Le réseau social affirme ne pas avoir été hacké. Il est probable que les données proviennent d’ordinateurs d’utilisateurs infectés par un malware.
La série des mégavols de données d’authentification continue. Après LinkedIn, Tumblr, MySpace etVKontakte, c’est au tour de Twitter d’être exposé dans la boutique en ligne du pirate “Peace_of_mind”, sur la place de marché underground The Real Deal. Le cyber-malfrat propose 71 millions de comptes Twitter pour un demi bitcoin, soit environ 250 euros. Comparé aux autres bases mise en vente, ce n’est pas très cher. Mais le pirate précise que “la plupart des mots de passe ont été changés”. En revanche, pas besoin de sortir ses outils de cryptanalyse: toutes les clés secrètes sont proposés en clair.
Le site LeakedSource.com a visiblement mis la main sur une partie de ces données, récupérant un peu plus de 32 millions de comptes Twitter avec adresses e-mail, noms d’utilisateurs et mots de passe, là aussi en clair. Selon LeakedSource, les comptes sont bien réels. Une quinzaine d’utilisateurs ont été contactés et tous ont confirmé l’exactitude de leur mot de passe. Les utilisateurs de Twitter peuvent vérifier sur leur site si leur compte figure dans cette base récupérée. Dans tous les cas, il faut changer son mot de passe sur Twitter et sur tous les sites où le même mot de passe a été utilisé.
D’où proviennent ces données? Pas directement des serveurs de Twitter, semble-t-il. Le responsable de la sécurité informatique de Twitter a affirmé que leurs systèmes “n’ont pas été hackés”. Par ailleurs, il précise que Twitter stocke les mots de passe des utilisateurs sous forme chiffrée.
We have investigated reports of Twitter usernames/passwords on the dark web, and we’re confident that our systems have not been breached.
— Michael Coates ஃ (@_mwc) 9 juin 2016
L’hypothèse la plus probable est que ces identifiants proviennent directement des utilisateurs. “Des dizaines de millions de personnes ont été infectées par un malware, et ce malware a récupéré le nom d’utilisateur et le mot de passe de tous les sites depuis les navigateurs tels que Chrome ou Firefox avant de les transmettre aux pirates (…) Il est probable que ce malware a été surtout diffusé auprès d’utilisateurs russes”, estime LeakedSource.
Il faut savoir, en effet, que les mots de passe stockés par les navigateurs ne sont pas forcément stockés de manière chiffrée. Dans Firefox, ce n’est le cas que si l’on définit un mot de passe principal qui sera utilisé pour chiffrer tous les autres mots de passe. Dans Chrome, le chiffrement est activé par défaut depuis quelques années, à condition d’avoir défini un mot de passe de verrouillage pour l’ordinateur. Un malware qui infecte un ordinateur pourra donc, dans certains cas, accéder aux mots de passe en clair.
Enfin, l’analyse des mots de passe les plus utilisés donne un résultat totalement prévisible, avec “123456”, “123456789”, “qwerty” et “password” étant les plus fréquents. Comme d’habitude.
avec Bfmtv