Une base de données contenant les identifiants de près de 100 000 blogueurs suédois, dont beaucoup de journalistes et représentants politiques, a été publiée mercredi par un hacker qui a semé la panique en faisant porter le chapeau à l'une de ses victimes.

Le piratage est qualifié de « magistral » par Rick Falkvinge, le fondateur du Parti Pirate suédois. Sur son blog, il raconte qu’une base de données contenant les adresses e-mail et les mots de passe chiffrés de 93 678 journalistes, politiciens et blogueurs a été publiée mercredi, d’une manière qui a soulevé un véritable vent de panique.

C’est en effet d’abord sur Twitter que l’affaire s’est révélée. William Petzäll, décrit comme un ancienne figure de premier plan des Démocrates Suédois, qui est aujourd’hui député indépendant, avait commencé à tweeter des messages affirmant que son ancien parti avait eu accès aux e-mails des journalistes et des personnalités politiques rivales pendant des années. Pour le prouver, il a commencé à poster des adresses e-mail et les mots de passe chiffrés en MD5, ce qui a provoqué l’émoi que l’on imagine.

Falkvinge, qui faisait partie des victimes, a pu vérifier qu’effectivement, le MD5 publié avec son adresse e-mail correspondait bien à un ancien mot de passe qu’il utilisait sur certains services de moindre importance.

Cependant, il s’est avéré que William Petzäll ne pouvait pas avoir publié ces messages sur Twitter, puisqu’il était en cure de désintoxication forcée, coupé de toute communication électronique. Ainsi le hacker qui a obtenu les e-mails et les mots de passe chiffrés en MD5 aurait utilisé ces informations (en fait publiées discrètement depuis un mois sur un forum) pour accéder au compte Twitter de Petzäll, et élaborer ce scénario crédible d’une revanche du député sur son ancienne formation politique.

Après investigation, il ressort que les données publiées étaient issues d’une base piratée sur le site Bloggtoppen, aujourd’hui clos, dédié au classement des blogueurs suédois. Les mots de passe y étaient bien chiffrés, mais sans le « sel » qui permet de rendre unique l’algorithme de chiffrage. Il est donc possible de retrouver le mot de passe en clair par ingénierie inversée, surtout pour les mots de passe les plus courants dont le MD5 est déjà connu et trouvable par une simple recherche Google. D’où l’importance, martelée par Falkinge, de ne pas utiliser les mêmes mots de passe partout, et surtout pas sur les services les plus sensibles. On n’est jamais à l’abri d’un piratage et d’un mauvais chiffrage du mot de passe.

Depuis, le compte Twitter de William Petzäll a été désactivé, et la base de données qui était hébergée sur Mediafire a été supprimée.

Partager sur les réseaux sociaux

Articles liés