Pour achever une semaine plutôt consacrée aux mots de passe, nous parlerons du cas Ubisoft qui a annoncé le 2 juillet dernier avoir été victime d’un piratage et demande à ses utilisateurs de changer leur mot de passe.
Le cas d’Ubisoft est intéressant, même s’il est très classique : un de leurs services (ils ne disent pas lequel) a été piraté et le pirate a obtenu des informations sur les utilisateurs de la plateforme.
Voici une partie de la communication officielle :
Nous avons récemment découvert qu’un de nos sites internet avait été exploité pour obtenir un accès non autorisé à certains de nos systèmes.
Nous avons appris que des données avaient été illégalement consultées depuis notre base de données, dont des noms d’utilisateurs, des adresses mail et des mots de passe codés.
Décryptage
On peut difficilement faire plus laconique comme communication mais dans ce domaine il est très difficile de faire autrement. Tous les éditeurs de sites internet ont conscience que leurs protections sont très vulnérables, en dépit des moyens mis dans la sécurité. Nous avons évoqué ces problématiques à de multiples reprises et concluons le plus souvent, à l’exclusion de négligences caractérisées dans la conception des défenses des sites internet et services web, qu’il est presque impossible de sécuriser totalement un site internet. Nous mêmes sommes concernés par ce phénomène. En conséquence nous ne stockons aucune information concernant nos lecteurs sur nos serveurs.
Si l’on tente de décrypter la communication de Ubisoft, voici ce que cela donne :
« … un de nos sites avait été exploité pour obtenir un accès non autorisé à certains de nos systèmes » peut être traduit en « … un pirate a obtenu un accès très étendu à une partie de notre système d’information »
ainsi que
« … des données avaient été illégalement consultées depuis notre base de données » signifie que « … le pirate a eu accès à notre base de données et a pu l’explorer/l’extraire/la modifier ».
Ceci est très inquiétant en fait, le pirate a eu accès à tout ou partie des informations de Ubisoft…
Conséquences envisageables
En conséquence il convient de s’interroger sur le périmètre des ces données volées ou consultées. Si Ubisoft en a la possibilité, les administrateurs du réseau se sont débrouillés pour que seules les informations utiles au site internet en question soient accessibles depuis celui-ci et que leur système d’information soit en quelque sorte compartimenté de manière à ce que, depuis le serveur piraté, il soit impossible d’accéder à des données confidentielles situées sur d’autres serveurs ou bases de données.
En d’autres termes, la base de données de ce serveur ne contient que les données utiles à ce serveur, et aucune information sur les comptes et données bancaires utiles par ailleurs. Ca c’est si Ubisoft a de la chance ou a été malin.
Pourquoi c’est possible ?
Sur un site internet il y a le plus souvent une partie « frontoffice » et une partie « backoffice », le frontoffice correspondant à la partie librement accessible, et le backoffice à la partie accessible quand on est un utilisateur enregistré (avec login et mot de passe). Dans le cas où on est un utilisateur enregistré on a accès à un contenu réellement dynamique, c’est-à-dire qu’il dépend de l’utilisateur lui-même, de ses actions et achats précédents. Il est nécessaire de développer des modules applicatifs spécifiques et adaptés au système d’information. C’est alors que les failles entrent en jeu : un défaut dans la conception du module et un pirate se faufile et utilise des mécanismes qui permettent de déborder le système et d’obtenir un accès privilégié au serveur et à la base de données. En clair : il y a un bug dans le logiciel du module. Si le pirate à eu accès au backoffice, il est peu vraisemblable qu’il ait créé un compte ou qu’il ait été client lui-même, il aura piraté le compte d’un autre utilisateur.
Sachant que le mot de passe le plus utilisé dans le monde est « password », il lui aura suffit d’un peu de patience pour obtenir l’accès à un compte sur le site internet.
Pourquoi il faut être vigilant… collectivement ?
Parce qu’il est erroné de penser que, parce que votre mot de passe est en béton armé recouvert de titane, vous êtes protégé. Non, vous n’êtes pas du tout protégé dans la mesure où un autre compte sur le même serveur n’est pas protégé. Une fois que le pirate s’est introduit, il a accès à toutes les données, pas uniquement celles des comptes mal protégés. Il suffit donc d’un mauvais mot de passe pour réduire à néant toute la sécurité du site.
Les torts sont partagés
Nombreux sont, aujourd’hui, les éditeurs qui obligent leurs utilisateurs à changer leur mot de passe régulièrement et surtout à utiliser un mot de passe fort. Malheureusement, nombreux sont aussi ceux qui ne le font pas et autorisent les mots de passe du genre « password ». Tel est notre cas, cependant en ce qui nous concerne nous n’avons aucune donnée sur nos serveurs, en dehors du site et de son forum.
N’hésitez donc pas un instant à changer votre mot de passe s’il n’est pas assez fort, et parlez-en autour de vous, mieux : parlez de Panoptinet autour de vous et faites changer les habitudes, c’est la seule façon d’arriver à un niveau de protection efficace contre le piratage. Montrez aussi aux éditeurs que vous tenez absolument à ce que la protection de vos données soit assurée, c’est une obligation !
Crédits : Challenges.fr
[…] Pour achever une semaine plutôt consacrée aux mots de passe, nous parlerons du cas Ubisoft qui a annoncé le 2 juillet dernier avoir été victime d'un piratage et demande à ses utilisateurs de changer leur mot de passe. Le cas d'Ubisoft est intéressant, même s'il est très classique : un de leurs services (ils ne disent pas lequel a été piraté et le pirate a obtenu des informations sur les utilisateurs de la plateforme. Voici une partie de la communication officielle : "Nous avons récemment découvert qu'un de nos sites internet avait été exploité pour obtenir un accès non autorisé à certains de nos systèmes", puis "Nous avons appris que des données avaient été illégalement consultées depuis notre base de données, dont des noms d'utilisateurs, des adresses mail et des mots de passe codés"… […]