Le piratage est qualifié de « magistral » par Rick Falkvinge, le fondateur du Parti Pirate suédois. Sur son blog, il raconte qu’une base de données contenant les adresses e-mail et les mots de passe chiffrés de 93 678 journalistes, politiciens et blogueurs a été publiée mercredi, d’une manière qui a soulevé un véritable vent de panique.
C’est en effet d’abord sur Twitter que l’affaire s’est révélée. William Petzäll, décrit comme un ancienne figure de premier plan des Démocrates Suédois, qui est aujourd’hui député indépendant, avait commencé à tweeter des messages affirmant que son ancien parti avait eu accès aux e-mails des journalistes et des personnalités politiques rivales pendant des années. Pour le prouver, il a commencé à poster des adresses e-mail et les mots de passe chiffrés en MD5, ce qui a provoqué l’émoi que l’on imagine.
Falkvinge, qui faisait partie des victimes, a pu vérifier qu’effectivement, le MD5 publié avec son adresse e-mail correspondait bien à un ancien mot de passe qu’il utilisait sur certains services de moindre importance.
Cependant, il s’est avéré que William Petzäll ne pouvait pas avoir publié ces messages sur Twitter, puisqu’il était en cure de désintoxication forcée, coupé de toute communication électronique. Ainsi le hacker qui a obtenu les e-mails et les mots de passe chiffrés en MD5 aurait utilisé ces informations (en fait publiées discrètement depuis un mois sur un forum) pour accéder au compte Twitter de Petzäll, et élaborer ce scénario crédible d’une revanche du député sur son ancienne formation politique.
Après investigation, il ressort que les données publiées étaient issues d’une base piratée sur le site Bloggtoppen, aujourd’hui clos, dédié au classement des blogueurs suédois. Les mots de passe y étaient bien chiffrés, mais sans le « sel » qui permet de rendre unique l’algorithme de chiffrage. Il est donc possible de retrouver le mot de passe en clair par ingénierie inversée, surtout pour les mots de passe les plus courants dont le MD5 est déjà connu et trouvable par une simple recherche Google. D’où l’importance, martelée par Falkinge, de ne pas utiliser les mêmes mots de passe partout, et surtout pas sur les services les plus sensibles. On n’est jamais à l’abri d’un piratage et d’un mauvais chiffrage du mot de passe.
Depuis, le compte Twitter de William Petzäll a été désactivé, et la base de données qui était hébergée sur Mediafire a été supprimée.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !