Comme le révélait Zataz le 9 décembre 2021, une fuite de données a touché la plateforme de mixtapes de rap DatPiff. Le site créé en 2005 compte encore plusieurs milliers de fidèles utilisateurs, y compris en France. Toujours d’après les informations de Zataz, un pirate propose à la vente 7,7 millions d’entrées dont 44 000 Français. Pour chacun, on retrouve les mails, noms d’utilisateurs et mots de passe hachés.
Mots de passe hachés, mais pas sauvés
Le hachage informatique est une méthode cryptographique qui permet de calculer une empreinte numérique pour éviter, entre autres, de stocker les mots de passe tels quels dans des bases de données. Concrètement, cette base propose donc une suite de chiffres et de lettres, et non pas des mots de passe lisibles. Une mesure qui empêche par exemple des employés de l’entreprise d’accéder aux mots de passe des utilisateurs, ou encore que l’intégralité de la base ne se retrouve librement dans la nature, comme ici.
Mais ça ne veut pas dire que les utilisateurs de DatPiff n’ont rien à craindre, loin de là. Cyberguerre a consulté un des sites spécialisé dans le commerce de données volées, où plusieurs pirates proposaient effectivement cette base de donnée à la vente, avec les mots de passe hachés. Pire encore, l’un d’entre eux la diffuse en échange de seulement quelques crédits aux utilisateurs du site, avec les mots de passe dé-hachés (lisibles), échantillon à l’appui.
« C’est vraiment un classique »
Le hachage est une garantie de sécurité, mais pas suffisante. Il est possible pour des pirates de « dé-hacher » des bases de données à partir de dictionnaires de « haches » disponibles en ligne ou de logiciels spécialisés. Les éléments données par les pirates indiquent que les mots de passe étaient ici hachés en MD5, un type de hachage assez daté, créé en 1991. Ce dernier était visiblement couplé à une seconde garantie de sécurité, un mot ou une suite de lettre ajoutée aux mots de passe avant d’être hachés, appelé un « salt » non dynamique.
Cyberguerre n’a pu consulter que l’échantillon de cette base. Mais ce dé-hachage semble parfaitement plausible comme le confirme le consultant en cybersécurité Piotr Chmielnicki : « C’est vraiment classique, […] il y a des outils qui font ça très bien […]. Le taux de réussite dépend de la puissance de calcul disponible. C’est jamais 100 % sur de gros volumes, mais c’est assez facile de faire du 80 %. » Ici, le pirate aurait réussi à obtenir 7,4 millions d’entrées sur 7,7 millions.
Changer votre (ou vos…) mots de passe
Si vous possédez un compte sur DatPiff, il est essentiel de changer rapidement votre mot de passe, même si le risque sur le site en lui même est assez faible. Si votre mot de passe était le même sur d’autres comptes, vous devez tout de suite également les modifier, et faire évoluer votre hygiène informatique en ayant des mots de passe uniques pour chaque site. Au besoin, à l’aide d’un gestionnaire de mots de passe. Dans tous les cas, restez également attentifs aux mails de phishing que vous pourriez recevoir sur votre adresse mail.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !