MySpace : 427 millions de mots de passe dans la nature
Record battu
Le 30 mai 2016 à 16h15
4 min
Internet
Internet
Plus de 427 millions de mots de passe provenant de MySpace sont actuellement en vente. L’entreprise n’a encore rien confirmé, mais des tests préliminaires montrent que les données sont bien ce qu’elles semblent être. Il est recommandé aux utilisateurs de changer leur mot de passe au plus vite.
Alors que la brèche dans LinkedIn s’est révélée récemment beaucoup plus importante que prévu, MySpace pourrait battre tous les records. Selon LeakedSource, qui avait déjà donné de nombreux détails sur LinkedIn, ce ne sont pas moins de 427 484 128 mots de passe issus de MySpace qui ont fuité. Ce piratage ne serait pas récent, mais aucun élément chronologique ne permet d’en savoir plus pour l’instant.
360 millions de combinaisons adresse et mot de passe
MySpace n’a pas encore communiqué sur le sujet, alors que l’annonce de LeakedSource date de vendredi. On sait ainsi que sur les 427 millions de passe, 360 213 024 « seulement » sont en fait dangereux, car reliés à une adresse email. 111 341 258 sont même accompagnés d'un nom d'utilisateur. Le site Motherboard, qui s’intéresse à l’affaire, indique avoir envoyé à LeakedSource cinq adresses appartenant à des employés ou amis, le site ayant renvoyé le bon mot de passe à chaque fois. Une opération également réalisée par Fortune.
Les identifiants ne bénéficient par ailleurs que d’un simple hachage SHA1, sans aucun salage. À cause de cette très faible protection, LeakedSource estime être en mesure de récupérer les données en clair dans 98 à 99 % des cas, d’ici quelques jours seulement.
La conjonction d’une adresse et d’un mot de passe est pour rappel dangereuse, car elle offre aux pirates la possibilité d’aller vérifier sur d’autres sites si le même duo a été réutilisé. Le fait d’employer plusieurs fois le même mot de passe représente un danger courant, qui s’exprime encore davantage quand le mot retenu est de faible force. Dans le cas de MySpace, les statistiques ne sont encore une fois guère brillantes.
« password1 »
Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa ». Dans la liste, on retrouve également de nombreux mots composés d’une suite de lettres minuscules accompagnées d’un « 1 », sans doute le témoignage d’une consigne de sécurité mal comprise : « password1 », « myspace1 », « qwerty1 », « fuckyou1 » ou encore « iloveyou1 ». Les éternels « abc123 » et « 12346 » sont également présents.
Ces données ont été mises en vente vendredi après-midi par un pirate nommé « Peace ». Il en demande la modique somme de 6 bitcoins, soit environ 2 880 euros à l’heure où nous écrivons ces lignes. Motherboard, qui est également entré en contact avec lui, rapporte qu’il a souhaité vendre le lot avant que des « idiots ne commencent à le diffuser ».
Absence de réaction
Plusieurs signes indiquent que ce piratage remonte déjà à un petit moment. La réaction de Peace semble indiquer que d’autres personnes possèdent ces informations et pourraient commencer à les proposer ailleurs. Selon LeakedSource, il s’agit tout simplement de la « nature de l’information », ajoutant que « trois personnes peuvent garder un secret, si deux d’entre elles sont mortes ».
Mais que la brèche soit ancienne ou non, elle pose la question de la communication par MySpace. La société n’a toujours pas officiellement réagi. Motherboard indique qu’en dépit de multiples demandes, aucune réponse n’a été donnée.
Dans tous les cas, il est fortement recommandé de changer son mot de passe immédiatement, même si le compte n’est plus utilisé. Il est toujours possible avec les bons identifiants de récupérer des informations personnelles qui pourraient servir pour d’autres attaques, sans parler du risque de les réutiliser sur d’autres sites. Nos confrères donnent d’ailleurs le même conseil que celui que nous avions mentionné dans le cas de LinkedIn : l’utilisation d’un gestionnaire de mots de passe comme 1Password, Dashlane, KeePass ou LastPass, afin de générer de longs mots forts.
