« Nous demandons [à nos utilisateurs] de changer leur mot de passe au plus vite. […] Nous vous conseillons d’utiliser une combinaison de mail et de mot de passe différent pour chaque site et application. » Après avoir été informé de la fuite de données subies par son service en 2014, Imgur, la populaire plateforme d’hébergement d’images en ligne, s’est empressée d’avertir ses membres.
Le service américain lancé en 2009, qui compte 150 millions d’utilisateurs mensuels, explique après découvert ce piratage grâce au signalement par mail de Troy Hunt, le spécialiste en sécurité informatique connu pour son travail sur le site Have i been pwned ?, qui permet de vérifier si votre adresse mail est concernée par ce genre d’incident.
On November 23, we were notified about a data breach on Imgur that occurred in 2014. While we are still actively investigating the intrusion, we wanted to inform you as quickly as possible as to what we know and what we are doing in response. More: https://t.co/qElAetGVIc
— Imgur (@imgur) November 25, 2017
Un protocole obsolète
Imgur précise : « Tôt le 24 novembre, nous avons pu confirmer que près de 1,7 million de comptes Imgur ont été compromis en 2014. Ces informations contenaient uniquement des adresses mail et des mots de passe. Les données compromises ne contenaient pas d’informations permettant l’identification personnelle puisque Imgur ne demande jamais de tels éléments — comme le nom, l’adresse ou le numéro de téléphone. »
Si l’entreprise précise qu’elle est encore en train d’enquêter sur l’origine de cette fuite de données, elle avance déjà une piste potentielle tout en rappelant qu’elle chiffre les mots de passe enregistrés dans sa base de données : « Nous avons peut-être été hackés via une attaque par force brute contre un algorithme de hachage cryptographique obsolète (SHA-256) qui était utilisé à l’époque. »
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
