Connexion
Abonnez-vous

MySpace : 427 millions de mots de passe dans la nature

Record battu

MySpace : 427 millions de mots de passe dans la nature

Le 30 mai 2016 à 16h15

Plus de 427 millions de mots de passe provenant de MySpace sont actuellement en vente. L’entreprise n’a encore rien confirmé, mais des tests préliminaires montrent que les données sont bien ce qu’elles semblent être. Il est recommandé aux utilisateurs de changer leur mot de passe au plus vite.

Alors que la brèche dans LinkedIn s’est révélée récemment beaucoup plus importante que prévu, MySpace pourrait battre tous les records. Selon LeakedSource, qui avait déjà donné de nombreux détails sur LinkedIn, ce ne sont pas moins de 427 484 128 mots de passe issus de MySpace qui ont fuité. Ce piratage ne serait pas récent, mais aucun élément chronologique ne permet d’en savoir plus pour l’instant.

360 millions de combinaisons adresse et mot de passe

MySpace n’a pas encore communiqué sur le sujet, alors que l’annonce de LeakedSource date de vendredi. On sait ainsi que sur les 427 millions de passe, 360 213 024 « seulement » sont en fait dangereux, car reliés à une adresse email. 111 341 258 sont même accompagnés d'un nom d'utilisateur. Le site Motherboard, qui s’intéresse à l’affaire, indique avoir envoyé à LeakedSource cinq adresses appartenant à des employés ou amis, le site ayant renvoyé le bon mot de passe à chaque fois. Une opération également réalisée par Fortune.

Les identifiants ne bénéficient par ailleurs que d’un simple hachage SHA1, sans aucun salage. À cause de cette très faible protection, LeakedSource estime être en mesure de récupérer les données en clair dans 98 à 99 % des cas, d’ici quelques jours seulement.

La conjonction d’une adresse et d’un mot de passe est pour rappel dangereuse, car elle offre aux pirates la possibilité d’aller vérifier sur d’autres sites si le même duo a été réutilisé. Le fait d’employer plusieurs fois le même mot de passe représente un danger courant, qui s’exprime encore davantage quand le mot retenu est de faible force. Dans le cas de MySpace, les statistiques ne sont encore une fois guère brillantes.

« password1 »

Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa ». Dans la liste, on retrouve également de nombreux mots composés d’une suite de lettres minuscules accompagnées d’un « 1 », sans doute le témoignage d’une consigne de sécurité mal comprise : « password1 », « myspace1 », « qwerty1 », « fuckyou1 » ou encore « iloveyou1 ». Les éternels « abc123 » et « 12346 » sont également présents.

Ces données ont été mises en vente vendredi après-midi par un pirate nommé « Peace ». Il en demande la modique somme de 6 bitcoins, soit environ 2 880 euros à l’heure où nous écrivons ces lignes. Motherboard, qui est également entré en contact avec lui, rapporte qu’il a souhaité vendre le lot avant que des « idiots ne commencent à le diffuser ».

Absence de réaction

Plusieurs signes indiquent que ce piratage remonte déjà à un petit moment. La réaction de Peace semble indiquer que d’autres personnes possèdent ces informations et pourraient commencer à les proposer ailleurs. Selon LeakedSource, il s’agit tout simplement de la « nature de l’information », ajoutant que « trois personnes peuvent garder un secret, si deux d’entre elles sont mortes ».

Mais que la brèche soit ancienne ou non, elle pose la question de la communication par MySpace. La société n’a toujours pas officiellement réagi. Motherboard indique qu’en dépit de multiples demandes, aucune réponse n’a été donnée.

Dans tous les cas, il est fortement recommandé de changer son mot de passe immédiatement, même si le compte n’est plus utilisé. Il est toujours possible avec les bons identifiants de récupérer des informations personnelles qui pourraient servir pour d’autres attaques, sans parler du risque de les réutiliser sur d’autres sites. Nos confrères donnent d’ailleurs le même conseil que celui que nous avions mentionné dans le cas de LinkedIn : l’utilisation d’un gestionnaire de mots de passe comme 1Password, Dashlane, KeePass ou LastPass, afin de générer de longs mots forts.

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

MySpace ? Je savais même pas que ça existait encore….

votre avatar

La plupart des gens utilisant le même couple adresse / mot de passe partout, même si plus personne n’utilise MySpace depuis des années cette base de données reste très intéressante.

votre avatar

Moi je trouve ça toujours aussi ridicule de forcer les gens à mettre majuscule, chiffre + caractères spéciaux.

Ca fait des mots de passes impossible à retenir, donc obligé de mettre le même partout.

Pourquoi on ne peut pas juste mettre des mots de passe de 40 caractères, qui seront eux 10 fois plus sûrs que ces mots de passe, et pourtant très simples à retenir??

votre avatar

tout centralisé dans un même logiciel comme cela y’a plus qu’a le pirater lui et on a tout sous la main pour 1 même personne…. Sauf si bien sur ces logiciels là n’ont pas de “failles de sécurité”….

votre avatar

A quoi bon mettre des mots de passe forts si les base sont pas plus protégées que ma bécane ?



