Une base de données contenant des données sensibles provenant de MySpace est en train d’être vendue sur Internet. Elle contient des millions de mots de passe.

Il y a belle lurette que plus personne ne se soucie véritablement de ce qu’est devenu MySpace. L’histoire de sa déchéance est connue : l’ascension fulgurante de Facebook à la fin des années 2000 a été fatale pour l’ancienne gloire des réseaux sociaux. Face au dynamisme du jeune site communautaire fondé par Mark Zuckerberg, MySpace est apparu comme vieillissant, démodé et nettement moins fun.

À cette époque, peut-être aviez-vous un compte sur MySpace, comme beaucoup d’autres internautes. On imagine que cela fait des années que vous ne vous y êtes pas rendu pour voir ce que devient votre réseau. On vous comprend. Mais si c’est le cas, ce serait toutefois une très bonne idée d’y faire un tour, non pas pour redonner vie à votre profil, mais pour changer sans tarder de mot de passe.

En effet, le réseau social lancé en 2003 par Chris DeWolfe et Tom Anderson a été victime d’un piratage informatique survenu à une date indéterminée.

Une copie de ce leak a été obtenue par LeakedSource. Si celle-ci n’est pas publique pour des raisons évidentes de sécurité, le site Motherboard a pu faire vérifier la réalité du hack en communiquant des adresses de courrier électronique de certains journalistes et proches à LeakedSource afin de s’assurer qu’il ne s’agit pas d’un fake.

The "Myspace" logo is seen on a tablet screen on December 4, 2012 in Paris. AFP PHOTO / LIONEL BONAVENTURE (Photo credit should read LIONEL BONAVENTURE/AFP/Getty Images)

The « Myspace » logo is seen on a tablet screen on December 4, 2012 in Paris. AFP PHOTO / LIONEL BONAVENTURE (Photo credit should read LIONEL BONAVENTURE/AFP/Getty Images)

Qui sont les internautes concernés ?

Les internautes concernés sont ceux qui ont un compte MySpace. Le nombre de membres qui sont affectés par ce piratage n’est pas connu avec certitude, le site communautaire n’ayant pas communiqué dessus. Selon LeakedSource, il y a 360 216 014 adresses de courrier électronique dans la base de données, dont un bon gros tiers (111 341 258 très précisément) a un nom d’utilisateur qui est attaché.

Quelles données ont fuité ?

La base de données obtenue par LeakedSource contient trois types de données : des mails, des noms d’utilisateur et des mots de passe. Le site précise que certains comptes sont liés à deux mots de passe, ce qui explique pourquoi il y a bien plus de mots de passe que d’adresses dans cette fuite. Au total, la base de données contient 427 484 128 mots de passe. 68 493 651 comptes ont un second mot de passe.

427 484 128 mots de passe figurent dans la base de données

Les mots de passe étaient-ils stockés en clair ?

Les mots de passe étaient stockés avec la fonction de hachage cryptographique SHA-1, mais sans salage. Il s’agit pourtant d’une méthode renforçant la sécurité des informations qui sont destinées à être hachées en y ajoutant une donnée supplémentaire afin d’empêcher que deux informations identiques conduisent à la même empreinte, explique Wikipédia.

« Les méthodes utilisées par MySpace pour stocker les mots de passe ne correspondent pas avec ce que les standards en la matière proposent », commente LeakedSource, qui ajoute qu’il s’agit d’un niveau de chiffrement « très faible ». L’algorithme SHA-1 n’est plus considéré comme sûr par de nombreux observateurs, de Google à Microsoft, en passant par Mozilla ou l’Anssi.

Peut-on retrouver mon mot de passe à partir du hash ?

Du fait de l’absence de salage pour sécuriser les mots de passe et du choix contestable de faire appel à une fonction de hachage cryptographique dont les faiblesses ont été mises en lumière depuis une dizaine d’années, la protection à long terme des mots de passe ne peut être garantie. Pour ne rien arranger, LeakedSource fait remarquer que la longueur des mots de passe laisse à désirer.

Selon Motherboard, la base de données est actuellement en vente sur une place de marché clandestine pour 6 bitcoins (environ 2 900 euros).

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !