Un des serveurs de Trillian a été victime d'une fuite de données personnelles (mot de passe et identifiants). Cela ne concerne pas le logiciel phare de Cerulean Studios, mais ses anciens forum et blog.
Trillian est un logiciel qui prend en charge de multiples messageries instantanées (Facebook, Google, AIM, ICQ, XMPP, Yahoo!, Twitter,etc.) et qui les regroupe au sein d'un même client. Cerulean Studios, la société qui l'édite, revient aujourd'hui sur le devant de la scène avec une mauvaise nouvelle : un de ses serveurs a été victime d'une faille de sécurité qui a entrainé une fuite de données personnelles.
Des données vieilles et des mots de passe hachés/salés, mais prudence tout de même
Cela ne concerne pas directement le client de Trillian, mais d'un serveur « isolé du reste de son réseau » et qui hébergeait son forum (vBulletin) ainsi que son blog (Wordpress). Tous les deux n'étaient plus utilisés depuis longtemps et ils n'avaient été conservés en ligne qu'à « des fins d'archivage ». La société ajoute que « la plupart des données étaient vieilles de 3 à 14 ans ». Dans le lot, on retrouve tout de même les identifiants ainsi que les empreintes MD5 hachées et salées des mots de passe des utilisateurs des deux services.
Mais le problème est toujours le même : si vous avez utilisé les mêmes authentifiants pour le blog, le forum et le client, alors il faudra changer votre mot de passe dès que possible. Prudente, la société explique en effet que, « bien que les mots de passe dérobés soient hachés, la puissance de calcul actuelle laisse penser que cibler un mot de passe spécifique est dans le domaine du possible ».
Prendre l'habitude d'une bonne hygiène numérique pour ses mots de passe
Une fois encore – et on ne le répétera jamais assez – utiliser le même mot de passe sur plusieurs services/sites est une mauvaise idée, la preuve encore aujourd'hui. Il faut autant que possible en choisir un unique à chaque fois, ou s'aider d'un gestionnaire de mot de passe si besoin (attention à bien choisir un mot de passe principal suffisamment robuste).
L'équipe technique précise que le serveur incriminé a été mis hors ligne dès qu'elle a été mise au courant de la brèche. Il n'est pas prévu de le rebrancher puisqu'il ne s'agissait que d'archives disponibles pour référence.
Commentaires (10)
#1
Bam 15 ans dans la tronche en relisant “Trillian”
#2
#3
Si j’avais des données chez eux, c’était avec un mail qui n’existe plus…
#4
D’où l’importance de ne pas garder des plateformes web sans maintenance corrective car un jour ou l’autre elles se feront trouer…
Ce ne sont pas les premiers et sûrement pas les derniers
#5
Ah ah je me rappel encore quand mon client trillian était devenu mon centre d’information, y’avais les températures du pc, adresse ip, données extraites d’autres logiciels lancés, flux rss, twitter
" />
En fait je voyais même plus le statut de mes contacts avec ce bordel ^^
#6
Prochaine news : “On a retrouvé des identifiants ICQ gravés dans des tablettes de marbre”
" />
#7
et 15 ans après, je l’utilise encore :)
très bon outil pour utiliser Jabber sous Linux
#8
Tres bon client, m’était tres utile pour avoir iChat sur iOS.
#9
#10
yahoo sera retiré à partir du 5 août
Due to Yahoo’s decision to shut down the legacy Yahoo Messenger clients and servers, Trillian will no longer be able to connect to Yahoo Messenger after August 5th, 2016. We may investigate other methods of connecting to the Yahoo! network for a future release. Please read the below FAQ for additional information.
Sinon, c’était bien quand on pouvait avoir skype avec et les news de facebook, mais à pu non pu :‘(