Des cybercriminels russes réalisent le plus grand vol de données sur Internet
1,2 milliard de mots de passe collectés par ceux-ci

Le , par Hinault Romaric, Responsable .NET
Des pirates russes ont réussi l’exploit de réaliser le plus grand vol des données des utilisateurs sur Internet, selon des chercheurs en sécurité.

Le groupe mystérieux de pirates aurait réussi à collecter 1,2 milliard d’enregistrements uniques (combinaisons uniques email-mot de passe) provenant de plus de 420 000 sites Web,

Ces informations ont été recueillies grâce à un réseau d’ordinateurs qui ont été piratés à l’aide des logiciels malveillants, permettant le contrôle de ceux-ci par les pirates. Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

L’analyse des informations collectées par les pirates a permis d’identifier 4,5 milliards de noms d’utilisateur et mots de passe contenant plusieurs doublons, ainsi que 542 millions d’adresses uniques de messagerie électronique.

Les cibles des pirates seraient assez diversifiées, allant des sites importants aux petits sites Web. « Les pirates n'ont pas uniquement ciblé des sociétés américaines, ils ont visé tous les sites internet qu'ils pouvaient trouver. Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites », a déclaré le fondateur de Hold Security, Alex Holden.

Les noms des sites Web touchés n’ont pas été divulgués, car la plupart de ceux-ci seraient toujours vulnérables.

Selon le cabinet de sécurité, les données collectées n’auraient pas été vendues par les pirates. Ceux-ci les auraient utilisées pour distribuer des spams.

Hold Security affirme également que les pirates seraient une douzaine de jeunes dans la vingtaine, repartis en petites équipes, dont certaines sont dédiées uniquement à la collecte des données et d’autres chargées de la maintenance du botnet utilisé pour infecter des ordinateurs.

« Même si le groupe de pirates n'a pas de nom, nous l'avons surnommé 'CyberVor', 'Vor' signifiant 'voleur' en russe », a précisé Hold Security.

Hold Security a divulgué ces informations après une enquête de sept mois.

Suite à ces révélations, les experts en sécurité de Symantec estiment qu’il serait temps pour les entreprises d’abandonner les mots passe. « Les entreprises doivent à présent considérer l’authentification sans mot de passe : ceux-ci sont de moins en moins sûrs et de plus en plus difficiles à utiliser avec la multiplication des terminaux mobiles. La mobilité est potentiellement le fer de lance du changement dans le monde professionnel sur ce point précis », conseillent les experts de Symantec.

Ceux-ci citent notamment des projets en cours de développements permettant le recours à la double authentification sans mot de passe, ainsi que le BYOA (Bring Your Own Authentication) qui grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »

Source : The New York Times

Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Bestel74 Bestel74 - Membre confirmé http://www.developpez.com
le 06/08/2014 à 12:17
Citation Envoyé par Hinault Romaric  Voir le message
Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

[...] grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »

Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?

Ben je pense que si effectivement les mot de passe ont été volé par des injections SQL, qu'est-ce que ça change dans ce cas que ça soit un mot de passe, ou une information biométrique ? Le problème sera toujours le cryptage de cette donnée afin de la rendre illisible en cas de vole non ?
Avatar de Logicielz Logicielz - Futur Membre du Club http://www.developpez.com
le 06/08/2014 à 13:08
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte
Avatar de nevada51 nevada51 - Membre du Club http://www.developpez.com
le 06/08/2014 à 13:16
Citation Envoyé par Logicielz  Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Ok je pense pas que ça soit bestel qui n'ai rien compris...
Avatar de nirgal76 nirgal76 - Membre expérimenté http://www.developpez.com
le 06/08/2014 à 13:26
Comme pour le contenu de l'article, il serait bon d'employer le conditionnel aussi pour le titre " Des cybercriminels russes auraient réalisé...."
Avatar de kolodz kolodz - Modérateur http://www.developpez.com
le 06/08/2014 à 13:27
Le groupe mystérieux de pirates aurait réussi à collecter 1,2 milliard d’enregistrements uniques (combinaisons uniques email-mot de passe) provenant de plus de 420 000 sites Web,

Selon le cabinet de sécurité, les données collectées n’auraient pas été vendues par les pirates. Ceux-ci les auraient utilisées pour distribuer des spams.

Donc pas sûr que les mot de passe soit en clair ou décryptable...

Après la problématique des injections SQL...

