Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des cybercriminels russes réalisent le plus grand vol de données sur Internet
1,2 milliard de mots de passe collectés par ceux-ci

Le , par Hinault Romaric

0PARTAGES

2  0 
Des pirates russes ont réussi l’exploit de réaliser le plus grand vol des données des utilisateurs sur Internet, selon des chercheurs en sécurité.

Le groupe mystérieux de pirates aurait réussi à collecter 1,2 milliard d’enregistrements uniques (combinaisons uniques email-mot de passe) provenant de plus de 420 000 sites Web,

Ces informations ont été recueillies grâce à un réseau d’ordinateurs qui ont été piratés à l’aide des logiciels malveillants, permettant le contrôle de ceux-ci par les pirates. Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

L’analyse des informations collectées par les pirates a permis d’identifier 4,5 milliards de noms d’utilisateur et mots de passe contenant plusieurs doublons, ainsi que 542 millions d’adresses uniques de messagerie électronique.

Les cibles des pirates seraient assez diversifiées, allant des sites importants aux petits sites Web. « Les pirates n'ont pas uniquement ciblé des sociétés américaines, ils ont visé tous les sites internet qu'ils pouvaient trouver. Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites », a déclaré le fondateur de Hold Security, Alex Holden.

Les noms des sites Web touchés n’ont pas été divulgués, car la plupart de ceux-ci seraient toujours vulnérables.

Selon le cabinet de sécurité, les données collectées n’auraient pas été vendues par les pirates. Ceux-ci les auraient utilisées pour distribuer des spams.

Hold Security affirme également que les pirates seraient une douzaine de jeunes dans la vingtaine, repartis en petites équipes, dont certaines sont dédiées uniquement à la collecte des données et d’autres chargées de la maintenance du botnet utilisé pour infecter des ordinateurs.

« Même si le groupe de pirates n'a pas de nom, nous l'avons surnommé 'CyberVor', 'Vor' signifiant 'voleur' en russe », a précisé Hold Security.

Hold Security a divulgué ces informations après une enquête de sept mois.

Suite à ces révélations, les experts en sécurité de Symantec estiment qu’il serait temps pour les entreprises d’abandonner les mots passe. « Les entreprises doivent à présent considérer l’authentification sans mot de passe : ceux-ci sont de moins en moins sûrs et de plus en plus difficiles à utiliser avec la multiplication des terminaux mobiles. La mobilité est potentiellement le fer de lance du changement dans le monde professionnel sur ce point précis », conseillent les experts de Symantec.

Ceux-ci citent notamment des projets en cours de développements permettant le recours à la double authentification sans mot de passe, ainsi que le BYOA (Bring Your Own Authentication) qui grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »

Source : The New York Times

Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de nevada51
Membre du Club https://www.developpez.com
Le 06/08/2014 à 13:16
Citation Envoyé par Logicielz Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte
Ok je pense pas que ça soit bestel qui n'ai rien compris...
8  0 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 06/08/2014 à 12:17
Citation Envoyé par Hinault Romaric Voir le message

Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

[...] grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »

Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?
Ben je pense que si effectivement les mot de passe ont été volé par des injections SQL, qu'est-ce que ça change dans ce cas que ça soit un mot de passe, ou une information biométrique ? Le problème sera toujours le cryptage de cette donnée afin de la rendre illisible en cas de vole non ?
7  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 07/08/2014 à 3:09
Citation Envoyé par kn_mars Voir le message
De toute façons, pour sécuriser correctement un système il faut une authentification à deux facteurs.
Cela ne suffit pas. Il faudrait aussi s'assurer que les deux facteurs soient sur deux appareils différents. Je pense là aux smartphones (volés ou corrompus) avec une faille de ce type :
  1. On n'a pas le mot de passe, donc on utilise une fonctionnalité de type "J'ai oublié mon mot de passe".
  2. L'utilisateur aura sûrement toutes ses adresses mail sur le smartphone, que ce soit dans des gestionnaires de mots de passes ou bien dans les configurations de boites mail. Du coup on a l'adresse mail pour récupérer ou réinitialiser le mot de passe. On peut alors choisir celui qu'on veut. 1er facteur :
  3. Comme on a le premier facteur, on l'utilise pour franchir la première barrière.
  4. Le système de double authentification envoie alors le second facteur à l'utilisateur.
  5. Le smartphone ne servant sûrement pas qu'à recevoir des mails mais aussi à téléphoner et recevoir des SMS, devinez où va atterrir le second facteur ? Au même endroit que le premier ! 2nd facteur :
  6. On passe la seconde barrière.
  7. La double authentification a échoué. On peut faire ce que l'on veut.


