Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Six questions autour du piratage de Dailymotion

La plateforme de vidéo Dailymotion a subi en octobre un piratage de sa base de données. L'attaque a été d'ampleur puisqu'il est question de 85 millions de comptes potentiellement vulnérables.

Que s'est-il passé ?

La plateforme française de streaming vidéo a fait l'objet d'une intrusion informatique au cours du mois d'octobre, permettant à un assaillant de récupérer des tas d'informations sensibles, en particulier des identifiants, des adresses électroniques et des mots de passe. L'information a émergé en début de semaine dans les médias anglophones avant d'être indirectement confirmée par Dailymotion.

Quelles données ont été dérobées ?

L'étendue de l'incident concernerait plusieurs dizaines de millions d'utilisateurs à travers le monde. Selon ZDNet, il est question d'une extraction portant sur 85,2 millions d'adresses et d'identifiants. Les mots de passe en revanche ne concernent qu'une part relativement réduite de cet ensemble : environ 18,3 millions, soit un peu moins d'un cas sur cinq.

Il est à préciser que les mots de passe qui ont été récupérés n'étaient pas stockés en clair, ce qui veut dire qu'ils ne seront pas aisément exploitables par l'attaquant. En particulier, la fonction de hachage bcrypt a été employée, ce qui rend l'accès aux mots de passe bien plus difficile.

Cette fonction utilise « un sel pour se protéger des attaques par table arc-en-ciel (rainbow table) » et est capable de s’adapter, « c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul », selon la page explicative de Wikipédia.

Que dois-je faire ?

Si vous avez un compte sur Dailymotion, c'est le bon moment pour changer de mot de passe.

Il est aussi recommandé, en plus de renouveler son mot de passe sur Dailymotion, de vérifier que la combinaison identifiant (ou adresse mail) + mot de passe qui est utilisée sur ce site n'est pas réemployée autre part. Si c'est le cas, il est crucial d'actualiser aussi son mot de passe sur les sites concernés afin que l'assaillant ne puisse pas aller visiter d'autres comptes.

Qui est à l'origine de l'attaque ?

C'est pour l'instant la grande inconnue de cette affaire et il n'est pas certain que l'on ait un jour une réponse à cette question. Il s'agirait d'une personne seule, selon des informations relayées par la presse américaine, et l'attaque aurait eu lieu autour du 20 octobre. Quant aux intentions de l'auteur de l'intrusion, elles sont tout aussi mystérieuses que son identité.

Que dit Dailymotion ?

Dailymotion a indirectement reconnu l'existence d'un problème dans un message qui a été publié sur Twitter. Dans un billet de blog, l'entreprise évoque toutefois « un problème de sécurité externe » à son service et relève que « les mots de passe d’un certain nombre de comptes pourraient avoir été compromis. Le hack semble être limité et ne concernerait aucune donnée personnelle ».

Les informations contenues dans le billet de blog ont été reprises dans un mail que le site vient d'envoyer mardi 6 décembre à ceux ayant un compte sur la plateforme. Le site fait savoir que « la sécurité des comptes est extrêmement importante pour nous et nous prenons toutes les mesures nécessaires afin d'identifier les failles éventuelles et y remédier ».

Des conseils sur la manière de composer un bon mot de passe sont aussi donnés.

https://twitter.com/dailymotion/status/806093794642972673

Comment vérifier si on est concerné ?

Sachez enfin qu'il est possible de vérifier si votre compte fait partie de ceux qui ont été piratés. L'auteur du site Have I been pwned ? (que l'on pourrait traduire sobrement par « me suis-je fait avoir ?») a fait savoir lundi 7 août en avoir récupéré une large partie : 45 % des comptes piratés, soit un peu plus de 38 millions de comptes, sont désormais pris en compte par le site : il suffit de taper l'adresse e-mail avec laquelle vous vous êtes inscrit sur Dailymotion pour en avoir le cœur net.

Notez que si votre e-mail n'est pas indiqué comme vulnérable pour une vérification concernant Dailymotion, cela ne veut pas dire que vous êtes pas concerné par le piratage : pour l'heure, seule une petite moitié des comptes piratés est en effet prise en compte par le site. Le mieux que vous ayez à faire est de renouveler votre mot de passe sur le site ; c'est de toute façon une bonne occasion de l'actualiser et d'en prendre un qui peut être plus solide.

https://twitter.com/haveibeenpwned/status/894392618859102208

(mise à jour le 8 août avec l'ajout d'une sixième question concernant la possibilité de vérifier en ligne si son adresse mail est concernée ou non)