Peut-on seulement parler de piratage lorsque la fuite des données est due avant tout à une incroyable négligence des développeurs ? Révélés mercredi, les identifiants liés à YouPorn avec e-mail et mot de passe en clair ont pu fuiter parce qu’ils étaient visibles sur une URL dont l’accès n’était pas protégé.

Hier, nous révélions que des identifiants YouPorn avaient été publiés sous la forme d’une liste de plusieurs milliers d’adresses e-mails avec leur mot de passe de connexion. Nous ne savions pas en revanche comment cette base de données avait été piratée.

Depuis, YouPorn a apporté ses explications. Le site de vidéos pornographiques en lui-même n’a pas été hacké, a voulu rassurer la société sur son blog. C’est en fait le service de messagerie instantanée YP Chat, associé à YouPorn mais géré par une société externe – dont l’identité n’est pas communiquée, qui a été compromis.

« YP Chat est hébergé sur des serveurs qui ne sont pas ceux de YouPorn et un problème de sécurité sur lesdits serveurs ne crée en aucune façon un pont vers les données sécurisées de YouPorn« , assure Brad Black, le VP Operations du site. Il indique que le service a été désactivé dès que la faille a été connue. « Aucun des plus de 4,75 millions de comptes utilisateurs de YouPorn n’a été compromis« .

L’expert en sécurité Anders Nilsson de Eurosecure expliquait mercredi que ça n’est pas quelques milliers d’identifiants qui ont fuité, mais plus d’un million. « Les informations de bien plus d’un million d’utilisateurs étaient librement accessibles sur le site de chat de YouPorn jusqu’à ce que le serveur soit fermé hier« , écrit Nillson. « En regardant les données, il semble qu’un programmeur imprudent a accidentellement (?!) laissé des journaux de débogage sur une URL accessible publiquement dès novembre 2007, et que depuis ça stockait toutes les inscriptions« .

Le dossier /tmp où étaient stockés les fichiers de logs non chiffrés était en effet accessible par quiconque connaissait l’adresse ou la testait par hasard.

Cependant YouPorn assure que le nombre d’identifiants révélés ne se compterait pas en millions, mais bien en milliers, s’agissant d’un log des connexions à YP Chat et non d’un log des inscriptions.

Selon Anders Nilsson, « des hackers ont déjà commencé à parcourir les listes, en vérifiant quels utilisateurs avaient le même mot de passe pour leur e-mail ou sur Facebook, et ont publié des photos intimes trouvées dans les boîtes de reception/d’envoi de certains utilisateurs« .

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !