Opera Sync piraté, la sécurité des identifiants et mots de passe compromise
De quoi bien commencer la semaine...
Le 29 août 2016 à 06h30
3 min
Internet
Internet
Opera Sync a été piraté et l'éditeur pense que des données personnelles comme des identifiants et mots de passe ont pu être récupérées. Par mesure de sécurité, les 1,7 million d'utilisateurs de Sync sont priés de changer leur mot de passe.
Comme bon nombre de ses concurrents, Opera propose un service de synchronisation entre vos différentes machines. Simplement baptisé Sync, il permet notamment de sauvegarder vos marques pages, paramètres, historique de navigation et mots de passe. Problème, l'éditeur annonce que des pirates ont réussi à s'introduire dans ses serveurs la semaine dernière. Et même si la société annonce que l'attaque a été « rapidement bloquée », elle pense que des données ont pu être récupérées.
Changement de mot de passe pour les 1,7 million de comptes Opera Sync
Les informations sont donc très sensibles puisqu'il est notamment question des identifiants de connexion sur des services tiers. L'éditeur précise que les mots de passe sont chiffrés (via une phrase de passe maison, ou bien via un algorithme d'Opera qui n'est malheureusement pas détaillé) ou hachés et salés suivant les cas.
« Par précaution », Opera a décidé de réinitialiser l'ensemble de ses comptes Sync, ce qui se traduit par un changement de mot de passe obligatoire pour les 1,7 million d'utilisateurs de ce service (soit 0,5 % des 350 millions d'utilisateurs revendiqués par Opera). Des emails ont également été envoyés aux personnes concernées. Ceux qui n'utilisent pas Sync ne sont pas impactés par cette mesure.
« Dans une abondance de prudence », Opera encourage les utilisateurs de Sync à changer tous leurs mots de passe sauvegardés via Sync. Opera ne donnant aucun détail sur la méthode de chiffrement utilisé, il est impossible de juger de la fiabilité de cette dernière et donc d'estimer les chances que des pirates puissent les récupérer. Comme toujours, dans le doute, on ne peut donc que vous recommander de les mettre à jour.
Une attaque et une fuite de données qui soulèvent des questions
Ce piratage met d'ailleurs en lumière les risques liés à la synchronisation des identifiants et mots de passe sur des services en ligne, que ce soit pour Opera ou d'autres navigateur et services, comme certains gestionnaires de mots de passe par exemple.
La simplicité d'utilisation de ces outils ne doit pas cacher le risque que l'on peut courir en cas d'attaque et de fuite de données. Néanmoins, il n'est pas toujours facile de trouver le juste milieu entre sécurité d'un côté et confort d'utilisation au quotidien de l'autre ; un sujet sur lequel nous aurons l'occasion de revenir ultérieurement.
Le 29 août 2016 à 06h30
Opera Sync piraté, la sécurité des identifiants et mots de passe compromise
-
Changement de mot de passe pour les 1,7 million de comptes Opera Sync
-
Une attaque et une fuite de données qui soulèvent des questions
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/08/2016 à 06h44
#1
L’impression générale que me donne Opera, c’est problèmes sur problèmes et changements de stratégies perpétuelle.
Le 29/08/2016 à 06h50
#2
Hop, mot de passe changé… J’aurai peut-être du fermer mon compte vu que j’utilise plus le bouzin…
Le 29/08/2016 à 06h55
#3
Et après je dois faire confiance à leur VPN ?! A d’autres !
Le 29/08/2016 à 07h02
#4
Humm alors ,j’ai voulu me co à mon compte …pas pu.
J’ai dû lancer la procédure de “réinitialiser le mot de passe”….
M’enfin.
Maintenant, y a personne qui tilte …cela m’inqui_ète .
Depuis qques temps quasi tous les sites demandent de changer le mot de passe souvent sans dire pk donc cela laisse supposer un tipiakage de leurs datas / cloud etc…
M’enfin , je dis cela, je ne dis rien …
Le 29/08/2016 à 07h24
#5
Tous les mots de passe ont été réinitialisés, ça explique pourquoi tu n’as pas pu te connecter.
Sinon, pour avoir une autre source de BD qui ont fuité, LeakedSource est assez complet : https://www.leakedsource.com/main/databaselist/ (une quinzaine sur ces 20 dernières ont été publiées le même jour par ailleurs)
Le 29/08/2016 à 07h29
#6
Se faire dérober toute sa vie de navigation (historique), ses centaines de mots de passe, etc., c’est un peu la catastrophe et c’est exactement le pire cauchemar lorsqu’on utilise un service de “cloud” ou de “sync”. Je compatis pour ceux qui ont fait confiance à ce service.
