Si vous faites partie des rares internautes qui ont ouvert un compte durant les toutes premières années d’existence de Reddit, vous feriez bien de vous assurer que le mot de passe que vous utilisiez à l’époque ne sert pas aussi à vous connecter à d’autres sites web. La plateforme communautaire a en effet annoncé mercredi 1er août avoir subi un piratage informatique.
Selon le message publié par un administrateur, les personnes qui avaient déjà un compte au mois de mai 2007 doivent savoir que les données renseignées à l’époque (identifiants, mots de passe hachés et salés, adresses de courrier électronique) ainsi que le contenu qui a été partagé (publiquement mais aussi les messages privés) ont fait l’objet d’une fuite à la suite du piratage d’une vieille base de données du site.
« Une copie complète d’une ancienne sauvegarde de base de données contenant les données des premiers utilisateurs de Reddit, depuis le lancement du site en 2005 jusqu’en mai 2007 », explique le responsable. Si votre compte a été créé après cette période, vos informations ne sont pas compromises (mais cela n’interdit pas de vérifier si la solidité de son mot de passe et d’activer l’authentification forte).
Reddit se montre toutefois rassurant : « l’attaquant n’a pas eu accès en écriture aux systèmes : il a eu accès en lecture seule à des systèmes qui contenaient des données de sauvegarde, du code source et d’autres journaux d’évènement. Il n’a pas été en mesure de modifier les informations de Reddit, et nous avons pris des mesures à la suite de l’évènement pour verrouiller davantage [le système] ».
Incident lié à la newsletter
Il existe néanmoins un autre cas de figure où certaines données ont pu être exposées : si vous vous êtes inscrit à la newsletter. Le site explique en effet que le piratage ayant visé des comptes tenus par des salariés de la société, entre le 14 et le 18 juin, a permis de mettre la main sur des renseignements relatifs à l’envoi des mails. Sont mentionnés le pseudonyme de l’internaute, son adresse e-mail et des publications suggérées.
Les condensés envoyés par mail « connectent un nom d’utilisateur à l’adresse associée et contiennent des messages suggérés à partir de sous-rubriques populaires et grand public auxquels vous vous êtes abonné », est-il expliqué. Sont concernés les internautes ayant reçu un courrier entre le 3 et 17 juin, lorsque le mail est signé « [email protected] ».
Reddit prévoit de forcer les internautes à réinitialiser leur mot de passe si des indices laissent à penser que les comptes en question sont vulnérables. Les personnes qui n’étaient pas inscrites à la newsletter les jours où a lieu l’attaque ne sont pas exposées. Voilà en tout cas un incident qui a eu le mérite de mettre dans le bain le nouveau chef de la sécurité, qui a été recruté… un mois avant l’attaque.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !