Skyblogs, piratate 32 milioni di passwords

martedì, 25 Maggio, 2010

Da Libération del 25.5.10:

Les Skyblogs décodent grave

par Geoffroy Husson

tags : blog , sécurité , hacking

Montage Ecrans.fr, d’après l’alerte sécurité de Skyrock

Quand un pirate réussit à s’introduire dans les serveurs sécurisés de la première plateforme de blogs en Europe, ça peut faire quelques dégâts. En l’occurrence, 32 millions de mots de passe, soit le nombre de blogs Skyrock enregistrés, pourraient avoir été dérobés en début de semaine dernière.

C’est le site Zataz.com, spécialisé dans l’actualité du piratage et de la sécurité sur le net, qui a révélé l’affaire en fin de semaine dernière. A partir de la nouvelle plateforme Waka du gouvernement, hébergée chez Skyrock, le pirate aurait exploité une faille pour accéder à un serveur, sur lequel il a rajouté un fichier nommé « Coucou », ainsi que divers scripts. De cette façon, il aurait potentiellement eu accès à 32 millions de mots de passe d’utilisateur et donc à leurs comptes et leurs blogs.

Sur la page d’accueil du site, il n’est fait nulle part mention de cette attaque. Il faut aller s’informer directement sur le (Sky)blog officiel du site pour trouver un billet qui s’est rapidement retrouvé refoulé entre deux autres articles, datant du 21 mai, puis du 25 mai. Le billet en question, même s’il évoque clairement des « attaques malveillantes » reste relativement vague sur le sujet : « Comme la plupart des grands sites, Skyrock.com est régulièrement la cible d’attaques malveillantes. Nous avons constaté en début de semaine une tentative d’intrusion. La meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe. Si tu ne l’as pas fait depuis longtemps, pense à le faire maintenant, via ton tableau de bord – onglet mon compte ».

Zataz.com rappelle également, dans son article, que Skyrock avait déjà été contrôlée il y a plus d’un an par la CNIL qui avait pu constater que les mot de passes, bien qu’étant stockés dans un serveur sécurisé, n’étaient pas cryptés. Un problème qui ne semble pas avoir été corrigé depuis, laissant ainsi tout loisir au hacker de les piocher et de les lire sans autre forme de complication. Bien sûr, les blogueurs peuvent bien modifier leurs mots de passe non cryptés autant qu’ils le souhaitent, mais ce n’est pas ça qui devrait empêcher les hackers d’y mettre la main.

tagged under: