|
|
Skyrock fait Waka dans sa culotte : 30 millions de mots de passe en clair volés ?
Guillaume Champeau -
publié le Samedi 22 Mai 2010 à 15h41 -
posté dans Société 2.0
Selon le site spécialisé Zataz, la plateforme Skyrock aurait été victime d'une intrusion qui aurait potentiellement permis au hacker d'accéder à plus de 30 millions de mots de passe, dont Zataz assure qu'ils étaient stockés en clair dans les bases de données. Or Skyrock héberge le site Waka mis en place ce mois-ci par le gouvernement pour consulter les jeunes. C'est à travers lui qu'aurait été réalisé le piratage.
La plateforme d'hébergement de blogs pour adolescents Skyrock.com a lancé vendredi une alerte de sécurité auprès de ses 30 millions de membres. "Nous avons constaté en début de semaine une tentative d'intrusion. La meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe. Si tu ne l'as pas fait depuis longtemps, pense à le faire maintenant", indique un message diffusé sur la plateforme. Selon le site spécialisé dans la sécurité informatique Zataz, les équipes techniques de Skyrock auraient découvert lors d'un audit de ses serveurs la présence d'un fichier nommé "coucou", et plusieurs scripts étrangers. Après examen, "il est alors découvert qu'une intrusion a été orchestrée à partir d'une backdoor téléchargée via un service mal configuré (Waka) de "Download"". Or Waka n'est autre que la plate-forme mise en place par le gouvernement en partenariat avec Skyrock pour consulter les jeunes sur différents sujets, dont la Carte Musique Jeune. Pour un coût "aux alentours de 2 millions d'euros", selon les propres chiffres du ministre de la jeunesse et des solidarités actives, Marc-Philippe Daubresse. "On a choisi un partenaire qui est aujourd'hui en dehors des réseaux de type Facebook le premier réseau social de France", confiait-il cette semaine sur LeMonde.fr. "Le partenariat a été noué entre le service d'information du gouvernement (SIG) et une structure juridique qui nous a semblé la plus efficace pour toucher le maximum de jeunes avec le langage le plus adapté possible. Le nombre de visiteurs qui atteint les 300 000 en un mois montre bien qu'en termes d'efficacité, le SIG a fait le bon choix". En termes de sécurité, il est désormais permis d'en douter. Pour déposer des commentaires, les internautes doivent s'inscrire sur la plate-forme. Or selon Zataz, "le ou les pirates ont très certainement pu mettre la main sur plus de 32.000.000 de comptes" d'internautes inscrits sur Skyrock. Pire, le site indique que la CNIL aurait effectué un contrôle il y a plus d'un an dans les bureaux de Skyrock, et constaté que les mots de passe étaient stockés en clair, donc sans être chiffrés. Pire encore, "nous avons eu confirmation que le chiffrement n'avait pas encore été effectué en ce mois de mai", assure Zataz. Il n'est pas du tout certain pour le moment que les mots de passe des utilisateurs ont bien été interceptés par le(s) pirate(s), mais si les informations de notre confrère sont justes, et s'il y a eu vol des données, les conséquences pourraient être extrêmement dommageables. Espérons tout de même que si les faits sont tels que les décrit Zataz, Skyrock aurait été beaucoup plus pressant voire stressant dans son alerte de sécurité, et n'aurait pas parlé de simple "tentative d'intrusion". Espérons. à lire aussi
 Prix indiqués avec livraison
80
Commentaires à propos de «Skyrock fait Waka dans sa culotte : 30 millions de mots de passe en clair volés ?»
 Stockage des mots de passe en clair sur l'une des plateformes les plus visitées en France... je crois rêver.
Même moi sur mon minuscule FTP réservé aux clients, les mots de passe sont passés à la moulinette SHA-1 ! C'est des précautions de base, et pourtant... ça me fait penser aux neuneus qui écrivent leur mot de passe de compte Windows sur un PostIt collé à l'écran...  Tin mais c'est à pleurer. On est en 2010 et il y a encore des gens pour stocker du pass en clair -_-
EDIT: négligence caractérisée ?  deadalnix, le 22/05/2010 - 15:53 EDIT: négligence caractérisée ?mdr xD Même en MD5 ca aurait été un minimum suffisant. deadalnix, le 22/05/2010 - 15:53 EDIT: négligence caractérisée ?Si ça dépendait de moi, l'ensemble de l'équipe technique pourrait plier bagages (sans indemnités, faute professionnelle lourde). Surtout que la CNIL leur a fait la remarque il y a un an de ça, quelle mauvaise volonté ! C'est juste inexcusable...  Les mots de passes de skyrock sont cryptés, je sais pas d'ou vient cette info, il y avait une faille avant qui permettait d'upload n'importe quoi, et les mots de passe des comptes skyrock étaient cryptés.
/Cali yhzarcali, le 22/05/2010 - 16:01 Les mots de passes de skyrock sont cryptés, je sais pas d'ou vient cette info, il y avait une faille avant qui permettait d'upload n'importe quoi, et les mots de passe des comptes skyrock étaient cryptés. /Cali Si ce que tu dit est vrai, alors ça me rassure  , ca serai vraiment bizarre si les mdp étaient clairs yhzarcali, le 22/05/2010 - 16:01 Les mots de passes de skyrock sont cryptés, je sais pas d'ou vient cette info, il y avait une faille avant qui permettait d'upload n'importe quoi, et les mots de passe des comptes skyrock étaient cryptés. /Cali Tu travailes chez eux ? Je ne trouve pas d'info "officielle", ni dans un sens ni dans l'autre. yhzarcali, le 22/05/2010 - 16:01 Les mots de passes de skyrock sont cryptés, je sais pas d'ou vient cette info, il y avait une faille avant qui permettait d'upload n'importe quoi, et les mots de passe des comptes skyrock étaient cryptés. /Cali A noter qu'il y a plus d'un an, la Commission Nationale Informatique et Liberté (CNIL) avait rendu visite à Skyrock pour un contrôle. Il avait été constaté, à l'époque, que les mots de passe des blogueurs étaient stockés sans être chiffrés. Nous avons eu confirmation que le chiffrement n'avait pas encore été effectué en ce mois de mai.
http://www.zataz.com...ws+(ZATAZ+News) Niet, mots de passes pas chiffrés. Kad, avec des titres pareils et le ton de tes derniers articles, tu penses postuler au Canard Enchaîné ?
  LOL, gros LOL même. Waka, soit disant on consulte les jeunes, pure propagande ! Depuis quand le gouvernement se souci de ce que pense les jeunes. Déjà qu'il s'en fout de ce que pense les électeurs.
Arkados, le 22/05/2010 - 16:14 Niet, mots de passes pas chiffrés. En fait, même chiffrés, ce serait inadmissible. Seul un hachage avec salage est acceptable.  Quel bande de blaireaux... Et 2 millions de foutu en l'air 2. Après on nous parlera de restreinte budgétaire !
Bon je viens d'avoir Damien Bancal de Zataz au téléphone, il me confirme être certain à 100 % que les mots de passe n'étaient pas chiffrés.
Je travail pas avec skyrock, mais avant en faisant skyrock.com/includes on avait le listing de pleins de conneries et un script d'up, il y avait possibilité de chopper tous les mots de passes, mais ils étaient cryptés, l'équipe skyrock avait promit de remercier mon pote mais elle a plus jamais répondu à ses emails.
Kad, le 22/05/2010 - 16:29 Bon je viens d'avoir Damien Bancal de Zataz au téléphone, il me confirme être certain à 100 % que les mots de passe n'étaient pas chiffrés.Je peux assurer à 100% que les mots de passes étaient cryptés a l'époque de l'ancienne équipe skyblog dev. /Cali La question est donc : que va-t-il faire avec tous ces comptes ? Rendre justice à la langue française ? Sauvez l'ortographe, détruisez un (32 millions de) skyblogs ?
yhzarcali, le 22/05/2010 - 16:43 Kad, le 22/05/2010 - 16:29 Bon je viens d'avoir Damien Bancal de Zataz au téléphone, il me confirme être certain à 100 % que les mots de passe n'étaient pas chiffrés.Je peux assurer à 100% que les mots de passes étaient cryptés a l'époque de l'ancienne équipe skyblog dev. /Cali Hey00 >> on n'a aucune certitude qu'il y ait eu une récupération des mots de passes, juste qu'il y a eu une intrusion qui aurait permis de récupérer les mots de passes en clair. Considérant qu'ils se sont aperçus de l'intrusion, entre autres, par la présence d'un fichier "coucou", il est tout à fait possible que l'intrusion soit du fait d'un petit malin qui s'amusait, et non de quelqu'un de mal intentionné (mais rien ne dit qu'il n'y a pas eu d'autres intrusions plus discrètes ayant récupéré les mots de passes ainsi que probablement d'autres données personnelles) Kad, le 22/05/2010 - 16:29
Bon je viens d'avoir Damien Bancal de Zataz au téléphone, il me confirme être certain à 100 % que les mots de passe n'étaient pas chiffrés. Quelle importance, si skyrock (ou tout autre) se croit à l'abri il suffit d'aller voir le message publié par carder.ccou faire une recherche sur rapidsharepour trouver le dump intégral d'un des plus contreversé forum "underground". Pour la parenthèse, même équipe que le 1337-crew underground forum de 2009, il y a de l'arrestation massive en l'air...
|
A LA UNE
LES + COMMENTÉS
  23 offres à partir de 33 €
 0 offres à partir de 235 €
Télécharger
online tv adult,
emule islande,
ultrasurf,
voissa anonymo,
redtube video downloader,
net tv gratuit,
avast,
bittorrent emule island,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Le mec responsable du site va se faire virer, ça c'est sur...