Sinon les mots de passe avec une maj et des chiffres sont moins forts qu’une suite de mots aléatoires genre “chevalmotovelomaman”, d’apres ce que je sais, suivant le type d’attaque, force brute ou dictionnaire.

votre avatar

asv stp ?

<img data-src=" />

votre avatar







CryoGen a écrit :



D’après un site en néerlandais, c’est un mot de passe utilisé par un générateur de compte : source





Super merci pour l’info&nbsp;<img data-src=" />

&nbsp;



joma74fr a écrit :



J’ai retrouvé cette info :




 "Au détour d'un rachat, on apprend que le réseau social Myspace change une nouvelle fois de main. Il appartient désormais à Time Inc, un éditeur de presse qui en profite pour mettre la main sur une base de données de 1,2 milliard d’utilisateurs."       



Time Inc rachète Viant (mais pas pour Myspace)



 Oui, myspace.com fonctionne encore ! - Next inpact - 13/02/2016       








 Mais que fait Justin Timberlake, co-propriétaire de Specific Media (groupe Viant), propriétaire de MySpace ?    



&nbsp; Il squatte l’Eurovision Song Contest 2016.

<img data-src=" />



 &nbsp;







<img data-src=" />


votre avatar

T’ain, ça existe encore myspace… et y’a des gens qui s’en serve…. hébé…



N’ayant jamais eu de compte là bas, ça roule. Mais punaise, un truc aussi gros et même pas saler les mpd -__-

votre avatar

“Avec 855&nbsp;478 occurrences, le mot de passe le plus utilisé est «&nbsp;homeslesspa&nbsp;».”

Tiens, première fois que je le vois celui-là… étrange, c’était un mot qu’on trouvait sur la page de création de compte même ou bien c’est juste un “mot” qui a le même hachage SHA-1 qu’un autre plus courant ?

votre avatar







Constance a écrit :



“Avec 855&nbsp;478 occurrences, le mot de passe le plus utilisé est «&nbsp;homeslesspa&nbsp;».”

Tiens, première fois que je le vois celui-là… étrange, c’était un mot qu’on trouvait sur la page de création de compte même ou bien c’est juste un “mot” qui a le même hachage SHA-1 qu’un autre plus courant ?





Non, je ne pense pas qu’il y ai une collision en SHA1 sur un une occurrence aussi “simple”. Cela dis je suis d’accord, c’est assez bizarre.



Ou d’est un mot de passe en “god mod”, ou pour des comptes fake, ou des comptes réinitialisés ?


votre avatar







boogieplayer a écrit :



Non, je ne pense pas qu’il y ai une collision en SHA1 sur un une occurrence aussi “simple”. Cela dis je suis d’accord, c’est assez bizarre.



Ou d’est un mot de passe en “god mod”, ou pour des comptes fake, ou des comptes réinitialisés ?







D’après un site en néerlandais, c’est un mot de passe utilisé par un générateur de compte : source


votre avatar

J’ai retrouvé cette info :




"Au détour d'un rachat, on apprend que le réseau social Myspace change une nouvelle fois de main. Il appartient désormais à Time Inc, un éditeur de presse qui en profite pour mettre la main sur une base de données de 1,2 milliard d’utilisateurs."      



Time Inc rachète Viant (mais pas pour Myspace)

Oui, myspace.com fonctionne encore ! - Next inpact - 13/02/2016






Mais que fait Justin Timberlake, co-propriétaire de Specific Media (groupe Viant), propriétaire de MySpace ?   



&nbsp; Il squatte l’Eurovision Song Contest 2016.

<img data-src=" />



&nbsp;
votre avatar

“Trois personnes peuvent garder un secret, si deux d’entre elles sont mortes”. - Peace, 2016



Il porte bien son nom celui-là. RIP

votre avatar

OK, merci pour l’info :}

votre avatar



Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa »





Les réseaux sociaux qui se vantent de leur nombres d’utilisateurs pour attirer le pognon, créeraient des faux comptes avec tous le même mot de passe pour gonfler leurs chiffres? <img data-src=" />

votre avatar



l’utilisation d’un gestionnaire de mots de passe comme 1Password,

Dashlane, KeePass ou LastPass, afin de générer de longs mots forts.





Ou Encryptr <img data-src=" /> (pour gérer, pas générer)

votre avatar

J’ai traversé une faille spatio-temporelle ? On est en 2016 ou 2006 ?

votre avatar

tu peux aussi créer un identifiant chez :

&nbsp;http://www.caramail.com

&nbsp;http://www.lycos.fr

&nbsp;http://www.aol.fr

<img data-src=" />

votre avatar



La conjonction d’une adresse et d’un mot de passe est pour rappel dangereuse, car elle offre aux pirates la possibilité d’aller vérifier sur d’autres sites si le même duo a été réutilisé.





Il faudrait dire cela aux services qui exigent une adresse e-mail comme identifiant et ne veulent pas entendre parler d’autres choses. Au hasard, Apple ID…

MySpace : 427 millions de mots de passe dans la nature

  • 360 millions de combinaisons adresse et mot de passe

  • « password1 »

  • Absence de réaction

Fermer