Vkontakte : les données de 100 millions de comptes en vente pour 1 bitcoin

En clair les mots de passe s'il-vous-plaît 37
En bref
image dediée
Crédits : Matej Moderc/iStock
Securité
Vincent Hermann

Le réseau social Vkontakte est victime à son tour d’une imposante fuite de données. 171 millions de comptes ont été affectés, avec les mêmes grandes lignes que les cas LinkedIn et MySpace. Aujourd’hui, 100 millions des comptes sont en vente pour un petit bitcoin.

Vkontakte est souvent appelé le « Facebook de Russie ». Il possède actuellement 350 millions d’utilisateurs environ et a été fondé par Pavel Durov il y a une dizaine d’années. L’ancien PDG ayant été fiché comme opposant de Vladimir Poutine, il vit depuis 2014 dans la Fédération de Saint-Christophe-et-Niévès (Petites Antilles) avec son frère. Il est également le fondateur de Telegram.

Des mots de passe catastrophiques...

Le site a quoi qu’il en soit été victime d’une importante fuite de données vers la fin de l’année 2012, début 2013. Il y a trois ans et demi, le site comptait un peu moins de 190 millions d’utilisateurs. Les 171 millions de comptes volés à cette période correspondent donc sans doute à la totalité des profils alors accessibles.

Le site LeakedSource, qui analyse notamment les données dérobées, publie comme toujours quelques statistiques sur les mots de passe dépiautés. Le constat est globalement affligeant. Si les fuites de MySpace et LinkedIn ont montré que beaucoup faisaient un semblant d’effort dans la conception des identifiants, ceux trouvés dans Vkontakte sont une compilation des pires possibles : 123465, 12345679, qwerty, 111111, 123456790, 123467, 12345678, 123321, 000000 et 123123 pour un extraordinaire Top 10.

... et disponibles en clair

Malheureusement, puisque l’on parle d’un réseau social, les données volées ne contiennent pas uniquement des mots de passe. L’adresse email associée est présente, de même que les nom, prénom, ville de résidence, numéro de téléphone et adresse email secondaire de chaque inscrit. Une vraie mine d’or, que ZDnet a pu obtenir et tester. Nos confrères indiquent que ces informations sont valables, même si une partie correspond visiblement à des comptes ayant été depuis supprimés.

Dans le cas de Vkontakte, la fuite de données est d’autant plus dangereuse que les mots de passe n’étaient pas protégés par la moindre mesure de sécurité, pas même un simple hachage. Les données sont donc rapidement exploitables, la base des 100 millions de comptes étant actuellement vendue par un pirate pour un seul bitcoin, soit 520 euros environ au cours actuel.

Le danger évidemment avec des mots de passe en texte clair est qu’ils peuvent être réutilisés directement pour tenter l’aventure sur d’autres sites. Vkontakte a de de plus été racheté en 2014 par le fournisseur Mail.ru, et il est possible que nombre d’utilisateurs ait simplement choisi le même mot que pour leur compte email – 41 % des adresses utilisées se finissent d’ailleurs en @mail.ru, contre à peine 2 % pour Gmail. Même si avec des identifiants aussi faibles, obtenir l’accès n’aurait dans tous les cas pas été très complexe. Et il ne s’agit encore ici que des comptes sur Internet, la présence des numéros de téléphone pouvant bien sûr occasionner nombre de désagréments.

Pour Vkontakte, tout va bien

La ligne de défense de Vkontakte, exposée notamment à Motherboard, est presque épidermique : « La base de données de VK n’a pas été piratée. Nous parlons ici de vieux identifiants et mots de passe qui ont été collectés par des fraudeurs en 2011-2012. Toutes les données des utilisateurs mentionnées dans cette base ont été changées d’office. Rappelez-vous s’il-vous-plaît qu’installer des logiciels peu fiables sur vos appareils peut entrainer une perte de vos données. Pour des raisons de sécurité, nous recommandons l’activation de l’authentification à deux facteurs dans les paramètres du profil et l’utilisation d’un mot de passe fort ».

En d’autres termes, l’utilisateur est en tort, car il a nécessairement utilisé un mot de passe trop faible ou installé un logiciel vérolé. Que les mots de passe aient été en clair n’interroge pas l’entreprise, qui n’indique évidemment pas si un chiffrement des identifiants a depuis été mis en place. Par contre, l’activation de l’authentification à deux facteurs sera effectivement un pas dans la bonne direction, même si la création d’un mot de passe long et assez complexe (minuscules, majuscules, chiffres, caractères spéciaux, pas de mot du dictionnaire …) reste la base de la sécurité sur ce type de service en ligne.


chargement
Chargement des commentaires...