Le 12 mai, Tumblr indiquait qu’un certain nombre d’utilisateurs étaient concernés par une fuite de mots de passe. L’éditeur semblait indiquer que la brèche n’était guère importante. Il s’avère que plus de 65 millions de personnes ont été touchées.
Non seulement l’histoire se répète, mais les ingrédients et intervenants sont pratiquement les mêmes. Seul le nom de la société concernée change : Tumblr. Racheté par Yahoo, l’éditeur avait publié un court message le 12 mai pour expliquer qu’une brèche avait permis le vol de mots de passe. Sans donner de chiffre, il laissait entendre qu’un petit nombre seulement d’utilisateurs avait été touché. D’ailleurs, de nouveaux mots de passe allaient leur être demandés.
Des mots de passe hachés et salés
Motherboard, qui s’est penché également sur cette fuite, a eu confirmation par le chercheur Troy Hunt – qui s’occupe parallèlement du site Have I Been Pwned – que la fuite touchait en fait 65 469 298 comptes, comprenant à la fois les adresses email et les mots de passe. D’après Peace, pirate qui possédait déjà les données des fuites de LinkedIn et MySpace, les mots de passe étaient hachés via SHA1 et salés.
À cause de ce salage (des octets aléatoires sont ajoutés dans les hashs), Peace estime que ces données sont essentiellement une liste d’adresses email. C’est d’ailleurs pourquoi il n’aurait réussi qu’à les revendre 150 dollars sur le site The Real Deal, où les données de LinkedIn et MySpace avaient été vendues pour quelques bitcoins.
LinkedIn, MySpace, Tumblr : de nombreux points communs
Le cas présente de nombreuses similitudes avec ces brèches. À chaque fois, il semble que des pirates aient exploité une ou plusieurs brèches dans la défense, voire des failles de sécurité, et qu’ils aient gardé ces informations dormantes pendant plusieurs années. Troy Hunt estime d’ailleurs dans un billet publié hier qu’en conséquence de l’âge probable des données de Tumblr, environ la moitié seulement des mots de passe seraient utiles.
Cependant, l’âge même de ces données peut se retourner contre les utilisateurs de différentes manières, particulièrement si les mots de passe n’ont pas été changés depuis. Même si aujourd’hui les pratiques de sécurité laissent globalement à désirer, elles étaient encore pires il y a quelques années. La question de la réutilisation des mots de passe pourrait d'ailleurs se poser : même si les membres ont bien changé leurs identifiants sur Tumblr depuis l'époque de la fuite, ceux-ci ont pu les conserver sur d'autres services qu'ils estiment à l'abri.
À noter que Tumblr n'a pas encore réagi à ces nouvelles informations.
Commentaires (16)
Une fuite de plus, c’est tellement banale que c’en est affligeant…
Par contre, sympa le site “Have I Been Pwned” !
On peut pas les blâmer, on ne peut pas penser à tout.
Et pour leur défense :
“les mots de passe étaient hachés via SHA1 et salés.“on a déjà vu pire. Perso dans ma boite, c’était en clair dans la base tout comme l’email.
Clairement. Mon adresse principale a été “pwned” sur deux sites, Nexus Mods et Patreon, mais dans les deux cas l’alerte avait été donnée et les mots de passe changés. Et, dans les deux cas, ils n’étaient pas stockés en claire.
Malheureusement, ce n’est pas encore une pratique généralisée, et généralement pour la pire des raisons (quand on en connaît les conséquences) : la commodité de l’utilisateur.
Sympa le site, Je viens d’apprendre que mon mail principal avait été “pwned” sur Wildstar a l’époque. Problème venant d’eux et ils étaient incapable de te rendre ce qui avait été volé sur le compte ^^
Bah, je change tellement souvent nickname sur tumblr (qui n’est malheureusement plus ce qu’il était depuis qu’il a été acheté par Yahoo -_-), que ce n’est pas critique. Mais mon compte principal contient quand même plus de 10 000 posts depuis 2009 et des followers sympas. Ce serait con de les perdre. Allez un petit tour chez mon ami http://strongpasswordgenerator.com/ et c’est reparti.
Puis bon haché/salé, c’est pas très grave, on a vu pire.
si tu te fait pas choper ta bdd en 2016 t’a raté ta vie
" />
bon faut pas non plus que ça en devienne une habitude là….
Final Fantasy Shrine ? jamais mis les pieds là bas.. il est fiable votre machin ?
Nexusmods a eu un souci il y a quelques mois et a forcé le changemetn de mot de passe de tous les comptes.
SHA1 même salé c’est faible de nos jours.
Nextinpact devrait faire un sondage sur les mots passe.
Je parie que l’écrasante majorité des gens mettent le même mot de passe partout ou presque.
Et même un changement de temps en temps est rare (c’est insupportable de devoir retenir des changement de mot passe)
Les services non open source qui enregistrent et génèrent des mot de passes inretenable ne sont pas la meilleure solution aussi.