Sécurité : 1,2 milliard de mots de passe dans la nature

Christophe Laporte |

Le casse virtuel du siècle ? Peut-être pas, mais si l’information révélée par le New York Times s’avère exacte, nous allons tous passer quelques heures à mettre à jour nos mots de passe.

En effet, un groupe de pirates informatiques russes — surnommé CyberVor — est parvenu à récupérer 1,2 milliard d’identifiants et de mots de passe ainsi que 500 millions d’emails ! Selon les chercheurs de la société de sécurité informatique Hold Security, ils ont réussi à exploiter une faille de sécurité sur 420 000 sites ! « Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites » estime Alex Holden, fondateur de Hold Security, qui ajoute que la plupart des sites en question sont toujours vulnérables.

Image elhombredenegro CC BY

Le groupe à l’origine de cette attaque serait minuscule comparé à l’ampleur du butin : moins de douze personnes âgées de 20 ans en moyenne. Géographiquement parlant, les CyberVors seraient localisés dans une petite ville au sud de la Russie coincée entre le Kazakhstan et la Mongolie. Un petit groupe certes, mais relativement bien organisé avec des divisions : certains écrivent des programmes pendant que d’autres les exploitent pour voler des données.

Ce groupe a commencé à se faire connaître en 2011 en tant que « spammeurs amateurs ». Ils achetaient des bases de données d’emails et tentaient de piéger les internautes en les invitant à surfer sur des pages infectées. Mais depuis, ce groupe, surveillé depuis un certain temps déjà par la société Hold Security, est passé à la vitesse supérieure.

Afin de parvenir à amasser un tel butin, ils ont utilisé des botnets (des réseaux d'ordinateurs compromis qui peuvent être contrôlés à distance). A chaque fois qu’un ordinateur infecté se connectait à un site web, le programme mis au point par les hackers testait si celui-ci était vulnérable à leur injection SQL. Si le site s’avérait être attaquable, alors ils revenaient un peu plus tard pour voler les informations qui les intéressaient.

« Ils ont fait un audit d’Internet », déclare Alex Holden qui se demande combien d’ordinateurs infectés ils avaient à leur disposition quand ils ont commencé cette opération. D’après sa société, ils avaient en juillet plus de 4,5 milliards d’enregistrements (identifiant et mot de passe). Toutefois, certaines données étaient redondantes. Après analyse de celles-ci, Hold Security estime qu’ils ont à leur disposition plus de 1,2 milliard d’enregistrements uniques !

Alex Holden, fondateur de Hold Security. Photo New York Times.

Hold Security a mis en place un formulaire afin de savoir si certaines de vos données ont été ou non piratées — un formulaire à prendre lui aussi avec précaution, on n'est jamais à l'abri de stratagèmes abracadabrantesques dans ce genre d'affaires. Ce formulaire sert en fait à profiter de Hold Identity, un service normalement payant, mais qui est gratuit exceptionnellement pendant 30 jours. De quoi se faire une belle base de clients facilement... On vous conseille tout simplement de ne pas vous servir de ce service et de changer vos mots de passe.

Cette révélation intervient alors que la fameuse conférence Black Hat dédiée à la sécurité se tient à Las Vegas cette semaine. Hold Security a souhaité rendre publique cette affaire, car le nombre de sites concernés est gigantesque. Il est impossible de tous les contacter un par un. C’est aussi une affaire de gros sous pour Hold Security, qui va prochainement mettre à disposition des entreprises un outil afin de déterminer s’ils ont été visités par les CyberVors.

Cette affaire se déroule dans un contexte international tendu entre la Russie et les États-Unis. Selon Alex Holden, il n’y a pas de lien évident entre ce groupe de hackers et le gouvernement russe. Ce dernier a toutefois la réputation d’être assez laxiste avec ce type d’organisations.

Pour en revenir aux données volées, il n’y a pas pour le moment péril en la demeure. Le groupe n’a pas vendu pour l’heure un grand nombre d’informations en ligne. Inutile de préciser qu’il y a beaucoup d’argent à se faire avec un tel fichier. Pour l’heure, ce groupe se « contente » d’utiliser les informations récoltées pour envoyer du spam notamment sur les réseaux sociaux, afin de rentabiliser leur travail.

Aucune société n’a communiqué pour l’heure sur cette affaire. On ignore par exemple si Apple, Google ou Facebook font partie des victimes des CyberVors. Une chose est certaine : ces douze derniers mois ont été catastrophiques sur le plan de la sécurité. Entre les failles majeures qui ont été découvertes comme celle relative à SSL (Heartbleed) et les attaques de grande envergure qui se multiplient, le net n’a jamais été aussi malmené.


