Encore un piratage majeur de mots de passe ? Après les fuites de 171 millions de mots de passe VK (le Facebook russe), de 427 millions de comptes Myspace, et 167 millions de mots de passe LinkedIn, le tout en l’espace de quelques semaines, voici que 32 millions de mots de passe Twitter auraient à leur tour fuité.
Comme de coutume, c’est le site LeakedSource qui annonce l’information, en expliquant avoir été alerté par le même internaute anonyme que pour les mots de passe VK, [email protected]. La liste des mots de passe compromis serait mise en vente « sur le dark web », c’est-à-dire très certainement sur un site hébergé à travers le réseau d’anonymisation Tor.
La piste d’un malware
La base de données contiendrait très exactemet 32 888 300 enregistrements, avec adresse e-mail, mot de passe en clair, nom d’utilisateur et parfois une adresse e-mail secondaire. Cependant, Twitter lui-même ne semble pas avoir été piraté.
La liste a très certainement été obtenue par l’intermédiaire de malwares installés sur les PC des victimes, tels que des keyloggers, qui ont permis aux hackers de compiler les mots de passe au moment où ils étaient saisis par l’utilisateur. Le site pense à un malware sur les navigateurs Chrome et Firefox, en raison de la présence épisodique de chaînes de caractères « blank » ou « null » dans les champs dédiés aux mots de passe.
Les Russes seraient par ailleurs sur-représentés, ce qui peut expliquer que la source soit la même que pour VK.
De son côté, Twitter assure également que ses serveurs n’ont pas été compromis, et rappelle qu’il stocke tous ses mots de passe de façon chiffrée, avec une technique de hashage qui évite de retrouver le mot de passe en clair en cas de piratage de la base de données utilisateurs.
Le réseau social a également mis en place des systèmes de double-authentification, qui imposent non seulement de saisir un mot de passe pour s’identifier sur Twitter, mais aussi de confirmer par un SMS envoyé vers le numéro de téléphone mobile de l’utilisateur. La mesure est désormais généralisée et les utilisateur sont tous poussés à sécuriser ainsi leurs comptes.
Michael Coastes, le directeur de la sécurité des informations chez Twitter, a lui-même livré les résultats de l’enquête menée. Il précise que tous les mots de passe sont hashés avec la fonction bcrypt.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.