Des pirates dérobent 31 millions de mots de passe et lancent une attaque DDoS sur Wayback Machine

Tôt vendredi matin, des informations ont commencé à circuler selon lesquelles des pirates informatiques avaient violé la sécurité de archive.org, la machine Wayback de l’Internet Archive. Environ 31 millions de mots de passe ont été volés. En outre, archive.org et openlibrary.org ont été victimes d’une attaque par déni de service distribué (DDoS). À l’heure où nous écrivons ces lignes, les deux sites sont toujours inaccessibles.

L’attaque par déni de service distribué et la violation de données ne sont peut-être pas liées

Un rapport de Bleeping Computer a identifié pour la première fois l’attaque DDoS et la faille de sécurité. Le groupe hacktiviste Black Meta s’est attribué le mérite de l’attaque DDoS. Cependant, il n’est pas encore certain que le vol et l’attaque soient liés. Les problèmes ont commencé mercredi après-midi, lorsqu’un message JavaScript cryptique a accueilli les utilisateurs se connectant à archive.org. Il se lisait comme suit

« Vous avez déjà eu l’impression que l’Internet Archive fonctionne sur des bâtons et qu’il est constamment sur le point de souffrir d’une faille de sécurité catastrophique ? Cela vient de se produire. Rendez-vous à 31 millions d’entre vous sur HIBP ! »

HIBP fait référence à Have I Been Pwned, un service en ligne permettant aux particuliers de vérifier les fuites potentielles de données et de recevoir des notifications si leurs informations ont été compromises.

Voir aussi :  La mise en miroir de votre iPhone sur votre Mac, c'est génial : Ici'comment l'installer

Troy Hunt, propriétaire de HIBP, a déclaré que le pirate responsable de la violation de données avait partagé avec HIBP un fichier de 6,4 Go contenant des informations essentielles sur les comptes Wayback Machine. Ces données comprenaient des noms d’écran, des mots de passe codés en BCrypt et des adresses électroniques. L’horodatage du fichier montre que le vol a eu lieu le 28 septembre.

Faut-il s’inquiéter ?

Lucas Gouveia / lizengo.fr

Oui, et non. La bonne nouvelle, c’est qu’il existe une couche de sécurité supplémentaire pour les mots de passe hachés par Bcrypt. Ce cryptage peut contribuer à la sécurité de vos informations.

En une citation donnée à Forbes Adam Brown, consultant en sécurité chez Black Duck, déclare : « L’utilisation de Bcrypt, si elle est mise en œuvre correctement, empêchera l’extraction des mots de passe. Bien que les hachages puissent être recherchés si des mots de passe courants sont utilisés, si le hachage est salé, comme c’est le cas avec Bcrypt, cela empêche en grande partie l’utilisation de tables de recherche de hachage. Black Duck est une importante société de sécurité spécialisée dans la sécurité des applications.

Cela dit, changer régulièrement ses mots de passe est une mesure de sécurité importante, en particulier lorsqu’une violation de ce type se produit. Si vous vous souciez de vos données, c’est probablement le moment idéal pour les rafraîchir. Et si vous n’utilisez pas encore de passe-partout ou de gestionnaire de mots de passe spécialisé, pensez à les intégrer à votre régime de sécurité en ligne.

Voir aussi :  Recadrage ou redimensionnement : Quand utiliser l'un ou l'autre en photographie

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *