Tumblr : une fuite de plus de 65 millions d’identifiants
On prend les mêmes et on recommence
Le 31 mai 2016 à 14h00
3 min
Internet
Internet
Le 12 mai, Tumblr indiquait qu’un certain nombre d’utilisateurs étaient concernés par une fuite de mots de passe. L’éditeur semblait indiquer que la brèche n’était guère importante. Il s’avère que plus de 65 millions de personnes ont été touchées.
Non seulement l’histoire se répète, mais les ingrédients et intervenants sont pratiquement les mêmes. Seul le nom de la société concernée change : Tumblr. Racheté par Yahoo, l’éditeur avait publié un court message le 12 mai pour expliquer qu’une brèche avait permis le vol de mots de passe. Sans donner de chiffre, il laissait entendre qu’un petit nombre seulement d’utilisateurs avait été touché. D’ailleurs, de nouveaux mots de passe allaient leur être demandés.
Des mots de passe hachés et salés
Motherboard, qui s’est penché également sur cette fuite, a eu confirmation par le chercheur Troy Hunt – qui s’occupe parallèlement du site Have I Been Pwned – que la fuite touchait en fait 65 469 298 comptes, comprenant à la fois les adresses email et les mots de passe. D’après Peace, pirate qui possédait déjà les données des fuites de LinkedIn et MySpace, les mots de passe étaient hachés via SHA1 et salés.
À cause de ce salage (des octets aléatoires sont ajoutés dans les hashs), Peace estime que ces données sont essentiellement une liste d’adresses email. C’est d’ailleurs pourquoi il n’aurait réussi qu’à les revendre 150 dollars sur le site The Real Deal, où les données de LinkedIn et MySpace avaient été vendues pour quelques bitcoins.
LinkedIn, MySpace, Tumblr : de nombreux points communs
Le cas présente de nombreuses similitudes avec ces brèches. À chaque fois, il semble que des pirates aient exploité une ou plusieurs brèches dans la défense, voire des failles de sécurité, et qu’ils aient gardé ces informations dormantes pendant plusieurs années. Troy Hunt estime d’ailleurs dans un billet publié hier qu’en conséquence de l’âge probable des données de Tumblr, environ la moitié seulement des mots de passe seraient utiles.
Cependant, l’âge même de ces données peut se retourner contre les utilisateurs de différentes manières, particulièrement si les mots de passe n’ont pas été changés depuis. Même si aujourd’hui les pratiques de sécurité laissent globalement à désirer, elles étaient encore pires il y a quelques années. La question de la réutilisation des mots de passe pourrait d'ailleurs se poser : même si les membres ont bien changé leurs identifiants sur Tumblr depuis l'époque de la fuite, ceux-ci ont pu les conserver sur d'autres services qu'ils estiment à l'abri.
À noter que Tumblr n'a pas encore réagi à ces nouvelles informations.
Tumblr : une fuite de plus de 65 millions d’identifiants
-
Des mots de passe hachés et salés
-
LinkedIn, MySpace, Tumblr : de nombreux points communs
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/05/2016 à 14h05
Une fuite de plus, c’est tellement banale que c’en est affligeant…
Par contre, sympa le site “Have I Been Pwned” !
Le 31/05/2016 à 14h11
Le 31/05/2016 à 14h14
Le 31/05/2016 à 14h15
On peut pas les blâmer, on ne peut pas penser à tout.
Et pour leur défense :
“les mots de passe étaient hachés via SHA1 et salés.“on a déjà vu pire. Perso dans ma boite, c’était en clair dans la base tout comme l’email.
Le 31/05/2016 à 14h26
Clairement. Mon adresse principale a été “pwned” sur deux sites, Nexus Mods et Patreon, mais dans les deux cas l’alerte avait été donnée et les mots de passe changés. Et, dans les deux cas, ils n’étaient pas stockés en claire.
Malheureusement, ce n’est pas encore une pratique généralisée, et généralement pour la pire des raisons (quand on en connaît les conséquences) : la commodité de l’utilisateur.
Le 31/05/2016 à 14h27
Le 31/05/2016 à 14h30
Sympa le site, Je viens d’apprendre que mon mail principal avait été “pwned” sur Wildstar a l’époque. Problème venant d’eux et ils étaient incapable de te rendre ce qui avait été volé sur le compte ^^
Le 31/05/2016 à 14h30
Bah, je change tellement souvent nickname sur tumblr (qui n’est malheureusement plus ce qu’il était depuis qu’il a été acheté par Yahoo -_-), que ce n’est pas critique. Mais mon compte principal contient quand même plus de 10 000 posts depuis 2009 et des followers sympas. Ce serait con de les perdre. Allez un petit tour chez mon ami http://strongpasswordgenerator.com/ et c’est reparti.
Puis bon haché/salé, c’est pas très grave, on a vu pire.
Le 31/05/2016 à 14h34
si tu te fait pas choper ta bdd en 2016 t’a raté ta vie
" />
bon faut pas non plus que ça en devienne une habitude là….
Le 31/05/2016 à 14h45
Final Fantasy Shrine ? jamais mis les pieds là bas.. il est fiable votre machin ?
Le 31/05/2016 à 14h56
Nexusmods a eu un souci il y a quelques mois et a forcé le changemetn de mot de passe de tous les comptes.
Le 31/05/2016 à 14h58
SHA1 même salé c’est faible de nos jours.
Le 31/05/2016 à 17h39
Nextinpact devrait faire un sondage sur les mots passe.
Je parie que l’écrasante majorité des gens mettent le même mot de passe partout ou presque.
Et même un changement de temps en temps est rare (c’est insupportable de devoir retenir des changement de mot passe)
Les services non open source qui enregistrent et génèrent des mot de passes inretenable ne sont pas la meilleure solution aussi.
Le 31/05/2016 à 22h55
Le 01/06/2016 à 09h03