MySpace confirme le piratage et donne des précisions

cogitem Formation InformatiqueSécurité : Suite à un piratage d’ampleur, MySpace communique quelques détails sur son blog. Le réseau social confirme la faille de sécurité et explique les mesures de sécurité prises pour limiter les dégâts.

Face à l’évidence, MySpace se résout à communiquer sur la faille de sécurité qui a permis la mise en vente de plus de 360 millions d’identifiants des utilisateurs de sa plateforme. Le réseau social a publié un communiqué confirmant que les identifiants vendus sont bien issus de ses serveurs et que le vol de données remonte à 2013. La société explique que les identifiants et adresses email de tous les comptes MySpace créés avant la date du 11 juin 2013 sont potentiellement dans la base de données actuellement vendue sur la place de marché noir The Real Deal.

MySpace soupçonne le vendeur de la base de données, « peace of mind » selon son pseudo sur The Real Deal, d’être responsable de l’attaque. Le communiqué précise néanmoins que l’investigation est toujours en cours.

MySpace détaille des mesures visant à protéger ses utilisateurs : ainsi, les comptes créés avant la fuite de donnée verront leurs mots de passe réinitialisés. Les utilisateurs concernés devront s’authentifier à nouveau et choisir un mot de passe. MySpace explique avoir également mis en place des outils leur permettant de détecter un « comportement anormal » de la part des utilisateurs afin de prévenir d’éventuelles utilisations frauduleuses des comptes. Sans surprise, la brèche de sécurité a été signalée aux autorités.

Cette cyberattaque est un brin gênante pour MySpace

MySpace confirme également que les identifiants vendus sur The Real Deal ne sont pas particulièrement protégés. Comme l’explique le communiqué, les mesures de sécurité autour des identifiants Myspace ont été accentuées à partir de l’été 213, soit quelques semaines après la brèche de sécurité. Les identifiants volés ne sont donc pas chiffrés ni salés comme le sont ceux d’aujourd’hui, ce qui signifie que des cybercriminels n’auront aucun mal à voir leur contenu en texte lisible.

Outre son ampleur, cette cyberattaque est un brin gênante pour MySpace. En effet, le communiqué semble laisser entendre que le réseau social a découvert cette brèche de sécurité dans la presse, malgré le fait que celle-ci date de plus de trois ans. Le principal risque de cette brèche réside dans la propension des internautes à réutiliser ces mots de passe : on imagine sans peine que la base de données volée viendra rapidement nourrir les dictionnaires utilisés par les cybercriminels pour décrypter les hash d’autres utilisateurs. Ceux-ci pourront également profiter de cette base de données pour s’attaquer à des internautes ayant utilisé les mêmes mots de passe pour des services plus sensibles tels que des services bancaires.

Sur The Real Deal, le cybercriminel Peace of mind semble s’être spécialisé dans la vente d’identifiants volés. Outre les identifiants dérobés à MySpace, Peace of mind propose à la vente des bases de données d’identifiants appartenant à des services tels que LinkedIn, Tumblr, le réseau social Fling ou encore 17.media. La qualité des données vendues par Peace varie selon les services, et le prix aussi : l’archive LinkedIn est ainsi proposée au prix de 2 bitcoins (968 euros) tandis que la base de données de Myspace est cédée contre 6 bitcoins (environ 2900 euros).

Comments are closed.