MySpace : 427 millions de mots de passe dans la nature
-
360 millions de combinaisons adresse et mot de passe
-
« password1 »
-
Absence de réaction
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/05/2016 à 19h13
MySpace ? Je savais même pas que ça existait encore….
Le 30/05/2016 à 21h03
La plupart des gens utilisant le même couple adresse / mot de passe partout, même si plus personne n’utilise MySpace depuis des années cette base de données reste très intéressante.
Le 31/05/2016 à 00h37
Moi je trouve ça toujours aussi ridicule de forcer les gens à mettre majuscule, chiffre + caractères spéciaux.
Ca fait des mots de passes impossible à retenir, donc obligé de mettre le même partout.
Pourquoi on ne peut pas juste mettre des mots de passe de 40 caractères, qui seront eux 10 fois plus sûrs que ces mots de passe, et pourtant très simples à retenir??
Le 31/05/2016 à 04h39
tout centralisé dans un même logiciel comme cela y’a plus qu’a le pirater lui et on a tout sous la main pour 1 même personne…. Sauf si bien sur ces logiciels là n’ont pas de “failles de sécurité”….
Le 31/05/2016 à 08h11
A quoi bon mettre des mots de passe forts si les base sont pas plus protégées que ma bécane ?
Sinon les mots de passe avec une maj et des chiffres sont moins forts qu’une suite de mots aléatoires genre “chevalmotovelomaman”, d’apres ce que je sais, suivant le type d’attaque, force brute ou dictionnaire.
Le 31/05/2016 à 15h44
asv stp ?
" />
Le 31/05/2016 à 15h45
Le 30/05/2016 à 16h23
T’ain, ça existe encore myspace… et y’a des gens qui s’en serve…. hébé…
N’ayant jamais eu de compte là bas, ça roule. Mais punaise, un truc aussi gros et même pas saler les mpd -__-
Le 30/05/2016 à 16h28
“Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa ».”
Tiens, première fois que je le vois celui-là… étrange, c’était un mot qu’on trouvait sur la page de création de compte même ou bien c’est juste un “mot” qui a le même hachage SHA-1 qu’un autre plus courant ?
Le 30/05/2016 à 16h31
Le 30/05/2016 à 16h39
Le 30/05/2016 à 16h44
J’ai retrouvé cette info :
Time Inc rachète Viant (mais pas pour Myspace)
Oui, myspace.com fonctionne encore ! - Next inpact - 13/02/2016
Il squatte l’Eurovision Song Contest 2016.
" />
Le 30/05/2016 à 16h53
“Trois personnes peuvent garder un secret, si deux d’entre elles sont mortes”. - Peace, 2016
Il porte bien son nom celui-là. RIP
Le 30/05/2016 à 18h20
OK, merci pour l’info :}
Le 30/05/2016 à 18h24
Avec 855 478 occurrences, le mot de passe le plus utilisé est « homeslesspa »
Les réseaux sociaux qui se vantent de leur nombres d’utilisateurs pour attirer le pognon, créeraient des faux comptes avec tous le même mot de passe pour gonfler leurs chiffres? " />
Le 30/05/2016 à 18h35
l’utilisation d’un gestionnaire de mots de passe comme 1Password,
Dashlane, KeePass ou LastPass, afin de générer de longs mots forts.
Ou Encryptr " /> (pour gérer, pas générer)
Le 30/05/2016 à 18h37
J’ai traversé une faille spatio-temporelle ? On est en 2016 ou 2006 ?
Le 30/05/2016 à 18h59
tu peux aussi créer un identifiant chez :
http://www.caramail.com
http://www.lycos.fr
http://www.aol.fr
" />
Le 30/05/2016 à 19h10
La conjonction d’une adresse et d’un mot de passe est pour rappel dangereuse, car elle offre aux pirates la possibilité d’aller vérifier sur d’autres sites si le même duo a été réutilisé.
Il faudrait dire cela aux services qui exigent une adresse e-mail comme identifiant et ne veulent pas entendre parler d’autres choses. Au hasard, Apple ID…