans le bandeau commun de nextimpact indiquant le cours actuel serait sympa.
#4
je sens que dans pas longtems il va fleurir des archives noméées “leaked naked pictures of Vkontakte” :p
#5
“La base de données de VK n’a pas été piratée. Nous parlons ici de vieux identifiants et mots de passe qui ont été collectés par des fraudeurs en 2011-2012”
Ah c’est pas du piratage c’est une collecte ! Ouf.
#6
S’il vend l’info 1 bitcoin, c’est que ça doit pas valoir grand chose, c’est la somme demandée par certains ransomwares.
#7
même si la création d’un mot de passe long et assez complexe (minuscules, majuscules, chiffres, caractères spéciaux, pas de mot du dictionnaire …) reste la base de la sécurité sur ce type de service en ligne.
pas vraiment -> http://xkcd.com/936/
#8
Loto, à qui le tour ?
#9
#10
Ils parlent de faire attention à ce qu’on installe. Ca veux dire que tous ces comptes ont été récupéré par des keyloger et autres ?
Si c’est le cas, effectivement ils n’y peuvent pas grand chose.
#11
L’ancien PDG ayant été fiché comme opposant de Vladimir Poutine, il vit depuis 2014 dans la Fédération de Saint-Christophe-et-Niévès (Petites Antilles) avec son frère
Moi pareil, ayant été fiché à l’ISF comme opposant de François Hollande, je vis depuis à Monaco. Parfois, je rencontre les activistes exilés à Gstaad et au Luxembourg.
#12
La ligne de défense de Vkontakte me semble “un peu” douteuse …
#13
#14
Vk où la musique en ligne gratuite illimité… xD
#15
Il est rare que les keyloggers récupèrent aussi les numéros de téléphone …
Ça sent quand même le bon gros hack côté serveur.
#16
Il y a le hack de Badoo (127M de comptes, mdp en MD5) également récemment. Et qui pourrait concerner un peu plus de français que VK ^^.
#17
#18
#19
S’il était réellement résident à Monaco, il saurait que cela n’apporte aucun avantage au niveau imposition pour un français et n’aurait pas cité l’ISF.
Ce n’est pas pour rien que les français riches et célèbres (sportifs, chanteurs, acteurs,…) vont s’installer en Suisse
#20
Ben oui. Tout était disponible et en clair, et il n’y a pas de eu vol ni d’intrusion, bref tout va bien
" />
C’est typiquement russe cette façon de nier l’évidence en racontant n’importe quoi?
#21
vkontakte, bardaf c’est l’embardée !
#22
#23
#24
#25
#26
J’y habite, y travaille et suis marié à une monégasque, et je n’ai aucun impôts malgrés mon salaire, donc dans certain cas si ça a des avantages au niveau fiscal ;)
#27
#28
#29
#30
#31
#32
Pour ma part je suis passé à la méthode de la phrase dont je prends les premiers caractères, pour un mot de passe d’au moins 10 lettres et comportant au moins 2 chiffres (actuellement 14 sur un de mes comptes). Ça commence être long par force brute.
#33
C’est normal en Russie !
#34
En fait c’est encore plus fourbe que ça pour que ce soit le cas il faut :
S’il en manque un seul c’est régime fiscal français.
Je l’ai appris de la bouche des impôts de menton il y a quelques semaines en voulant remplir ma première déclaration commune papier. Je pensais avoir des impôts vu mon salaire (même en déclarant un salaire pour deux), et ils m’ont expliqué tout ça :).
M’enfin c’est vraiment pas évident à savoir x).
#35
#36
#37