Afin de protéger ses utilisateurs, Facebook a exploité les données du piratage subi le mois dernier par Adobe afin de les croiser avec ses propres informations. Lorsque celles-ci concordent, le réseau social demande la réinitialisation du mot de passe.

Début octobre, Adobe a été victime d'une intrusion informatique qui a permis aux agresseurs de dérober les données de 2,9 millions de comptes, dont des identifiants, des mots de passe hachés (mais pas salés) et des informations de carte de crédit chiffrées. En outre, le code source de certains logiciels a été récupéré, ce qui pourrait entraîner d'autres incidents, via la découverte de vulnérabilités encore inconnues.

Suite à ce fâcheux épisode, la société Stricture Group a tenu à observer la nature des mots de passe utilisés par les clients d'Adobe pour restreindre l'accès à leur compte. Il est vite apparu que la majorité des usagers n'a fait aucun effort pour déterminer un mot de passe solide : le top 20 des mots de passe les plus utilisés est composé des classiques "password", "123456", "adobe123" ou encore "qwerty".

Or, la négligence des clients d'Adobe pourrait leur jouer des tours. En informatique, il convient en effet de suivre quelques règles simples pour éviter les ennuis : il faut par exemple considérer avec prudence les liens contenus dans un mail ; il faut créer un mot de passe différent par service ; il faut enfin composer avec soin chaque mot de passe, afin que tous puissent résister assez longtemps aux attaques basiques, mais efficace (force brute).

Cependant, le tableau dressé par Stricture Group montre que la troisième suggestion n'a pas été respectée. Et il est probable, sans trop s'avancer, que les deux points ne sont pas suivis non plus. D'où l'idée de Facebook d'exploiter les données du piratage subi par Adobe pour protéger ses propres usagers, afin de leur demander si nécessaire de changer immédiatement de mot de passe.

"Nous recherchons activement des cas où des comptes sur Facebook pourraient être menacés – même si la menace est extérieure à nos services -. Lorsque nous tombons sur ces cas de figure, nous présentons des notifications aux personnes afin de les aider à sécuriser leurs profils", a détaillé un porte-parole du réseau social à PC Mag.

Quand un membre du site communautaire est concerné, le message suivant s'affiche :"quelqu'un pourrait avoir accès à votre compte. Récemment, il y a eu un incident de sécurité sur un autre site web sans lien avec Facebook. Facebook n'a pas été directement touché par l'incident, mais votre compte est menacé car vous utilisiez le même mot de passe sur les deux sites".

"Pour protéger votre compte, vous devez répondre à quelques questions et changer votre mot de passe. Pour votre sécurité, personne ne peut vous voir sur Facebook tant que vous n'avez pas fini", conclut la notification.

L'approche de Facebook est tout à fait intéressante et pourrait conduire par la suite à une meilleure collaboration entre les services en ligne lorsqu'un incident de cette nature survient sur l'un d'entre eux. La plupart des utilisateurs ayant la fâcheuse tendance à continuer à employer le même mot de passe en ligne, il faut en effet imaginer de nouvelles tactiques.

Ces dernières années, les incidents de sécurité informatique ont explosé. Rien d'étonnant, dans la mesure où les activités dans le milieu informatique impliquent de plus en plus Internet. Cette infographie interactive rappelle les principaux cas depuis 2004. AOL, Sony, Steam, Yahoo, Evernote, Apple, Blizzard et Ubisoft comptent parmi les victimes recensées.

Partager sur les réseaux sociaux

Articles liés