L’Équipe.fr attaqué : noms, prénoms, pseudos et mots de passe dans la nature
Vous utilisez le même mot de passe plusieurs fois ? Dommage...
Le site de l'Équipe (lequipe.fr) a été victime d'une cyberattaque ayant entrainé la fuite de données personnelles avec les noms, prénoms, pseudos, mais aussi les mots de passe de certains de ses membres. Le site leur demande donc de changer leur mot de passe au plus vite. Contacté par téléphone, l'Équipe nous confirme la situation, mais ne souhaite pas nous donner de plus amples informations pour le moment.
Il ne se passe pas une semaine ou presque sans que la sécurité d'un ou plusieurs sites soit mise à mal. Dernier exemple en date : lequipe.fr. Dans un email envoyé à certains clients, le site indique avoir été la cible d'une cyberattaque qui a débouché sur le vol de données personnelles, ce qui n'est pas sans rappeler le cas de Domino's Pizza :
« Nous avons récemment découvert que notre réseau informatique avait été la cible d'une cyberattaque se traduisant par un accès non autorisé à une partie de la base de données de nos membres. Dès que nous avons été informés du problème, nous avons appliqué les correctifs nécessaires et pris toutes les mesures afin de protéger vos données.
Vos données bancaires ne sont pas concernées par cette attaque, mais cet accès illégitime a potentiellement entraîné la récupération d'un nombre limité de données vous concernant : nom, prénom, pseudo et mot de passe. Afin de vous permettre de toujours bénéficier d'une expérience fiable et sécurisée, nous vous invitons à modifier votre mot de passe par mesure de sécurité. [...] Si vous utilisez un mot de passe identique sur d'autres sites, nous vous conseillons également de modifier votre mot de passe sur ces sites. »
Le message est clair : des données telles que noms, prénoms, pseudos et mots de passe sont dans la nature. Nous ne savons par contre pas si ces derniers étaient ou non stockés en clair. Encore une fois, nous avons un bel exemple du fait qu'il ne faut pas utiliser le même mot de passe sur plusieurs services. Même si ce n'est pas toujours facile, c'est une habitude qu'il serait bon de prendre au plus vite.
Contacté par téléphone, l'Équipe nous confirme avoir été victime d'une cyberattaque et avoir envoyé des emails à certains de ses membres. Néanmoins, notre interlocuteur ne pourra pas nous donner de plus amples informations pour le moment. Dans tous les cas, la prudence est de mise et le changement de mot de passe recommandé. Attention également à d'éventuelles attaques par phishing.
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/07/2014 à 00h17
Encore une fois, nous avons un bel exemple du fait qu’il ne faut pas utiliser le même mot de passe sur plusieurs services. Même si ce n’est pas toujours facile, c’est une habitude qu’il serait bon de prendre au plus vite.
Moi généralement je n’utilise pas non plus le même nom et prénom, sur ce genre de trucs. C’est vrai quoi, quel intérêt de donner ses vrais noms et prénoms sur un site qui va ensuite t’identifier avec un pseudonyme ?
Le 10/07/2014 à 07h22
Le 10/07/2014 à 07h32
Dès que nous avons été informés du problème, nous avons appliqué les correctifs nécessaires et pris toutes les mesures afin de protéger vos données.
Et pourquoi ne pas appliquer ces correctifs avant d’être hacké ?
Le 10/07/2014 à 08h20
Le 10/07/2014 à 14h03
Le message est clair
Ouais, surement autant que les mots de passe
Le 12/07/2014 à 12h45
ça fait longtemps que je sais que le sport est dangereux, autant se réfugier ailleurs ;)
Le 09/07/2014 à 15h48
On me dit dans l’oreillette que cette attaque vient d’un hacker brésilien qui n’a pas supporté le viol en réunion de la seleçao
" />
Le 09/07/2014 à 15h53
sans aller aussi loin j’ai eu la meme idee
" />
" />
" />
Le 09/07/2014 à 15h53
Le 09/07/2014 à 16h03
Le 09/07/2014 à 16h09
Les mots de passe ne sont pas enregistré en clair.
Ca serai bien qu’ils disent sous quelle forment ils les stockent.
Parce que ça ne peu pas être réutilisé normalement.
Il faut pas déconner n’importe quel idiot qui gère une base de donnée chiffre les mots de passe plus ou moins bien:
http://www.crazyws.fr/tutos/securiser-un-mot-de-passe-en-base-de-donnees-BEKIC.h…
Donc ça serait intéressant de savoir qu’est-ce qui a été volé … et d’arrêter de crier au vol de mot de passe parce qu’ils ne peuvent pas l’utiliser pour se connecter ailleurs.
Le 09/07/2014 à 16h16
Le fichier : Kévin, Kévin, Kévin, …
" />
Le 09/07/2014 à 16h21
bon l’équipe attaqué ce n’est pas trop grave : ce ne sont que les identifiants d’amateurs de foot qui sont dans la nature …
Le 09/07/2014 à 16h24
@raysar
si le salt est volé, il suffit de bruteforcer pour retrouver le pass
avec une bécane de salon à 5k€ tu peux faire des miracles aujourd’hui (4 ATI et 1To de ssd)
sachant que, même si les adminsys ne sont pas tous mauvais (bien que des tas de sites stockent encore les passwd en clair …), les users le sont presque tous
avec 123456, password (ou un équivalent français) et les dates depuis 1950, tu trouve 50 - 75% des pass …
Le 09/07/2014 à 16h28
Chhhute à l’arrière du webmaster !
" />
Le 09/07/2014 à 17h21
Le 09/07/2014 à 17h57
une attaque bien préparée, AMHA, comprend un compte créé pour l’occasion avec un passwd connu, pour avoir un sample de test ;)
(et c’était en réponse à raysar qui mettait en avant des (bonnes) techniques de salt)
Le 09/07/2014 à 18h24
@LordZurp, quand on est un programmeur avec un peu d’amour-propre, on utilise un salt unique par compte, on ne réutilise pas le même salt partout ce qui est quasi pareil que pas de salt du tout.
Enfin c’est en espérant que les pass soient chiffrés et salés car leur communiqué est flou en employant le mot “potentiellement”.
Le 09/07/2014 à 18h56
A la lecture du communiqué pour moi c’est clair : mot de passe dans la nature + incitation a changer les pass d’autres services pour lesquelles ont aurait le même pass = ils stockaient en clair. Je serai tenter de penser que s’il en avait été autrement ils n’auraient pas hésité à le mentionner (genre “mots de passes chiffrés” et une petite phrase qui dit qu’on ne peut rien faire avec les mots de passe récupérés mais que par sécurité il est néanmoins conseillé…“.
Je pense qu’en France pas mal de gros sites nés assez tôt genre dans les années 2000 ont des bases avec des pass en clair, parce que mettre à jour ce genre de données dans un gros site c’est pas évident (pour peu qu’il y ait des services liés, des logins via des api, des appli smartphone maintenant…) et que les process de création de compte + identification ne soient pas centralisés, c’est un changement lourd.
Le 09/07/2014 à 20h01
Je ne comprends pas ce que cela coûte au développeur de tout chiffres dans un gros système de cryptage style SHA-512 avec la technique de grain de sable…
Le 09/07/2014 à 20h24
Le 09/07/2014 à 21h17
Comme d’hab : pourquoi, putain de bordel de merde
" />
" />
" />
" />
" />
" /> les mots de passe sont-ils stockés, et non pas des hash ? ça devrait être la taule et la savonette sous la douche directe pour l’administrateur système.
Et puisque faut toujours que ça suive ce schéma pour que ça rentre dans le crâne : une loi interdisant purement et simplement le stockage des mots de passe et des très grosses amendes à la clef.
ya des baffes qui se perdent.