Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Après Dropbox, une fuite de données de 2012 chez Last.fm refait surface

2016 is the new 2012

Après Dropbox, une fuite de données de 2012 chez Last.fm refait surface

Le 02 septembre 2016 à 09h06

Le site LeakedSource a mis la main sur la base de données fuitée de Last.fm en 2012. Au total, ce sont les données de plus de 43 millions d'utilisateurs qui sont sorties, chiffrées en MD5, sans salage. Une sécurité minimale, même pour l'époque.

À chaque jour sa réapparition de fuite de données. Le service LeakedSource a récupéré plus de 43 millions d'identifiants d'utilisateurs de Last.fm, un service de musique populaire il y a encore quelques années. La fuite ne date pourtant pas d'hier, mais de mars 2012, comme l'avait signalé à l'époque Last.fm lui-même. LeakedSource a simplement récemment reçu ces données. Elles ont été vérifiées par deux journalistes, dont un de Softpedia.

Des mots de passe à peine chiffrés

Dans les faits, « chaque entrée contient un nom d'utilisateur, une adresse email, un mot de passe, une date d'inscription et quelques autres données internes » explique le service. C'est là que le bât blesse : les mots de passe sont hachés en MD5, sans salage. Pour mémoire, l'algorithme MD5 est considéré comme fragile depuis au moins 2004. L'absence de salage, c'est-à-dire de caractères aléatoires pour renforcer le chiffrement, est aussi un problème important. L'équipe indique avoir déchiffré 96 % de ces mots de passe en l'espace de deux heures.

La réapparition de ces données suit de quelques jours celle de 68 millions d'identifiants de Dropbox, aussi datés de 2012, comme nous l'a confirmé la société. Chez cette dernière, une partie des données était chiffrée avec bcrypt, l'autre avec SHA-1, ce qui est un large cran au-dessus du niveau minimal que représente MD5. Dropbox a d'ailleurs forcé la réinitialisation des mots de passe de ses utilisateurs, ce que n'a pas encore fait aujourd'hui Last.fm. Tout juste avait-il demandé à ses membres de changer de mot de passe en 2012.

Le problème de la réutilisation des identifiants

Il y a quatre ans, la société recommandait déjà que ce mot de passe soit différent de celui utilisé sur d'autres services. La réutilisation des mots de passe par les internautes est d'ailleurs devenue un large problème, même pour les sites qui n'ont pas connu de problème de sécurité.

Spotify nous confirmait ainsi hier avoir obligé une partie de ses utilisateurs à changer de mots de passe, retrouvés dans des bases de données fuitées d'autres services. L'entreprise suédoise surveille d'ailleurs activement ces publications pour prévenir ses membres.

Comme d'habitude, nous vous recommandons de changer votre mot de passe, si vous ne l'avez pas fait depuis l'époque, et de vous assurer qu'il n'a pas été réutilisé ailleurs. Vous pouvez vous appuyer sur notre guide complet pour créer un mot de passe robuste. Il est aussi recommandé d'activer l'authentification en deux étapes partout où vous le pouvez, deux sécurités valant mieux qu'une.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Patch a écrit :



Il a dit à responsabilités <img data-src=" />

Ca se saurait si les politiques étaient responsables…





ah oui merde mal lu <img data-src=" />


votre avatar

La vache, du MD5 sans salage, même pour des trucs de base non sensibles, je n’oserais pas (alors que je ne suis pas sysadmin mais que je fais quand même parfois du back).

Bon avec les derniers articles sur NXI, va vraiment falloir investir dans Keepass ou autre parce que c’est vraiment le bordel chez les sites pros (sérieux ça fait vraiment pas pro). Histoire d’avoir une gestion saine de mes pwd.

votre avatar

Le placement de produit porte ses fruits ici

votre avatar

Keepass toussa c’ets bien gentil, mais quand je veux me connecter à un site depuis un pc qui n’est pas à moi et qu’il n’ya pas les permissions de lancer un exe (aka PC du taff :o) comment je fais ? Et sur mon téléphone ? Et pour garder la db synchro si elle est sur mon pc et mon téléphone ?



J’adore keepass mais c’est bien quand on n’utilise qu’un seul pc ou alors des PC sur le meme lan avec db sur un share mais bon…



Dashlane dans le principe est top, sauf que closed-source + entreprise privée == NONONONONO

votre avatar

Encryptr ?

votre avatar

un cerveau ?

votre avatar







Iryngael a écrit :



Keepass toussa c’ets bien gentil, mais quand je veux me connecter à un site depuis un pc qui n’est pas à moi et qu’il n’ya pas les permissions de lancer un exe (aka PC du taff :o) comment je fais ? Et sur mon téléphone ? Et pour garder la db synchro si elle est sur mon pc et mon téléphone ?



J’adore keepass mais c’est bien quand on n’utilise qu’un seul pc ou alors des PC sur le meme lan avec db sur un share mais bon…



Dashlane dans le principe est top, sauf que closed-source + entreprise privée == NONONONONO





au boulot tu bosses, t’écoutes pas last fm <img data-src=" />


votre avatar

Moi j’étais choqué quand j’ai appris l’existence du sitehttps://haveibeenpwned.com/



Bordel il y a déjà eu de sacrés casseroles, et ça continue…

Ça m’a permis de savoir que mes ID avaient été compromis sur plusieurs sites…

votre avatar







DownThemAll a écrit :



Moi j’étais choqué quand j’ai appris l’existence du sitehttps://haveibeenpwned.com/



Bordel il y a déjà eu de sacrés casseroles, et ça continue…

Ça m’a permis de savoir que mes ID avaient été compromis sur plusieurs sites…





À force de le voir, je viens de craquer et de tester mon mail dessus.

Résultat, il a fuité 4 fois, dont 3 sur site de mmorpg.



J’ai changé mon mot de passe de nombreuses fois depuis que j’utilisais ces sites, donc en dehors du spam intensif, je suis peut être à peu près en sécurité.


votre avatar

KeePass existe aussi en version “portable”, donc pas de soucis à ce niveau, il peut se promener sur une clef USB et mettre à disposition sa base de données de MDP partout&nbsp;<img data-src=" />

votre avatar







dieudivin a écrit :



mettre à disposition sa base de données de MDP partout <img data-src=" />





C’est justement parce que des sites font ça que cet article a été écrit <img data-src=" />


votre avatar

Tu peux share ta bdd sur un service cloud, ell est chiffrée et faut une master key forte ou un certif, dc aucun risque ou presque. Ça marche tres bien et aucun soucis de synchro pour moi perso

votre avatar
votre avatar







Glubglub a écrit :



Les sysadmin peuvent faire énormément de dégâts à autrui, s’ils sont paresseux ou incompétents.

Ils devraient avoir une épée de damoclès au dessus d’eux, comme n’importe quel autre métier à responsabilités similaires.







Le sysadmin fait avec les moyens que M. Quisignelechèque lui donne. Voire M. Quisignelechèque prend un sysadmin pas cher qui ne connaît rien à rien mais sait parler français. (ça c’était un critère dans une boîte pour l’externalisation)



Et comme la sécurité ça coûte cher “pour rien”, bah on a que ce qu’on mérite.



Perso je me suis battu deux ans contre un projet qui voulait mettre une infra non sécurisée (pas forcément en terme de protection des données, mais de sécu du service) en prod… Depuis ils s’en mordent les doigts, j’ai bien fait de me barrer.


votre avatar



Des mots de passe à peine chiffrés





Non. Les mots de passe sont complètement chiffrés.



…Mais facilement déchiffrables. <img data-src=" />

votre avatar







Glubglub a écrit :



Etape 1 : Créer un ordre des sysadmin, comme pour les médecins, les architectes, ou les avocats. 



Etape 2 : Interdire d'exercer les sysadmin ayant laissé passer des chiffrements en clair, en MD5, ou sans salage.      


Etape 3 : Enjoy      







Les sysadmin peuvent faire énormément de dégâts à autrui, s'ils sont paresseux ou incompétents.      


Ils devraient avoir une épée de damoclès au dessus d'eux, comme n'importe quel autre métier à responsabilités similaires.






Why not mais avec des salaires de médecins alors !


votre avatar

L’occasion de nous rappeler de l’existence de ce site qui fut un bel outil de découverte musicale il y a 10 ans..

votre avatar







seboquoi a écrit :



L’occasion de nous rappeler de l’existence de ce site qui fut un bel outil de découverte musicale il y a 10 ans..





“Grosse fuite de mots de passe chez Caramail et Lycos” <img data-src=" />


votre avatar

Etape 1 : Créer un ordre des sysadmin, comme pour les médecins, les architectes, ou les avocats.

Etape 2 : Interdire d’exercer les sysadmin ayant laissé passer des chiffrements en clair, en MD5, ou sans salage.

Etape 3 : Enjoy



Les sysadmin peuvent faire énormément de dégâts à autrui, s’ils sont paresseux ou incompétents.

Ils devraient avoir une épée de damoclès au dessus d’eux, comme n’importe quel autre métier à responsabilités similaires.

votre avatar







Glubglub a écrit :



Ils devraient avoir une épée de damoclès au dessus d’eux, comme n’importe quel autre métier à responsabilités similaires.





genre homme/femme politique ? :sifflote:


votre avatar







WereWindle a écrit :



genre homme/femme politique ? :sifflote:



Il a dit à responsabilités <img data-src=" />

Ca se saurait si les politiques étaient responsables…


votre avatar

J’utilise keepass sans pb : syncro sur dropbox (y’a une manip expliqué sur leur site), application keepas sur mon android, et une de mes photos en guise de clé

Après Dropbox, une fuite de données de 2012 chez Last.fm refait surface

  • Des mots de passe à peine chiffrés

  • Le problème de la réutilisation des identifiants

Fermer