Bref, la double authentification ne sert strictement à rien pour le grand public en pratique. Et dans le cas des SMS encore faut-il pouvoir le recevoir. J'ai du Wifi / Ethernet pour me connecter à la boîte mail via Internet mais j'ai pas de réseau mobile / j'ai plus de batterie / j'ai pas le téléphone en état de marche sous la main pour lire le SMS. Et je ne peut donc pas accéder à mon mail malgré la connexion. WTF total.
5  0 
Avatar de xurei
Membre averti https://www.developpez.com
Le 06/08/2014 à 15:09
Citation Envoyé par Logicielz Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte
Quelle que soit la méthode d'authentification utilisée, cela se passe toujours via l'envoi de données au serveur. Avec des informations biométriques, tu convertis une information du type empreinte digitale en une suite de caractères qui sont envoyés au serveur. En d'autres termes, ton pouce devient le mot de passe. Un pirate peut simplement reproduire cette longue chaine et l'envoyer telle quelle, et cela sans que le serveur ne puisse s'en rendre compte.

Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).

Par contre, l'ÉNORME désavantage que cela apporte, c'est que tu n'as plus qu'un mot de passe unique : ton pouce. Allez, deux en fait, parce que t'as deux pouces :-P. Par ailleurs, ce n'est pas vraiment une information secrète : chaque fois que l'on touche quelque chose, on y laisse son empreinte.

Bref, le biométrique, c'est bien pour protéger son coffre fort à la banque (et encore...), mais à part ça, je ne crois pas que ce soit une meilleure solution.
4  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 06/08/2014 à 19:31
Citation Envoyé par _informix_ Voir le message
Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage mais il faut se montrer patient. Et la plateforme est saturée de demandes de vérification !!!!!! https://identity.holdsecurity.com

La page de Hold Security demande de saisir tous les mots de passe personnels pour lesquels on souhaite savoir s'ils sont compromis et propose de comparer la version cryptée en SHA-512 avec celles présentes dans la grosse database volée. Les sites d'information comme d'habitude cautionnent cette pratique de manière indirecte.

J'ai aussi peu confiance en Hold Security que dans ce mystérieux et hypothétique groupe de hackers russes !

Pour moi le vrai voleur ici c'est Hold Security et ils utilisent les site d'information informatique comme vecteur de diffusion avec un peu de piment : "un groupe de hacker russes".
Le meilleur moyen de récupérer ce qui n'ont pas encore été volés
4  0 
Avatar de philou44300
Membre habitué https://www.developpez.com
Le 07/08/2014 à 11:46
Chauve souris, tu peux effectivement contourner une authentification si les champs d'authentifications ne sont pas protégés mais tout champs peut potentiellement ne pas être protégé sur un site (champs de saisie de données, champs de recherche...) ou si le site utilise du GET avec par exemple une adresse comme ca http://monSite.com?id=5 et si à la récupération de l'id pour l'utiliser dans une requête sql il n'y a pas de controle, rien ne t'empêche d'avoir une injection sql. Ensuite, en ajoutant dans le champs ou l'adresse vulnérable certains éléments pour modifier la requête sql qu'il y a derrière, on peut récupérer les tables sql et leurs contenus. Les injections sql ne servent donc pas qu'à contourner une authentification.

Moi ce que je ne comprend pas dans tout ca, c'est pourquoi ils demandent nos mots de passes s'il y a aussi les adresses mail qui ont été volés... Il suffirait qu'ils regardent juste si l'adresse mail est dans les données volées pour pouvoir nous dire si nos données ont été piratées ou non... Pas besoin donc de l'adresse mail ET de tous les mots de passes.
4  0 
Avatar de kn_mars
Membre à l'essai https://www.developpez.com
Le 06/08/2014 à 15:48
Citation Envoyé par xurei Voir le message

Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés chiffrés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).
De toute façons, pour sécuriser correctement un système il faut une authentification à deux facteurs.
  • Code pin + empreinte biométrique
  • mot de passe + token
  • etc.
3  0 
Avatar de _informix_
Membre actif https://www.developpez.com
Le 06/08/2014 à 18:30
Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage mais il faut se montrer patient. Et la plateforme est saturée de demandes de vérification !!!!!! https://identity.holdsecurity.com

La page de Hold Security demande de saisir tous les mots de passe personnels pour lesquels on souhaite savoir s'ils sont compromis et propose de comparer la version cryptée en SHA-512 avec celles présentes dans la grosse database volée. Les sites d'information comme d'habitude cautionnent cette pratique de manière indirecte.

J'ai aussi peu confiance en Hold Security que dans ce mystérieux et hypothétique groupe de hackers russes !

Pour moi le vrai voleur ici c'est Hold Security et ils utilisent les site d'information informatique comme vecteur de diffusion avec un peu de piment : "un groupe de hacker russes".
3  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 06/08/2014 à 19:28
Citation Envoyé par Logicielz Voir le message
Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte
Et quel est la différence avec le mot de passe ? Lui aussi on le stocke quelques part (enfin !, voir après), lui aussi on l'indique à chaque fois, lui aussi est comparé avec celui stocké, donc à moins que l'on vole le mot de passe et qu'on court-circuite l'interface utilisateur pour le présenter au site, donc à moins que l'on vole la représentation numérique de l'empreinte biométrique et que l'on court-circuite le système de lecture pour la présenter au site ....

Ici, visiblement le problème se situe coté serveur. On peut mettre n'importe quel système d'authentification, même le plus perfectionné, si la faille est le serveur, il ne sert à rien.
En plus, ici, si c'est une faille d'injection SQL, il est fortement probable qu'il n'y ait même pas besoin d'authentification donc de mot de passe/empreintes/etc pour rentrer dans le serveur en étant authentifié.

Voir ici --> La première règle, de base, est que l'on ne stocke jamais le sésame d'authentification dans une base de données, que ce soit un mot de passe, une empreinte biometrique, ou quoique ce soit d'autre. On ne stockera toujours qu'un Hash de ce sésame, obtenu avec un algorithme destructeur de sorte que même si on arrive à pirater la base et récupérer ce hash, on ne puisse pas remonter au sésame. Il va s'en dire que le site doit être blindé niveau sécurité et doit lui-même calculé le hash du sésame présenté pour le comparer à celui stocké. Il ne doit, en aucun cas, être possible de présenter un hash déjà calculé.
Qui respecte cette règle ? pas assez de monde, y compris de grands sites commerciaux.
Faites le test, c'est simple : Utilisez la procédure d'oubli et de récupération du mot de passe sur votre site préféré. Si celui-ci est capable, peu importe le moyen, de vous communiquer le mot de passe que vous aviez saisi, ça veut dire qu'il le stocke en clair, ou tout autre moyen permettant d'y remonter. Cela signifie que l'authentification n'est pas faite de manière sécurisée, et que donc vos données sont potentiellement en danger face à un vol comme ici.
3  0 
Avatar de mverhaeghe
Membre habitué https://www.developpez.com
Le 07/08/2014 à 8:56
Ca me parait un peu fumeux quand même ce truc. Je ne dis pas que les injections SQL n'existent pas hein, mais cette boite nous explique qu'ils ont fait une enquête de 7 mois pour trouver un vol organisé par un groupe que personne connait, et que Hold security appelle Cybervor. Derrière ça, c'est : faites confiance à nos produits, venez nous donner vos mots de passe pour qu'on puisse vous dire si vous êtes dedans ou pas (et accessoirement on les stocke chez nous, faut pas se priver).

Sérieusement, c'est qui ces mecs ? ils sortent d’où ? Qui les financent ?

Pour ceux que ça intéresse, voici le communiqué de presse originale, pour ma part je trouve qu'il vaut son pesant de cahuètes pour un placement de produit

http://www.holdsecurity.com/news/cybervor-breach/
3  0