Le 29/08/2016 à 07h40
#7
Le 29/08/2016 à 08h00
#8
Tant la synchro d’historique n’est pas gênante vu que vos sites sont déjà connus de pas mal de monde, tant les mdp, ça me viendrait pas à l’esprit de les synchro en externe.
Keepass est ton ami.
Le 29/08/2016 à 08h28
#9
Le 29/08/2016 à 09h03
#10
Vivement la fin de l’anonymat sur internet, trop de dérive a mon gout..
Le 29/08/2016 à 09h16
#11
Au moins, chez Mozilla on te propose d’héberger ton cloud chez toi ! " />
https://docs.services.mozilla.com/howtos/run-sync-1.5.html
Blague à part, leurs idées sont vraiment bonne. Entre la séparation du stockage, du fournisseur d’identifier, etc… C’est vraiment pas mal et ça reste simple à mettre en place pour qui sait lire l’Anglais avec quelques connaissances informatiques.
Le 29/08/2016 à 09h48
#12
Oui ,j’ai eu le mail aussi.
Merci pour le lien ;)
Le 29/08/2016 à 11h48
#13
cloud = serveurs tiers = absence de confidentialité.
Le reste n’est que littérature marketing.
Le 29/08/2016 à 13h26
#14
Ma première fuite de données. Yay.
Le 29/08/2016 à 14h05
#15
Le 29/08/2016 à 14h17
#16
Un Panama Pampers leak ?
Le 29/08/2016 à 14h40
#17
Chance j’ai migré vers keypass sur mon owncloud il y a 6 mois, j’avais pourtant effacé tout les mots de passe mais pour le site il en reste encore 6 qui sont pourtant inaccessible depuis une syncro sur un navigateur …
J’ai wipe toutes les données et le compte on m’y reprendra pas 2 fois.
Du coup on viens de leak tous mes bookmark et mon historique mais bon Mr google ou un groupe de hacker ça me change pas trop :)
Le 29/08/2016 à 15h54
#18
Pour les mots de passe chiffrés avec une clef externe ( non synchronisé, 20char ), vous pensez ça craint qqc ou pas ?
Le 29/08/2016 à 22h53
#19
Première fuite pour moi également… Je change tous mes mots de passe et j’en profite pour changer les adresses mail sur protonmail.
Opéra, c’est finit pour moi.
Après ~10ans dessus, je passe à Chrome en attendant. Plus de synchronisation non plus.
Ça entraîne à être organisé je trouve, pas plus mal comme ça
Bon courage aux autres dans le même bousin !
Le 30/08/2016 à 07h20
#20
Le nombre des hacks depuis la diffusion des outils de la NSA sur la toile est sidérant.
Va falloir s’y habituer…
Le 30/08/2016 à 08h53
#21
Je crois les doigts pour que Mozilla tienne le coup " />
Le 30/08/2016 à 11h39
#22
J’utilise Firefox Sync…. la première chose que j’ai faite lors de mon inscription et avant même ma première utilisation, c’est désactiver la synchro des mots de passe… et ça c’était juste par précaution puisque je ne stocke pas de mots de passe dans Firefox…
Le 30/08/2016 à 21h44
#23
Tous les comptes ont reçu le mail, mais seuls 0.5% d’entre eux sont concernés par les mots de passe synchronisés qui ont pu fuiter (ce n’est pas encore sûr). Pour voir si tu as des MdP synchro ->https://sync.opera.com/web/
Le 01/09/2016 à 19h05
#24
Aïe. C’est une nouvelle catastrophique. En effet, les options de synchronisation de mots de passes intégrées aux navigateurs rendent difficile l’accès à la liste exhaustive des services ainsi mémorisés. Changer tous les mots de passes s’avère donc particulièrement difficile.
À l’époque où je faisais du web à titre professionnel, j’avais plus de 800 comptes différents en ligne, dont des comptes à moi, d’autres à mes clients. Une telle fuite aurait été quasiment impossible à corriger, vue l’ampleur du travail et la diversité des personnes impliquées.
Opera est un pionnier dans le domaine de la synchronisation des paramètres du navigateur web, dont des mots de passes. Gageons que cela ne détourne pas les Internautes de cet usage. Il reste encore maintenant plus sécurisé d’enregistrer son mot de passe dans le service de synchronisation de son navigateur que sur un carnet qui traîne sur le bureau, ou encore un tableur.
Enfin, notons que certains services web réclament une confirmation supplémentaire lors d’un premier accès depuis une nouvelle adresse IP, inconnue jusqu’alors. Récemment, LinkedIn m’a récemment demandé, en plus de mon identifiant et de mon mot de passe, de lui indiquer un code secret envoyé par email, lorsque j’ai changé mon adresse IP de connexion. Et cela sans que je n’aie explicitement activé l’identification en deux étapes. C’est un très bon point !