Tags
avatar Mathias10 | 

Bof. Le procédé de vérification est encore plus douteux

avatar Oracle | 

A quoi bon les changer s'ils peuvent recommencer...

avatar Oracle | 

Vivement qu'on en sache plus sur cette faille

avatar yoyo3d | 

@Oracle

Pas faux :/

avatar kilgourpa | 

Bof... La vérification est très douteuse. Je l'ai fait avec mon email "spécial conneries" pour voir... Eh ben j'ai rien reçu après 10min.
C'est louche

avatar kilgourpa | 

Bof... La vérification est très douteuse. Je l'ai fait avec mon email "spécial conneries" pour voir... Eh ben j'ai rien reçu après 10min.
C'est louche...
Et en plus holdsecurity.com (et pas identity.holdsecurity.com) affiche une erreur SSL
De plus en plus louche

(Bon après je suis peut-être un peu parano)

avatar kilgourpa | 

@kilgourpa :
Et puis le fait que le WHOIS du site soit caché, enregistré par une filiale de GoDaddy spécialisé dans l'anonymat des noms de domaine...
M'est avis que c'est définitivement bizarre

avatar kilgourpa | 

@kilgourpa :
Pour finir, dans la partie "Check results" on nous demande d'entrer le hash du mot de passe ET le mot de passe. Ça peut potentiellement être utilisé pour remplir des rainbow tables...

avatar JeevesGre | 

Merci pour les infos ;-)

avatar stiflou | 

Tiens en parlant d'internet « malmené », ça n'a pas d'autre rapport avec le sujet (quoi qu'on parle aussi de la russie ^^)
http://www.lepoint.fr/high-tech-internet/censure-de-twitter-la-france-devant-la-russie-05-08-2014-1851519_47.php
(on trouve en premier la Turquie, surtout depuis la divulgation de mars qui occasionna la fermeture immédiate de Youtube dans le pays, mais la Russie est très loin derrière notre beau pays, donc vive la « démocratie »)

avatar heret | 

S'il n'y avait que ça. L'état totalitaire français a promulgué une loi en 2009 qui oblige les banques à détecter les mouvements d'argent suspects. La conséquence est que tout le monde est suspect de vouloir blanchir de l'argent sale. Mais quel beau pays !
(NSA, je t'aime. DGSE, je t'emm*rde.)

avatar stiflou | 

Oh, je crois qu'on peut trouver encore pire ^^
Mes propos sur Facebook, ça me fait penser à ces gens qui s'était donné rendez-vous par Facebook pour aller faire une « quenelle » devant le siège du CRIF, et qui s'étaient fait accueillir par une brigade anti-émeute, gendarmes et quelques RG … Quoiqu'on pense de ce geste (dont la signification fut défini dans les média par quelqu'un d'autre que son auteur, ce qui n'est pas vraiment normal), cette surveillance à haut niveau de Facebook fait peur. Quand on nous raconte partout que les « Printemps Arabes » se sont fait grâce à Facebook et autres, et quand on sait le contrôle et la surveillance de Facebook par les US, on peut aller plus loin dans la réflexion, sachant que la Turquie fut capable de couper Youtube à tout le pays du jour au lendemain (cf. un de mes posts) … mais c'est un autre sujet.
Après je peux aussi parler des interdictions de stationner debout devant les bâtiments étatiques—j'ai assisté aux expulsion par CRS : 7 camionnettes de police, 8 de CRS + 2 paniers à salade, 4 brigade de CRS (oui, j'ai tout compter soigneusement), pour expulser moins une cinquantaine (entre 30 et 70 grand max, j'ai compté trop tard) de personnes debout et immobiles place Vendôme (le plus navrant, c'est d'entendre les CRS répondre au gens : « on sait qu'on est dans l'illégalité … » … J'ai moi-même fait le test pour m'amuser, rentrant chez moi à pied dans Paris à 2h du matin, et passant devant Matignon, je me suis planté debout devant Matignon, en moins de 30s, deux policiers sont venu me voir et m'ont gentiment (oui, ils étaient gentils) accompagné au bout de la rue.
Ah oui, le plus affligeant est l'arrestation et la « séquestration » de trois adolescente (entre 16 et 17 ans) pendant plus de 3h dans un panier à salade de CRS (10 CRS, puis 5 les ont escortées avant de les y mettre), avant d'être libérée par trois avocats en colère ; le motif : port de sweat (vous vous doutez peut-être duquel, celui qui, quand on court avec dans le jardin du Luxembourg, vaut un procès-verbal, voire une fouille en commissariat …)
Coup de gueule de l'après-midi (j'en fait beaucoup en ce moment ^^')

