Que s’est-il passé ?
La plateforme française de streaming vidéo a fait l’objet d’une intrusion informatique au cours du mois d’octobre, permettant à un assaillant de récupérer des tas d’informations sensibles, en particulier des identifiants, des adresses électroniques et des mots de passe. L’information a émergé en début de semaine dans les médias anglophones avant d’être indirectement confirmée par Dailymotion.
Quelles données ont été dérobées ?
L’étendue de l’incident concernerait plusieurs dizaines de millions d’utilisateurs à travers le monde. Selon ZDNet, il est question d’une extraction portant sur 85,2 millions d’adresses et d’identifiants. Les mots de passe en revanche ne concernent qu’une part relativement réduite de cet ensemble : environ 18,3 millions, soit un peu moins d’un cas sur cinq.
Il est à préciser que les mots de passe qui ont été récupérés n’étaient pas stockés en clair, ce qui veut dire qu’ils ne seront pas aisément exploitables par l’attaquant. En particulier, la fonction de hachage bcrypt a été employée, ce qui rend l’accès aux mots de passe bien plus difficile.
Cette fonction utilise « un sel pour se protéger des attaques par table arc-en-ciel (rainbow table) » et est capable de s’adapter, « c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul », selon la page explicative de Wikipédia.
Que dois-je faire ?
Si vous avez un compte sur Dailymotion, c’est le bon moment pour changer de mot de passe.
Il est aussi recommandé, en plus de renouveler son mot de passe sur Dailymotion, de vérifier que la combinaison identifiant (ou adresse mail) + mot de passe qui est utilisée sur ce site n’est pas réemployée autre part. Si c’est le cas, il est crucial d’actualiser aussi son mot de passe sur les sites concernés afin que l’assaillant ne puisse pas aller visiter d’autres comptes.
Qui est à l’origine de l’attaque ?
C’est pour l’instant la grande inconnue de cette affaire et il n’est pas certain que l’on ait un jour une réponse à cette question. Il s’agirait d’une personne seule, selon des informations relayées par la presse américaine, et l’attaque aurait eu lieu autour du 20 octobre. Quant aux intentions de l’auteur de l’intrusion, elles sont tout aussi mystérieuses que son identité.
Que dit Dailymotion ?
Dailymotion a indirectement reconnu l’existence d’un problème dans un message qui a été publié sur Twitter. Dans un billet de blog, l’entreprise évoque toutefois « un problème de sécurité externe » à son service et relève que « les mots de passe d’un certain nombre de comptes pourraient avoir été compromis. Le hack semble être limité et ne concernerait aucune donnée personnelle ».
Les informations contenues dans le billet de blog ont été reprises dans un mail que le site vient d’envoyer mardi 6 décembre à ceux ayant un compte sur la plateforme. Le site fait savoir que « la sécurité des comptes est extrêmement importante pour nous et nous prenons toutes les mesures nécessaires afin d’identifier les failles éventuelles et y remédier ».
Des conseils sur la manière de composer un bon mot de passe sont aussi donnés.
Comment vérifier si on est concerné ?
Sachez enfin qu’il est possible de vérifier si votre compte fait partie de ceux qui ont été piratés. L’auteur du site Have I been pwned ? (que l’on pourrait traduire sobrement par « me suis-je fait avoir ?») a fait savoir lundi 7 août en avoir récupéré une large partie : 45 % des comptes piratés, soit un peu plus de 38 millions de comptes, sont désormais pris en compte par le site : il suffit de taper l’adresse e-mail avec laquelle vous vous êtes inscrit sur Dailymotion pour en avoir le cœur net.
Notez que si votre e-mail n’est pas indiqué comme vulnérable pour une vérification concernant Dailymotion, cela ne veut pas dire que vous êtes pas concerné par le piratage : pour l’heure, seule une petite moitié des comptes piratés est en effet prise en compte par le site. Le mieux que vous ayez à faire est de renouveler votre mot de passe sur le site ; c’est de toute façon une bonne occasion de l’actualiser et d’en prendre un qui peut être plus solide.
(mise à jour le 8 août avec l’ajout d’une sixième question concernant la possibilité de vérifier en ligne si son adresse mail est concernée ou non)
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !