Connexion
Abonnez-vous

Vkontakte : les données de 100 millions de comptes en vente pour 1 bitcoin

En clair les mots de passe s'il-vous-plaît

Vkontakte : les données de 100 millions de comptes en vente pour 1 bitcoin

Le 07 juin 2016 à 08h15

Le réseau social Vkontakte est victime à son tour d’une imposante fuite de données. 171 millions de comptes ont été affectés, avec les mêmes grandes lignes que les cas LinkedIn et MySpace. Aujourd’hui, 100 millions des comptes sont en vente pour un petit bitcoin.

Vkontakte est souvent appelé le « Facebook de Russie ». Il possède actuellement 350 millions d’utilisateurs environ et a été fondé par Pavel Durov il y a une dizaine d’années. L’ancien PDG ayant été fiché comme opposant de Vladimir Poutine, il vit depuis 2014 dans la Fédération de Saint-Christophe-et-Niévès (Petites Antilles) avec son frère. Il est également le fondateur de Telegram.

Des mots de passe catastrophiques...

Le site a quoi qu’il en soit été victime d’une importante fuite de données vers la fin de l’année 2012, début 2013. Il y a trois ans et demi, le site comptait un peu moins de 190 millions d’utilisateurs. Les 171 millions de comptes volés à cette période correspondent donc sans doute à la totalité des profils alors accessibles.

Le site LeakedSource, qui analyse notamment les données dérobées, publie comme toujours quelques statistiques sur les mots de passe dépiautés. Le constat est globalement affligeant. Si les fuites de MySpace et LinkedIn ont montré que beaucoup faisaient un semblant d’effort dans la conception des identifiants, ceux trouvés dans Vkontakte sont une compilation des pires possibles : 123465, 12345679, qwerty, 111111, 123456790, 123467, 12345678, 123321, 000000 et 123123 pour un extraordinaire Top 10.

... et disponibles en clair

Malheureusement, puisque l’on parle d’un réseau social, les données volées ne contiennent pas uniquement des mots de passe. L’adresse email associée est présente, de même que les nom, prénom, ville de résidence, numéro de téléphone et adresse email secondaire de chaque inscrit. Une vraie mine d’or, que ZDnet a pu obtenir et tester. Nos confrères indiquent que ces informations sont valables, même si une partie correspond visiblement à des comptes ayant été depuis supprimés.

Dans le cas de Vkontakte, la fuite de données est d’autant plus dangereuse que les mots de passe n’étaient pas protégés par la moindre mesure de sécurité, pas même un simple hachage. Les données sont donc rapidement exploitables, la base des 100 millions de comptes étant actuellement vendue par un pirate pour un seul bitcoin, soit 520 euros environ au cours actuel.

Le danger évidemment avec des mots de passe en texte clair est qu’ils peuvent être réutilisés directement pour tenter l’aventure sur d’autres sites. Vkontakte a de de plus été racheté en 2014 par le fournisseur Mail.ru, et il est possible que nombre d’utilisateurs ait simplement choisi le même mot que pour leur compte email – 41 % des adresses utilisées se finissent d’ailleurs en @mail.ru, contre à peine 2 % pour Gmail. Même si avec des identifiants aussi faibles, obtenir l’accès n’aurait dans tous les cas pas été très complexe. Et il ne s’agit encore ici que des comptes sur Internet, la présence des numéros de téléphone pouvant bien sûr occasionner nombre de désagréments.

Pour Vkontakte, tout va bien

La ligne de défense de Vkontakte, exposée notamment à Motherboard, est presque épidermique : « La base de données de VK n’a pas été piratée. Nous parlons ici de vieux identifiants et mots de passe qui ont été collectés par des fraudeurs en 2011 - 2012. Toutes les données des utilisateurs mentionnées dans cette base ont été changées d’office. Rappelez-vous s’il-vous-plaît qu’installer des logiciels peu fiables sur vos appareils peut entrainer une perte de vos données. Pour des raisons de sécurité, nous recommandons l’activation de l’authentification à deux facteurs dans les paramètres du profil et l’utilisation d’un mot de passe fort ».

En d’autres termes, l’utilisateur est en tort, car il a nécessairement utilisé un mot de passe trop faible ou installé un logiciel vérolé. Que les mots de passe aient été en clair n’interroge pas l’entreprise, qui n’indique évidemment pas si un chiffrement des identifiants a depuis été mis en place. Par contre, l’activation de l’authentification à deux facteurs sera effectivement un pas dans la bonne direction, même si la création d’un mot de passe long et assez complexe (minuscules, majuscules, chiffres, caractères spéciaux, pas de mot du dictionnaire …) reste la base de la sécurité sur ce type de service en ligne.

Commentaires (37)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

S’il était réellement résident à Monaco, il saurait que cela n’apporte aucun avantage au niveau imposition pour un français et n’aurait pas cité l’ISF.

Ce n’est pas pour rien que les français riches et célèbres (sportifs, chanteurs, acteurs,…) vont s’installer en Suisse

votre avatar

Ben oui. Tout était disponible et en clair, et&nbsp;il n’y a pas de eu&nbsp;vol ni d’intrusion, bref tout va bien <img data-src=" />



C’est typiquement russe cette façon de nier l’évidence en racontant n’importe quoi?

votre avatar

vkontakte, bardaf c’est l’embardée !

&nbsp;

votre avatar







fred42 a écrit :



S’il était réellement résident à Monaco, il saurait que cela n’apporte aucun avantage au niveau imposition pour un français et n’aurait pas cité l’ISF.

Ce n’est pas pour rien que les français riches et célèbres (sportifs, chanteurs, acteurs,…) vont s’installer en Suisse





<img data-src=" />&nbsp;Ca m’apprendra à essayer de régionaliser mes comparaisons sans passer par un fiscaliste avant.


votre avatar







boglob a écrit :



pas vraiment -&gt; http://xkcd.com/936/







Si au moins tu comprenais le sens de cette planche….


votre avatar







boglob a écrit :



A chaque fuite de donnée on fait une news ça devient lassant aussi et puis faut arrêter de dire que mettre des majuscules/minuscules/chiffres c’est plus secure que des mots du dictionnaire, c’est lassant aussi





Ha mais dans ce cas, contacte le rédacteur ;-)

.. ce qui sera plus difficile à faire fléchir qu’un commentateur !


votre avatar







eliumnick a écrit :



Si au moins tu comprenais le sens de cette planche….





Si au moins tu ne prenais pas les gens pour des idiots….


votre avatar

J’y habite, y travaille et suis marié à une monégasque, et je n’ai aucun impôts malgrés mon salaire, donc dans certain cas si ça a des avantages au niveau fiscal ;)

votre avatar







psn00ps a écrit :



Si au moins tu ne prenais pas les gens pour des idiots….







Arf, je ne pensais pas qu’un illustre inconnu qui passait par la se sentirait blessé…


votre avatar







boglob a écrit :



pas vraiment -&gt; http://xkcd.com/936/





Merci j’allais le dire. Je l’applique et c’est pratique.







Vanilys a écrit :



A chaque news sur les mot de passes / piratages / etc.. du même thème, on ressort à chaque fois la planche de xkcd … ça devient lassant <img data-src=" />





Ben là il a bien raison pourtant !


votre avatar







fred42 a écrit :



S’il était réellement résident à Monaco, il saurait que cela n’apporte aucun avantage au niveau imposition pour un français et n’aurait pas cité l’ISF.

Ce n’est pas pour rien que les français riches et célèbres (sportifs, chanteurs, acteurs,…) vont s’installer en Suisse





Ou en Belgique si c’est surtout l’ISF le problème (et pratique si on habite déjà au Nord de la France).


votre avatar







eliumnick a écrit :



Si au moins tu comprenais le sens de cette planche….





Explique-nous, parce que j’approuve cette planche.







TizeN a écrit :



J’y habite, y travaille et suis marié à une monégasque, et je n’ai aucun impôts malgrés mon salaire, donc dans certain cas si ça a des avantages au niveau fiscal ;)





Wahou, NXI a un lecteur monégasque :-) . Si tu y travailles c’est normal que tu ne soies pas imposé, tu n’es pas comme un français qui viendrait y habiter et qui aurait son activité principale en France.


votre avatar







OlivierJ a écrit :



Explique-nous, parce que j’approuve cette planche.







Je ne critique pas la planche. Je critique son “pas vraiment”.



Dans tous les cas, il faut, comme le dit l’article “un mot de passe long et assez complexe”.



Et si je devais critiquer la planche, je dirais qu’il manque une 3eme étape : un passphrase avec les 4 types de caractères, car un mdp long c’est bien, mais un long et complexe c’est mieux. Beaucoup de gens ont tendance à prendre cette planche au pied de la lettre, et à dire que les caractères spéciaux ne servent à rien.



Oui ok, au final, je critique la planche, car le fait que cette 3eme étape ne soit pas présente fait que les gens la comprenne de travers.


votre avatar

Pour ma part je suis passé à la méthode de la phrase dont je prends les premiers caractères, pour un mot de passe d’au moins 10 lettres et comportant au moins 2 chiffres (actuellement 14 sur un de mes comptes). Ça commence&nbsp; être long par force brute.

votre avatar

C’est normal en&nbsp; Russie !

votre avatar

En fait c’est encore plus fourbe que ça pour que ce soit le cas il faut :




  • Y habiter

  • Y travailler

  • être marié à un/une monégasque y travaillant te permettant de bénéficier de son régime fiscal (donc aucun)



    S’il en manque un seul c’est régime fiscal français.



    Je l’ai appris de la bouche des impôts de menton il y a quelques semaines en voulant remplir ma première déclaration commune papier. Je pensais avoir des impôts vu mon salaire (même en déclarant un salaire pour deux), et ils m’ont expliqué tout ça :).



    M’enfin c’est vraiment pas évident à savoir x).

votre avatar

il est a 520 le bitcoin ?

Tiens un petit encart dans le bandeau commun de nextimpact indiquant le cours actuel serait sympa.

votre avatar

je sens que dans pas longtems il va fleurir des archives noméées “leaked naked pictures of Vkontakte” :p

&nbsp;

votre avatar

“La base de données de VK n’a pas été piratée. Nous parlons ici de vieux identifiants et mots de passe qui ont été collectés par des fraudeurs en 2011-2012”



Ah c’est pas du piratage c’est une collecte ! Ouf.

votre avatar

S’il vend l’info 1 bitcoin, c’est que ça doit pas valoir grand chose, c’est la somme demandée par certains ransomwares.

votre avatar



même si la création d’un mot de passe long et assez complexe (minuscules, majuscules, chiffres, caractères spéciaux, pas de mot du dictionnaire …) reste la base de la sécurité sur ce type de service en ligne.





pas vraiment -&gt; http://xkcd.com/936/

votre avatar

Loto, à qui le tour ?

votre avatar







boglob a écrit :



pas vraiment -&gt; http://xkcd.com/936/





A chaque news sur les mot de passes / piratages / etc.. du même thème, on ressort à chaque fois la planche de xkcd … ça devient lassant <img data-src=" />

Enfin bon, c’est pas grave non plus.


votre avatar

Ils parlent de faire attention à ce qu’on installe. Ca veux dire que tous ces comptes ont été récupéré par des keyloger et autres ?&nbsp;

Si c’est le cas, effectivement ils n’y peuvent pas grand chose.&nbsp;

votre avatar



L’ancien PDG ayant été fiché comme opposant de Vladimir Poutine, il vit depuis 2014 dans la Fédération de Saint-Christophe-et-Niévès (Petites Antilles) avec son frère

<img data-src=" />

Moi pareil, ayant été fiché à l’ISF comme opposant de François Hollande, je vis depuis à Monaco. Parfois, je rencontre les activistes exilés à Gstaad et au Luxembourg.&nbsp;

votre avatar

La ligne de défense de Vkontakte me semble “un peu” douteuse …

votre avatar







Juju251 a écrit :



La ligne de défense de Vkontakte me semble “un peu” douteuse …





la “faute à la victime” : marche une fois sur trois (true story) <img data-src=" />

mais effectivement j’aime bien le côté “c’est pas grave c’est des vieux trucs… et de toute façon, c’est pas nous”


votre avatar

Vk où la musique en ligne gratuite illimité… xD

votre avatar

Il est rare que les keyloggers récupèrent aussi les numéros de téléphone …

Ça sent quand même le bon gros hack côté serveur.

votre avatar

Il y a le hack de Badoo (127M de comptes, mdp en MD5) également récemment. Et qui pourrait concerner un peu plus de français que VK ^^.

votre avatar







nucle a écrit :



<img data-src=" />

Moi pareil, ayant été fiché à l’ISF comme opposant de François Hollande, je vis depuis à Monaco. Parfois, je rencontre les activistes exilés à Gstaad et au Luxembourg.





Oh un coupaing de Monaco <img data-src=" />


votre avatar







Vanilys a écrit :



A chaque news sur les mot de passes / piratages / etc.. du même thème, on ressort à chaque fois la planche de xkcd … ça devient lassant <img data-src=" />

Enfin bon, c’est pas grave non plus.







A chaque fuite de donnée on fait une news ça devient lassant aussi et puis faut arrêter de dire que mettre des majuscules/minuscules/chiffres c’est plus secure que des mots du dictionnaire, c’est lassant aussi


votre avatar

Le côté positif de la chose est que grâce à ça, quelqu’un va finalement remarquer que j’existe. <img data-src=" />

votre avatar

Bah purée c’est la déferlante ces temps <img data-src=" />

votre avatar







TizeN a écrit :



En fait c’est encore plus fourbe que ça pour que ce soit le cas il faut :




  • Y habiter





    Curiosité, tu paies quel prix pour quelle surface (si tu loues) ?

    En tous cas tu habites dans un cadre magnifique, qui était particulièrement mis en valeur dans Golden Eye, avec la route en hauteur qui y arrive.


votre avatar







OlivierJ a écrit :



Curiosité, tu paies quel prix pour quelle surface (si tu loues) ?

En tous cas tu habites dans un cadre magnifique, qui était particulièrement mis en valeur dans Golden Eye, avec la route en hauteur qui y arrive.





Grâce à ma femme (monégasque) ont peut louer dans ce qu’ils appellent “Les Domaines”, soit les HLM version Monaco.

On loue donc un 53m2 neuf avec balcon-terrasse de 11m2 dans la Tour Odéon (le plus grand et plus récent immeuble de Monaco avec l’appartement le plus cher du monde paraît-il) pour 900€/mois loyer + charge + place de parking + eau chaude/froide, et cet hiver ont à même pas allumé le chauffage donc quasiement rien à payer en électricité ;).

Mais en dehors de ça pour un appart miteu, humide, qui ne voit la lumière du jour que 30min/jour, bruyant, sans place de parking, dans le privé ont avait 55m2 et 12m2 de terrase (RDC) mais 1450€/mois loyer + charge.


votre avatar







TizeN a écrit :



On loue donc un 53m2 neuf avec balcon-terrasse de 11m2 dans la Tour Odéon (le plus grand et plus récent immeuble de Monaco avec l’appartement le plus cher du monde paraît-il) pour 900€/mois [..]





Original le prix très correct dont tu bénéficies au regard de l’histoire de l’appart le plus cher du monde :-) .

Tu paies un prix inférieur à Paris, et même de banlieue proche de Paris, vu le “package” (ma commune est contre Paris côté sud et on peut trouver pour 1000-1100 E à cette surface avec juste loyer + charges mais c’est vraiment le plancher je pense).







TizeN a écrit :



Mais en dehors de ça pour un appart miteu, humide, qui ne voit la lumière du jour que 30min/jour, bruyant, sans place de parking, dans le privé ont avait 55m2 et 12m2 de terrase (RDC) mais 1450€/mois loyer + charge.





Ah oui quand même…

Merci pour l’info en tous cas.


Vkontakte : les données de 100 millions de comptes en vente pour 1 bitcoin

  • Des mots de passe catastrophiques...

  • ... et disponibles en clair

  • Pour Vkontakte, tout va bien

Fermer