Developpez.com

Le Club des Développeurs et IT Pro

Une variante du malware Pony subtilise 2 000 000 de mots de passe

Les utilisateurs de Facebook, Google, et Yahoo sont les plus touchés

Le 2013-12-11 21:06:54, par Cedric Chevalier, Expert éminent sénior
Récemment Microsoft, en association avec Europol, a privé le botnet Zeroaccess de 18 serveurs de commande et de contrôle situés en Europe. Même si l’action est louable, la bataille contre les réseaux zombies est loin d’être terminée.

L’équipe de chercheurs en sécurité de la firme Trustwave a découvert un site sur lequel ont été postés pratiquement 2 000 000 de mots de passe (sites web, FTP, SSH, email). Les utilisateurs des réseaux sociaux Facebook, Yahoo! et Google sont les plus touchés.


Pour les experts en sécurité, le coupable n’est autre qu’une variante de Pony, un malware avec une composante « keylogger ». Et, bien que les Pays-Bas semblent être le haut-lieu de concentration des serveurs de commande et de contrôle du botnet Pony, une étude approfondie des chercheurs suggère plutôt l’emploi des proxy pour la communication entre les machines zombies et les serveurs de commande. Un mécanisme fort astucieux pour empêcher que ne soient découverts les vrais serveurs de « command and control ».


L’analyse des mots de passe des comptes compromis révèle un autre fait : malgré toutes les pratiques de sécurité recommandées jusqu’ici, les utilisateurs conservent la mauvaise habitude de créer des mots de passe faibles. 15 820 comptes utilisaient « 123456 » comme mot de passe.


Facebook a été alerté. Le réseau social a réinitialisé les mots de passe des comptes compromis et recommande à ses utilisateurs de configurer les paramètres de sécurité Notification de connexion et Approbation de connexion pour faire monter d’un cran le niveau de sécurité de leur compte.

Sources : BBC, TrustWave

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
12 commentaires
  • imikado
    Rédacteur
    Juste un post pour indiquer une nouvelle manière de se faire véroler son pc:
    simplement en surfant sur des sites "normaux" comme yahoo (dont la régie pub s'est faite pirater)

    http://www.developpez.com/actu/65944...rance-touchee/
    le 06/01/2014 à 12:42
  • Cyrilange
    Membre averti
    Ils vont pouvoir piquer mes photos en maillot de bain sur Facebook et mes spams de Viagra sur Gmail. Flippant !
    le 19/12/2013 à 21:46
  • Rimshot
    Candidat au Club
    Sachant que la Malware en question est un Keylogger, le niveau de complexité du mot de passe est-il vraiment en cause ?

    Peu importe la longueur et la combinaison de lettres/chiffres/signes, ce que l'on tape est enregistré et transmis aux personnes intéressées. Ce qui ne changera donc rien au résultat que l'on utilise 123456 ou j$sdfis908*)40#@4.ç*jklqw-sme (<- aucun des 2 n'est un de mes passwords si jamais ! )
    le 20/12/2013 à 9:03
  • niuxe
    Membre régulier
    Envoyé par imikado
    Au choix:
    - a installer un logiciel craqué, ou a utiliser un key generator contenant le malware
    - a executer un powerpoint "marrant" qui contenait dans sa macro le code d'installation d'un malware
    - a surfer sur un site dont l'une des pages contenait le code telechargement d'un malware
    -...
    +1



    troll inside :
    Y'a pas à dire, µ$oft devrait se cantonner à la X box. Windows n'est finalement fait pour le loisir ou la perte de temps ou le loisir de la perte de temps .

    Cette situation est déjà arrivée : L'utilisateur avec la licence achetée veut utiliser son logiciel préféré (Photoshop, Illustrator, Word, Excel, Cubase, Maya, etc.). Il va pas pouvoir, puisqu'il doit nettoyer sa machine avec un anti malware / anti virus (le truc qui sert à rien : prend des ressources, payant parfois et laisse passer les merdes (ex : variante malware pony)).