P.S. J'ai plus raconté ma vie qu'essayé de trouver pire, mais s'il le faut, je pousserai un autre coup de gueule ^^

avatar stiflou | 

Allez hop, un petit bonus, ça peut être intéressant (voire expliquer certaines choses …)
https://www.youtube.com/watch?v=gSG-NEf84bM (je laisse aux sceptiques le soin de la contextualisation, elle n'est pas difficile à trouver en cherchant)
Et un autre bonus sur les États totalitaires : http://infolibre.tv/?p=4334

P.S. je l'avais oublié celui-là : à 1min20, Bachelot en balance quand même une sévère https://www.youtube.com/watch?v=C5hWzIoZTXg

avatar Darth Philou (non vérifié) | 

Comment peut-on stocker des mots de passe en clair ?
C'est vraiment quelque chose qui me dépasse.

=> se méfier des sites qui peuvent vous renvoyer votre mot de passe en cas d'oubli -> niveau 0 de la sécurité.

avatar MaitreYODA | 

En même temps, tous ceux qui pourraient rendre le net plus sûr comme la NSA par exemple grâce à ses compétences techniques exceptionnelles etc. sont occupés à mettre au point des virus inimaginable en cas de cyber-guerre...
Normal que le net ne soit plus sûr si y a plus personne pour contrôler ce genre de hackeurs.

avatar stiflou | 

La NSA rendre le net plus sûr ? tout comme l'armée américaine maintient la paix dans le monde ? (surtout en Afghanistan, ou leur venue a permis de faire redémarrer le traffic d'opium, ce pays étant redevenu le premier producteur, redevenu car les talibans en avait arrêté la production … Ou en Lybie, ancien pays le plus développé d'Afrique, oui, on en est bien loin aujourd'hui … ou en Irak …)
Coup de gueule du matin … désolé.

avatar stiflou | 

Sinon, on s'inquiète de ce piratage, mais Google fait à peu près la même chose que ces pirates, et on s'en plaint moins. Certes, les infos que Google possède, on lui donne volontiers et « légalement » …
Au passage, une manière pour Google et Facebook connaître les sites que vous fréquentez : les boutons de partage ; ceux-ci, dans leur implémentation classique, vont récupérer les informations nécessaires à son fonctionnement sur le site du « réseau social » (ah, cette expression …), donnant à ce réseau vos informations de navigation actuelle. Un conseil, déconnectez-vous de Facebook quand vous faite autre chose (voire déconnectez-vous tout court, mais ce n'est que mon avis).

avatar Bardyl | 

Comme s'il n'y avait que Google ou Facebook... N'importe quel site marchand fait la même chose sans que vous le voyez... Faites une recherche n'importe ou (BIng, Google, ou même allez faire un tour sur le site de la Fnac ou sur Amazon) et attendez deux trois jours. Le concurrent vous enverra par mail ce que vous cherchez pour peu que vous soyez inscrit chez lui.

avatar stiflou | 

Mais je suis au courant de cela, ne vous inquiétez pas, je dénonçais seulement une simple pratique courante des « réseaux sociaux » :)
Si vous voulez qu'on parle des pratiques du commerce internet, il y a effectivement des choses à dire, mais je ne tenais qu'à faire une petite parenthèse ^^

avatar Philactere | 

@Bardyl :
Pas besoin d'être inscrit pour ça, le tracking avec les cookies suffit.
Je n'ai pas de compte Google et pourtant je reçois une avalanche de mails en rapport aux recherches sur un sujet spécifique que je fais depuis quelque mois. Et cela sans être inscrit à aucun site traitant du sujet. Je ne laisse aucune trace "volontaire" (inscriptions, formulaires, demandes de renseignement, etc).

L'analyse de mes recherches sur Google via les cookies suffit à m'inonder de mails alors que je n'ai même pas de compte Google. La correspondance entre mon ID de tracking Google et mon adresse e-mail à été faite un jour et voilà.
Faut que je penses à supprimer les cookies plus souvent.

avatar stiflou | 

Il est vrai que je faisais plus référence à Facebook, Google ayant en plus la fonction de moteur de recherche ...
Un jou, j'ai été choque, en ouvrant la page d'un site (sans m'être jamais connecté dessus), de voir apparaître une pub avec mon nom et mon numéro de téléphone !
Je sais maintenant qu'il faudra que je le change avant d'entrer dans la vie professionnelle, mais c'est quand même rageant …

avatar Norandy | 

@Philactere :
J'ai étudié ce cas qui s'appel : le graphe d'intérêt il me semble. Sans que vous ne fassiez quoi que ce soit, les moteurs de recherche analyse ce que vous faites et le mets en correspondance. De ce fait, sans s'inscrire mais seulement en effectuant des recherches, s'inscrivant sur tel ou tel site etc etc en utilisant internet quoi, les moteurs arrivent à vous dresser un portrait. Le seul moyen d'y échapper et de ne pas utiliser internet, ou Tor ... Mais cela m'a quand même fait flipper sur le moment.

avatar stiflou | 

@Norandy
Ma question est donc, si cela vous « a quand même fait flipper sur le moment », pourquoi avez-vous arrêter de flipper ? :) Sachant que les choses évoluent encore dans ce domaine (et que je pourrais dire que c'est de pire en pire …)

avatar Norandy | 

@stiflou :
Car au final on ne peut rien y faire et je préfère être conscient de ce qui se passe (en tout cas une partie car on ne sait pas tout) plutôt que de vivre dans l'ignorance.
Étant étudiant en digital marketing, je ne pensais pas qu'on pouvait autant "traquer" les gens et quand j'en parle autour de moi les gens sont vraiment stupéfaits. Mais ils continuent d'utiliser internet comme avant...
J'essaie d'utiliser de plus en plus de logiciels qui justement ne divulguent pas nos données, je préfère payer plutôt que d'avoir des logiciels "gratuits" qui revendent nos données , d'utiliser des services européens de stockage mais quand même, si on veut être anonyme sur internet c'est possible mais très contraignant. Lent, pas pratique et au final comme personne d'autre dans mon entourage ne se soucie de la chose, il n'y a que très peu d'intérêts. Je fais juste attention avec ce que je mets sur le net mais encore la on est pas à l'abri mais on peut diminuer les risques.
Une dernière chose, j'essaie de me renseigner au maximum sur les différents logiciels ou services que j'utilise pour comprendre comment ils fonctionnent et me faire un avis.

avatar stiflou | 

@Norandy
Par pitié, cessez de d'utiliser cette expression : « au final », elle n'appartient pas à la langue française … « finalement », « en fin de compte » existent et sont très appropriées. Tout comme « basé sur » et « à la base », anglicismes criant … à remplacer ; par exemple, « à la base d'un arbre, il y a un tronc », mais « Dans un premier temps, je pensais avoir raison », ou « des soldats basé sur Toulon », mais « Une théorie établie sur des bases vérifiables »
Un petit tour le site de l'Académie Française est instructif ^^

Ça c'est fait, désolé, mais fallait que ça sorte, d'autant que je suis en train d'écrire un article pour le journal de mon école là dessus (enfin, c'est la conclusion d'un article sur le martyr de Victor Hugo par les bacheliers de cette triste année), donc j'ai ça en tête.

Étudiant en digital marketing, ça doit être très intéressant :) même si je t'avoue que j'ai une petite aversion pour le marketing actuel, étudier en profondeur les techniques est quelque que j'aimerais bien faire. Je suis pour ma part en école d'ingénieur, spécialité informatique (donc si j'ai bien compris, je risque de concevoir ce que tu feras vendre ^^), et je me sens donc bien concerné par ces sujets. Le problème, entre autres, est qu'effectivement, la plupart ne ce soucient que très peu des choses qu'ils ne maîtrisent pas … Hier, j'ai passé mon temps à révéler la réalité sur le QWERTY (https://www.macg.co/comment/1444532, je t'invite à y faire un tour si tu as le temps et si tu n'es pas au courant, ça devrait t'intéresser), mais comme pour la vie privée internet, ça n'intéresse pas les gens de savoir que le QWERTY est une tare, surtout quand c'est la seule chose qu'on leur propose … tout comme certains pensent que mettre leur vie sur Internet est le seul moyen de la vivre -_-
Et comme tu le dis, les alternatives ne sont pas assez développée—comment atteindre le niveau de Google ? j'ai essayé de passé sur duckduckgo, au bout de quelques jours, j'étais « obligé » de passer par Google non-stop parce que DDG ne comprenait pas ce que je recherchais (c'était des trucs d'informatique, et Google sait apparemment que je suis porté de ce côté là, donc il est plus pertinent) …
Tiens, une conférence qui devrais t'intéresser : https://www.youtube.com/watch?v=BbkbdYoffX4
le titre : « Si, vous avez quelque chose à cacher » est bien trouvé (la virgule), je te la recommande vivement.

avatar Norandy | 

@stiflou :
Merci beaucoup pour ces précisions ;) à l'avenir, j'essayerai de faire attention :p

Pareil pour DDG... Je suis vite revenu à Google pour les mêmes raisons.

Merci également pour les 2 liens. J'irai y jeter un coup d'œil ce weekend !

Cela fait plaisir de lire quelqu'un qui à le même point de vue sur ce sujet :)

avatar Orus | 

Cela donne un bon scénario de film : Une agence gouvernementale spécialisé dans l’élimination des hackers et des pirates partout où ils pourraient se trouver dans le monde.

avatar Norandy | 

Bon Ben j'ai bien fait de ne pas changer tous mes mdp suite à la faille Hearthbleed (seulement les plus importants). La je ferai d'une pierre deux coups lol

Sinon niveau sécurité, le web a été tellement "laxiste" niveau sécurité que c'est "normal" que des petits malins exploitent des failles. J'étais même étonné que cela ne se passe pas plus tôt. Malheureusement, c'est toujours nous qui en payons le prix.

Comme dit plus haut, le pire c'est que des sociétés puissent stocker en clair des mots de passes et qu'ils n'aient pas des systèmes de sécurités adéquats. Contre cela, on ne peut rien y faire a part boycotter le service.

avatar babgond | 

"ces douze derniers mois ont été catastrophiques sur le plan de la sécurité"

Non ça été formidable ! Toutes ces découvertes de faille ont permis de les combler !

avatar vache folle | 

@babgond

Heu, j'aurais préféré qu'elles soient inexistantes et qu'on ait pas besoin de les découvrir. :/ ;)

avatar rondex8002 | 

« On vous conseille tout simplement de ne pas vous servir de ce service et de changer vos mots de passe. »

Pourquoi donner le lien quelques lignes au-dessus ?
Changer les mots de passe ? Lesquels ? Tous !?

avatar Fennec72 | 

"ils ont utilisé des botnets (des réseaux d'ordinateurs compromis qui peuvent être contrôlés à distance)"

Depuis la fin du support d'XP, n'est-ce plus facile de créer des botnets?

avatar Madalvée | 

Ça me fatigue de changer mes mots de passe à chaque fois. Je me contente de supprimer mes infos sensibles à chaque déconnection (CB,crédits, etc.). Que quelqu'un poste ses fesses à la place des miennes sur mon profil de réseau social ne me dérange pas outre mesure.

avatar Nord | 

Si ça se trouve c'est Hold Security qui a mandaté les spammeurs amateurs pour se faire des sous après… On ne peut plus être sur de rien sur internet de nos jours, surtout après la débâcle de la NSA qui prétend pouvoir lire les pages cryptées SSL-128bits… ça serre à quoi alors tout ça ?

avatar hmmmr | 

@Nord :
Mandaté voir juste lancé une rumeur. Il y a un spectateur tiers qui confirme les dires d'hold security ?

Perso je suis un groupe de hackers qui vient de piquer 100 millions de milliards de no de carte bleue, voici un lien Allopass pour savoir si vous en etes victimes : ...

avatar iRobot 5S | 

On aimerais bien une liste des sites !

avatar Axel | 

Ces temps-ci, mon adresse Gmail est sacrément spammée… :( Un lien de cause à effet?

avatar Ultranova | 

Tiens c'est marrant; depuis la dernière MAJ de Thunderbird le contenu à distance est systématiquement bloqué par défaut a chaque mail que je reçois.

C'est à moi de gérér si je veux ou non accéder à ce contenu à distance.

avatar aspartame | 

je suis très content que ces braves gens aient une copie de mon mot de passe du compte twitter que j'utilisais car je ne m'en souviens plus.
savez vous ou je pourrais les contacter pour qu'ils me le redonnent ?
cordialement

avatar SMDL | 

@Norandy

Tiens, une nouvelle rencontre entre Bouvard et Pécuchet ! C'est beau, une amitié naissante. Le marketing digital. Tout un poème.

Ceci dit, il faut de tout... Et plus si affinité. J'ai un peu étudié le domaine (sans "digital", c'était il y a des éons) et j'en suis sorti écœuré. Nous ne sommes peut-être pas dans l'enfer infantile des Bisounours, mais nous sommes tout de même dans le monde qui les a créés. La Douceur n'est pas une maladie de l'esprit.

Donc doucement avec le marketing digital (cela doit avoir un lien avec "doigt", mais rien n'indique clairement la localisation de ce dernier), les humains ont déjà assez de problèmes comme ça, merci.

CONNEXION UTILISATEUR