attaque
L’Armée électronique syrienne (ASL) a encore frappé : elle s’en est cette fois prise au nombre record de plus d’un million de lecteurs et collaborateurs du magazine Forbes. Un total de 1 071 963 utilisateurs ont été affectés quand la base de données qui renferme leurs adresses e-mail et leurs mots de passe a été exposée et partagée en ligne par les cybercriminels. Mais comment l’ASL a-t-elle réussi a frapper une telle infrastructure ?
On pense que Forbes stockaient les informations des utilisateurs sous un format PHP Portable. En bref, cela signifie que chaque mot de passe ainsi qu’un système de salage, utilisé pour ralentir les pirates, passaient à travers un algorithme MD5. Cet algorithme est une fonction de hachage cryptographique très populaire qui est habituellement utilisée pour vérifier la légitimité des données. Forbes utilisait 8192 duplications de MD5 sur le hachage et chaque mot de passe puis stockait ensuite les résultats dans leur base de données.
La ASL est ensuite arrivée et a pris ces informations stockées pour jouer à ce qui s’est avéré être un dangereux jeu de devinettes. Ils ont essayé des mots de passe au hasard (comme « ABCD ») avec le salage des données des utilisateurs, produisant ainsi un hachage qui était ensuite transmis à la base de données de Forbes. Quand des correspondances étaient trouvées, les mots de passe étaient exposés.
Bien que les mots de passe étaient chiffrés asymétriquement, Forbes encourage ses utilisateurs à changer leurs informations d’utilisateurs :
Les adresses e-mail de toutes les personnes inscrites sur Forbes.com ont été exposées. Merci de faire attention aux e-mails qui semblent venir de Forbes.com, car cette liste d’adresses e-mail pourrait être utilisée dans des attaques de phishing. Nous en avons informé les autorités. Nous prenons ce problème très au sérieux et demandons aux membres de notre communauté de bien vouloir nous excuser pour cet incident.
Le problème majeur ici est le fait que les gens ont tendance à utiliser le même identifiant et le même mot de passe pour plusieurs comptes. Par conséquent, n’importe quel lecteur de Forbes qui a vu ses informations publiées publiquement et qui utilise la même combinaison identifiant/mot de passe pour d’autres comptes, risque actuellement d’être ciblé par une attaque encore plus importante.
C’est pourquoi nous ne pouvons pas vous mettre assez en garde contre cette méthode d’opération. Si l’un de vos comptes est piraté, les autres seront vulnérables et les cybercriminels en sont bien conscients. C’est pourquoi nous vous encourageons à utiliser password manager, qui vous permet de stocker des mots de passe individuels forts pour chacun de vos comptes en ligne, vous assurant ainsi que le piratage d’un de vos comptes ne signifiera pas une perte de vos informations à travers toutes vos plateformes actives.