    @jpiotrowski : Je t'ai mis moins un dans le sens que ton lien pour générer des mdp n'est pas pertinent pour l'utilisateur final. Ce genre d'outil est intéressant dans le sens qu'il permet de générer un mdp lors de l'attribution d'un compte à l'utilisateur final. Un mot de passe doit être parlant pour l'utilisateur. Sans ça, il stockera l'id et le mdp sur un autre support (post it, smartphone, fichier txt parfois encrypté par un mdp de type god, 123456, admin, password, etc. ).

    Il faut éduquer le user. Lui expliquer comment créer un mdp parlant et sécurisé. De mémoire, les formulaires Yahoo, gmail sont biens faits. Il manque cependant, un mini tuto expliquant comment créer un mdp parlant et sécurisé.
    le 23/12/2013 à 17:36
  • Clotho
    Membre expert
    Bof, rien de bien surprenant en soit. Je suis tout de même un peu étonné de voir que les soucis principalement relevés sont le fait de Keylogger, je pensais que le vol de cookies était plus simple, et plus rentable.

    Par contre c'est affligeant de voir qu'il y a encore autant de mots de passe mononeuronaux. La somme des 11 mots répertoriés fait quand même 2% des comptes avec un mdp à la noix...

    Quand on voit les sites ciblés, j'ai cependant du mal à vraiment identifier ce que les gens peuvent faire d'infos basiques récupérées sur facebook ou linkedin, en si grand nombre, et a priori sans sélection. C'est pénible parce que c'est une intrusion dans la sphère privée, mais c'est pas comme si c'était des éléments pouvant être directement nuisibles aux lésés.
    le 12/12/2013 à 10:35
  • squizer
    Membre actif
    Envoyé par Clotho

    Par contre c'est affligeant de voir qu'il y a encore autant de mots de passe mononeuronaux. La somme des 11 mots répertoriés fait quand même 2% des comptes avec un mdp à la noix...
    Il y a certainement beaucoup de comptes fictifs dans le tas, surtout si on a des compte gmail par exemple. Ca serait interessant de lier le nom de compte avec son mot de passe. Je serai pas étonné de voir des "abcdef@gmail.com" avec des mdp "123456"
    Quoique j'ai peut-être une trop bonne opinion de la capacité des gens à comprendre une norme de sécurité.
    le 12/12/2013 à 12:03
  • imikado
    Rédacteur
    Envoyé par Clotho
    Bof, rien de bien surprenant en soit. Je suis tout de même un peu étonné de voir que les soucis principalement relevés sont le fait de Keylogger, je pensais que le vol de cookies était plus simple, et plus rentable.
    Il y a des mesures à prendre pour éviter le vol de cookie httponly,... (qui doivent déjà être utilisé par facebook et compagnie)
    le 12/12/2013 à 12:21
  • HerveRenault
    Membre à l'essai
    Je me demande comment ces gens se sont retrouvés avec un keylogger sur leur PC... Il n'est pas arrivé là tout seul. Ils installent tout les .exe qui passent dans leur boite mail ou quoi ?
    le 20/12/2013 à 9:40
  • imikado
    Rédacteur
    Envoyé par HerveRenault
    Je me demande comment ces gens se sont retrouvés avec un keylogger sur leur PC... Il n'est pas arrivé là tout seul. Ils installent tout les .exe qui passent dans leur boite mail ou quoi ?
    Au choix:
    - a installer un logiciel craqué, ou a utiliser un key generator contenant le malware
    - a executer un powerpoint "marrant" qui contenait dans sa macro le code d'installation d'un malware
    - a surfer sur un site dont l'une des pages contenait le code telechargement d'un malware
    -...
    le 20/12/2013 à 10:27
  • C'est quand même pas difficile d'imposer certaines caractéristiques pour un mot de passe. Les sites web qui ne le font pas ont sans doute comme arrière pensée de faciliter le piratage, c'est pas possible autrement...

    http://generateurdemotdepasse.com/index.php

    A garder dans les signets.
    le 20/12/2013 à 13:50
  Poster une réponse