Cordialement,
Patrick Kolodziejczyk.
Avatar de Chauve souris Chauve souris - Membre chevronné http://www.developpez.com
le 06/08/2014 à 13:35
Mais les injections SQL n'ont-elles pas été analysées sous toutes leurs aspects algorithmiques ? Auquel cas la validation d'un mot de passe passe par le filtre anti injection SQL. De plus dans la petite approche que j'en ai fait les injections SQL permettent de passer le stade validation par mot de passe mais comment cela permet-il de récupérer celui-ci ?
Avatar de xurei xurei - Membre actif http://www.developpez.com
le 06/08/2014 à 15:09
Citation Envoyé par Logicielz  Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Quelle que soit la méthode d'authentification utilisée, cela se passe toujours via l'envoi de données au serveur. Avec des informations biométriques, tu convertis une information du type empreinte digitale en une suite de caractères qui sont envoyés au serveur. En d'autres termes, ton pouce devient le mot de passe. Un pirate peut simplement reproduire cette longue chaine et l'envoyer telle quelle, et cela sans que le serveur ne puisse s'en rendre compte.

Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).

Par contre, l'ÉNORME désavantage que cela apporte, c'est que tu n'as plus qu'un mot de passe unique : ton pouce. Allez, deux en fait, parce que t'as deux pouces :-P. Par ailleurs, ce n'est pas vraiment une information secrète : chaque fois que l'on touche quelque chose, on y laisse son empreinte.

Bref, le biométrique, c'est bien pour protéger son coffre fort à la banque (et encore...), mais à part ça, je ne crois pas que ce soit une meilleure solution.
Avatar de kn_mars kn_mars - Membre à l'essai http://www.developpez.com
le 06/08/2014 à 15:48
Citation Envoyé par xurei  Voir le message
Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés chiffrés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).

De toute façons, pour sécuriser correctement un système il faut une authentification à deux facteurs.
  • Code pin + empreinte biométrique
  • mot de passe + token
  • etc.
Avatar de _informix_ _informix_ - Membre habitué http://www.developpez.com
le 06/08/2014 à 18:30
Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage mais il faut se montrer patient. Et la plateforme est saturée de demandes de vérification !!!!!! https://identity.holdsecurity.com

La page de Hold Security demande de saisir tous les mots de passe personnels pour lesquels on souhaite savoir s'ils sont compromis et propose de comparer la version cryptée en SHA-512 avec celles présentes dans la grosse database volée. Les sites d'information comme d'habitude cautionnent cette pratique de manière indirecte.

J'ai aussi peu confiance en Hold Security que dans ce mystérieux et hypothétique groupe de hackers russes !

Pour moi le vrai voleur ici c'est Hold Security et ils utilisent les site d'information informatique comme vecteur de diffusion avec un peu de piment : "un groupe de hacker russes".
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 06/08/2014 à 19:28
Citation Envoyé par Logicielz  Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Et quel est la différence avec le mot de passe ? Lui aussi on le stocke quelques part (enfin !, voir après), lui aussi on l'indique à chaque fois, lui aussi est comparé avec celui stocké, donc à moins que l'on vole le mot de passe et qu'on court-circuite l'interface utilisateur pour le présenter au site, donc à moins que l'on vole la représentation numérique de l'empreinte biométrique et que l'on court-circuite le système de lecture pour la présenter au site ....

Ici, visiblement le problème se situe coté serveur. On peut mettre n'importe quel système d'authentification, même le plus perfectionné, si la faille est le serveur, il ne sert à rien.
En plus, ici, si c'est une faille d'injection SQL, il est fortement probable qu'il n'y ait même pas besoin d'authentification donc de mot de passe/empreintes/etc pour rentrer dans le serveur en étant authentifié.

Voir ici --> La première règle, de base, est que l'on ne stocke jamais le sésame d'authentification dans une base de données, que ce soit un mot de passe, une empreinte biometrique, ou quoique ce soit d'autre. On ne stockera toujours qu'un Hash de ce sésame, obtenu avec un algorithme destructeur de sorte que même si on arrive à pirater la base et récupérer ce hash, on ne puisse pas remonter au sésame. Il va s'en dire que le site doit être blindé niveau sécurité et doit lui-même calculé le hash du sésame présenté pour le comparer à celui stocké. Il ne doit, en aucun cas, être possible de présenter un hash déjà calculé.
Qui respecte cette règle ? pas assez de monde, y compris de grands sites commerciaux.
Faites le test, c'est simple : Utilisez la procédure d'oubli et de récupération du mot de passe sur votre site préféré. Si celui-ci est capable, peu importe le moyen, de vous communiquer le mot de passe que vous aviez saisi, ça veut dire qu'il le stocke en clair, ou tout autre moyen permettant d'y remonter. Cela signifie que l'authentification n'est pas faite de manière sécurisée, et que donc vos données sont potentiellement en danger face à un vol comme ici.
Offres d'emploi IT
Ingénieur web mobile H/F
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis
Développeur java/j2ee h/f
BULL FR - Provence Alpes Côte d'Azur - Marseille (13000)
Développeur java back-end
Alaloop - Ile de France - Bidart (64210)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil