Comme le révélait Zataz le 9 décembre 2021, une fuite de données a touché la plateforme de mixtapes de rap DatPiff. Le site créé en 2005 compte encore plusieurs milliers de fidèles utilisateurs, y compris en France. Toujours d’après les informations de Zataz, un pirate propose à la vente 7,7 millions d’entrées dont 44 000 Français. Pour chacun, on retrouve les mails, noms d’utilisateurs et mots de passe hachés.

Les données de 7,7 millions d’utilisateurs de la plateforme DatPiff ont fuité en ligne. Les mails, identifiants et mots de passe seraient lisibles.

Mots de passe hachés, mais pas sauvés

Le hachage informatique est une méthode cryptographique qui permet de calculer une empreinte numérique pour éviter, entre autres, de stocker les mots de passe tels quels dans des bases de données. Concrètement, cette base propose donc une suite de chiffres et de lettres, et non pas des mots de passe lisibles. Une mesure qui empêche par exemple des employés de l’entreprise d’accéder aux mots de passe des utilisateurs, ou encore que l’intégralité de la base ne se retrouve librement dans la nature, comme ici.

La plateforme de rap DatPiff piratée, les mots de passe dans la nature

Mais ça ne veut pas dire que les utilisateurs de DatPiff n’ont rien à craindre, loin de là. Cyberguerre a consulté un des sites spécialisé dans le commerce de données volées, où plusieurs pirates proposaient effectivement cette base de donnée à la vente, avec les mots de passe hachés. Pire encore, l’un d’entre eux la diffuse en échange de seulement quelques crédits aux utilisateurs du site, avec les mots de passe dé-hachés (lisibles), échantillon à l’appui.

« C’est vraiment un classique »

Le hachage est une garantie de sécurité, mais pas suffisante. Il est possible pour des pirates de « dé-hacher » des bases de données à partir de dictionnaires de « haches » disponibles en ligne ou de logiciels spécialisés. Les éléments données par les pirates indiquent que les mots de passe étaient ici hachés en MD5, un type de hachage assez daté, créé en 1991. Ce dernier était visiblement couplé à une seconde garantie de sécurité, un mot ou une suite de lettre ajoutée aux mots de passe avant d’être hachés, appelé un « salt » non dynamique.

Cyberguerre n’a pu consulter que l’échantillon de cette base. Mais ce dé-hachage semble parfaitement plausible comme le confirme le consultant en cybersécurité Piotr Chmielnicki : « C’est vraiment classique, […] il y a des outils qui font ça très bien […]. Le taux de réussite dépend de la puissance de calcul disponible. C’est jamais 100 % sur de gros volumes, mais c’est assez facile de faire du 80 %. » Ici, le pirate aurait réussi à obtenir 7,4 millions d’entrées sur 7,7 millions.

Changer votre (ou vos…) mots de passe

Si vous possédez un compte sur DatPiff, il est essentiel de changer rapidement votre mot de passe, même si le risque sur le site en lui même est assez faible. Si votre mot de passe était le même sur d’autres comptes, vous devez tout de suite également les modifier, et faire évoluer votre hygiène informatique en ayant des mots de passe uniques pour chaque site. Au besoin, à l’aide d’un gestionnaire de mots de passe. Dans tous les cas, restez également attentifs aux mails de phishing que vous pourriez recevoir sur votre adresse mail.