Sale temps pour les mots de passe : après les 6 millions de passwords LinkedIn subtilisés par un pirate russe, c'est maintenant Last.fm qui annonce que les identifiants de ses utilisateurs ont également été volés. En tant qu'utilisateur, que faire pour sauver les meubles ?
On apprenait cette semaine que pas moins de 6 millions de mots de passe du réseau social professionnel LinkedIn avait été piratés. On apprend maintenant qu'une partie de ces mots de passe a été décryptée et publiée sur le net. Alors si vous n'avez pas encore changé votre mot de passe LinkedIn, suspendez de suite la lecture de cet article, et modifiez-le !
C'est bon, vous êtes revenus ? Et bien préparez-vous à faire de même avec votre compte Last.fm, la webradio sociale qui compte plus de 20 millions d'utilisateurs ! En effet, Last.fm annonce ce matin être la victime d'une intrusion dans ses bases de données, mettant en péril la sécurité des mots de passe.
Comment procèdent ces pirates ?
En théorie, toute sécurité est contournable. C'est d'ailleurs cette possibilité qui motive de nombreux hackers (pour rappel, tous les hackers n'ont pas de sombres desseins). Le Russe qui s'est introduit sur les serveurs de LinkedIn a réussi à dénicher la base de données contenant les mots de passe des utilisateurs. Pour autant, il est impossible de l'utiliser à court terme, puisque cette base de donnée est sécurisée : les mots de passe sont enregistrés sont forme hashée (excusez l'anglicisme), ils ne sont donc pas stockés en clair. En plus du hachage, certains sites web doublent la sécurité des données avec le salage, qui complexifie encore le cryptage du mot de passe. Malheureusement, aucun salage sur le site de LinkedIn…
Concrètement, lorsqu'un utilisateur se connecte à son compte, le mot de passe saisi est hashé, toujours avec la même recette, et le résultat est comparé au mot de passe hashé enregistré en base. Si les deux concordent, l'authentification est positive. L'objectif du hacker est alors de créer des rainbow tables, c'est à dire des tables de concordance (ou de comparaison), qui lui permettront de définir précisément la recette de hachage.
Le pirate passe alors à la seconde étape : à l'aide votre adresse mail et du mot de passe découvert, il va tenter de se connecter à de nombreux comptes potentiels, à commencer par le compte mail : celui-ci contient en effet de précieuses informations, comme par exemple des confirmations d'inscription web (qui contiennent souvent les identifiants, dont certains disposent des coordonnées bancaires) : PayPal, iTunes, Amazon, etc. Le pirate peut ainsi détourner de l'argent. Et s'il s'intéresse davantage à vos données personnelles, il peut de la même manière tenter de pirater des comptes de réseaux sociaux (Facebook, Twitter, Viadeo, etc.) : il pourra utiliser ces informations plus tard (usurpation d'identité) ou les revendre sur des marchés parallèles spécialisés.
Comment gérer ses mots de passe sur le web ?
Lorsqu'une annonce comme celle de LinkedIn ou Last.fm paraît, il faut répondre à l'urgence, et changer son mot de passe au plus vite, pour éviter que les pirates ne prennent la main sur le compte. Sur le plus long terme, certaines précautions deviennent aujourd'hui incontournables pour protéger l'accès à nos comptes personnels :
- Choisir un mot de passe long : plus il est conséquent, plus les logiciels de décryptage mettront du temps à la cracker.
- Complexifier le mot de passe : avec des majuscules, des minuscules, des chiffres, des caractères spéciaux. Surtout ne pas se contenter d'un mot de passe issu d'un dictionnaire, crackable en quelques secondes.
- Choisir un mot de passe différent pour chaque site : si un de vos comptes est compromis, cela évitera que les autres le soient également dans la foulée.
- Choisir un mot de passe facilement mémorisable pour vous, mais difficile à deviner ou déduire pour les autres (ex : une phrase qui vous est propre, ou ses initiales, éventuellement inversées, etc.).
Vous pouvez aussi choisir de faire confiance à des applications spécialisées (KeePass, Dashlane, etc.), mais posséder de multiples mots de passe longs comme le bras aide à entretenir votre mémoire ! Vous remercierez Panoptinet dans quelques années
Sources :
macgeneration.com
geekattitu.de
Image : Flickr / zebble / CC BY-NC 2.0
1 commentaire
Panique sur les mots de passe : après LinkedIn, Last.fm. Que faire ? | Panoptinet | SeCurité infos et web | Scoop.it a dit :
9 juin 2012 à 9 h 37 min (UTC 1)
[...] http://panoptinet.com – Today, 9:37 AM [...]