Un hacker vole 32 millions de mots de passe sur le site de RockYou
Où les informations étaient stockées en clair

Le , par Katleen Erna, Expert éminent sénior
Des hackers volent plus de 30 millions de mots de passe sur le site de RockYou, où les informations étaient stockées en clair

Plusieurs hackers, dont un connu sous le pseudo "igigi", ont réussi à pénétrer dans la base de données du site de RockYou. Le site appartient à la firme du même nom, qui est le plus gros fournisseur d'applications pour les réseaux sociaux.

Les pirates ont eu la surprise de constater que sur les serveurs auxquels ils avaient désormais accès, les informations relatives aux comptes des clients (y compris les mots de passe) étaient stockés... en clair !

Leur prise n'est pas négligeable car elle porte tout de même sur plus de 30 millions de comptes : 32 603 388 précisément.

Aussi incroyable que cela puisse paraître, les mots de passe étaient conservés dans un fichier texte non codé, accompagnés des identifiants leur correspondants (les adresses mails avec lesquelles les personnes s'étaient enregistrées sur le site).

Nul doute que de telles combinaisons login/password sont valables sur d'autres endroits de la toile, particulièrement sur les sites de réseaux sociaux, car la majorité des internautes utilise un seul et unique mot de passe pour protèger tous ses comptes virtuels.

L'attaque fut conduite par injection SQL au début du mois. Quand l'équipe technique de RockYou découvrit la faille , le 4 décembre, elle décida de fermer temporairement le site avant d'annoncer plus tard dans un communiqué que "le problème était résolu".

L'entreprise s'est ensuite refusée à tout commentaire.

Les hackers ayant réalisé l'exploit menacent de divulguer en public les informations relatives à ces millions de comptes, si la firme "ment à ses consommateurs".

Il est vivement recommandé à toute personne s'étant inscrite sur le site de RockYou, ou possédant un compte sur l'une de ses applications, de changer rapidement de mot de passe. Leurs comptes pourraient en effet être infiltrés par les pirates, et servir ensuite à ces derniers pour voler d'autres informations.

Les données volées dans le cas présent n'étaient ni financières, ni trop sensibles (pas de vol de numéro de sécurité sociale, par exemple) ce qui pousse à croire que le geste ne fut pas motivé par des visées mercantiles, mais plutôt par une envie de pointer des doigts les dysfonctionnements des réseaux sociaux.

Cet incident rappelle une fois de plus la grande dangerosité des injections SQL pour les sites internet des grandes entreprises, qui y restent trop souvent vulnérables. Cette menace arrive en tête de celles rencontrées sur Internet depuis plusieurs années.

Source : Le blog du hacker igigi

De quelle manière protègez-vous vos différents comptes sur Internet ? Utilisez-vous un mot de passe différent pour chaque site ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de spidermario spidermario - Membre éclairé http://www.developpez.com
le 16/12/2009 à 15:20
Pour éviter les injections SQL, il suffirait de ne pas utiliser de requêtes SQL créées à la volées. En Erlang avec Mnesia, par exemple, la base de donnée est interrogée directement en Erlang.
Avatar de bombseb bombseb - Membre éclairé http://www.developpez.com
le 16/12/2009 à 15:30
je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...

ils avaient pas l'option "magic quotes" ?
Avatar de shkyo shkyo - Membre expérimenté http://www.developpez.com
le 16/12/2009 à 15:30
Encore une confirmation affligeante que le facteur sécurité le plus critique reste le facteur humain !!!
Qui a une fâcheuse tendance à vouloir faire au plus simple histoire de ne pas s'embêter... (et je reste polis !)
Avatar de chemanel chemanel - Membre averti http://www.developpez.com
le 16/12/2009 à 15:34
Citation Envoyé par bombseb  Voir le message
je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...

ils avaient pas l'option "magic quotes" ?

ça c'était l'injection du bon vieux temps

LoL, a mon avis, maintenant, il y a moyen de faire vraiment plus compliquer, on pourrait par exemple, dans un environnement .NET essayer de modifier le ViewState, pour que les objets qui se mettront a jour avec des "fausses" données puisse provoqué l'injection...
Avatar de frinux frinux - Membre habitué http://www.developpez.com
le 16/12/2009 à 16:03
Citation Envoyé par bombseb  Voir le message
je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...

Le plus incompréhensible c'est le stockage en clair des mots de passe

Combien de fois j'ai reçu des emails de confirmation / rappel avec mon mot de passe en clair dans le mail...

Avatar de spidermario spidermario - Membre éclairé http://www.developpez.com
le 16/12/2009 à 16:05
Citation Envoyé par frinux  Voir le message
Le plus incompréhensible c'est le stockage en clair des mots de passe

Combien de fois j'ai reçu des emails de confirmation / rappel avec mon mot de passe en clair dans le mail...


D'ailleurs, dans la plupart des cas, il est impossible d'avoir sur le site en question un mot de passe qui n'a jamais été envoyé par e-mail, car il est réenvoyé sitôt changé
Avatar de zais_ethael zais_ethael - Membre éprouvé http://www.developpez.com
le 16/12/2009 à 16:52
Béh oui mais faut dire aussi qu'on le dit assez peu. Beaucoup de développeurs croient encore que l'utilisation des fonctions encrypt() et decrypt() de Mysql est suffisante pour avoir des mots de passes "sécurisés". Mais bien entendu pour un pirate qui a un accès total à la machine, base de données et code inclut c'est de la rigolade.

La seule solution un tant soit peu respectueuse des utilisateurs est de mettre en place un système ou même le gars qui a développé le programme et qui administre la machine serait totalement incapable de retrouver ce mot de passe (au fond, qu'est-ce qui nous dit que ce n'est pas une personne mal intentionnée comme une autre?). Avec une bonne fonction md5 et un peu d'astuce c'est très facile à faire, mais allez expliquer au client que "non non, il est impossible de retrouver les mots de passe, c'est même fait exprès".
Avatar de s4mk1ng s4mk1ng - Membre éprouvé http://www.developpez.com
le 16/12/2009 à 17:11
Bon bah ça va pas me faire pleurer ils l'ont bien cherché...
Avatar de Skyounet Skyounet - Expert éminent sénior http://www.developpez.com
le 16/12/2009 à 19:22
Citation Envoyé par chemanel  Voir le message
a mon avis, maintenant, il y a moyen de faire vraiment plus compliquer, on pourrait par exemple, dans un environnement .NET essayer de modifier le ViewState, pour que les objets qui se mettront a jour avec des "fausses" données puisse provoqué l'injection...

Oui mais là l'injection sera traitée au niveau ADO.NET, et si le codeur a bien fait son travail (utilisation de DbParameter par exemple) y'aura pas de problème (sauf problème dans le framework mais y'en a pas à ce niveau à ma connaissance).

Mais oui je pense qu'il existe maintenant des techniques plus sophistiquées.
Avatar de chemanel chemanel - Membre averti http://www.developpez.com
le 16/12/2009 à 21:07
Citation Envoyé par Skyounet  Voir le message
Oui mais là l'injection sera traitée au niveau ADO.NET, et si le codeur a bien fait son travail (utilisation de DbParameter par exemple) y'aura pas de problème (sauf problème dans le framework mais y'en a pas à ce niveau à ma connaissance).

Mais oui je pense qu'il existe maintenant des techniques plus sophistiquées.


Oui j'suis d'accord avec toi, ici c'était un exemple rapide, mais t'as tout a fait raison en disant "si le codeur a bien fait son travail" ... C'est ça le vrai problème, ici dans la news, c'est le même problème, les mot de passe + emails traités en clair dans un fichier texte... C'est clairement un problème de développement !
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 17/12/2009 à 16:30
Qu'est ce que ça peut m'énerver tout ces sites (et pas forcément des site "amateurs") qui conservent les mots de passe en claire.

J'en connais un (orienté linux en plus), qui tous les mois m'envoie par email mon user et mot de passe, super!!!!
Offres d'emploi IT
Développeur web java ee - H/F
Urban Linker - Ile de France - Paris (75000)
Développeur confirmé symfony 2 gourmet #foodtech
Urban Linker - Ile de France - Paris (75020)
Profil JAVA/J2EE
COOPTALIS - Nord Pas-de-Calais - Région lilloise

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil