sécurité
Le week-end dernier, Livingsocial a informé ses millions d’utilisateurs que des pirates avaient compromis les systèmes informatiques du célèbre site d’offres, obtenant ainsi les noms, les adresses e-mail, les dates de naissance et les mots de passe chiffrés d’un nombre inconnu de membres de Livingsocial.
La bonne nouvelle est que, selon Livingsocial, les mots de passe des utilisateurs ont été hachés. En d’autres termes, les mots de passe étaient stockés dans un format chiffré qui rendra très difficile – mais pas impossible – le déchiffrement des mots de passe auxquels les pirates ont accédé. L’entreprise affirme également que les pirates n’ont pas violé la base de données séparée sur laquelle ils stockent les cartes de crédit de leurs clients et autres informations de paiement.
De nouveau, les mots de passe hachés (voir explications plus bas) sont difficiles mais pas impossibles à déchiffrer. Si vous avez un compte sur Livingsocial, suivez immédiatement ce lien et changez votre mot de passe. Plus important, si vous avez utilisé le même mot de passe pour un ou plusieurs autres sites, changez ces mots de passe également.
Nous en sommes presque au point où les pirates doivent compromettre des informations de paiement ou des mots de passe non chiffrés pour qu’on s’y intéresse. Les consommateurs, les organisations qui devraient mieux protéger les données des consommateurs, et même certains professionnels de la sécurité sont de plus en plus insensibles à ce genre de violations. Ce n’était pas le cas avant. Au début, personne ne parlait des violations de données, et ensuite, il est devenu plus difficile de les ignorer et les compagnies ont dû les reconnaître. Maintenant, nous réalisons tout juste à quel point les violations de données sont courantes, et à quel point il est difficile de faire face à des violations presque quotidiennes.
Il est néanmoins temps de le réaliser car nous entendons tous parler de l’hameçonnage. D’ailleurs, nous entendons parler d’hameçonnage, et des autres ingénieries sociales autant que nous lisons d’histoires sur la violation de données. En règle générale, les attaques d’ingénieries sociales reposent sur le pirate qui doit posséder un certain niveau de connaissances sur ses cibles. Où pensez-vous que les ingénieurs sociaux trouvent les adresses e-mail pour mener leurs attaques d’hameçonnage ? Comment trouvent-ils les centres d’intérêts de leurs potentielles cibles afin de réussir leurs attaques ? Pourquoi les pirates sont si doués pour deviner les mots de passe et les questions de sécurité permettant de réinitialiser les mots de passe ?
Nombreuses de ces informations proviennent de violations de données. Pour être honnête, une grande partie de ces informations provient également des utilisateurs qui partagent toutes leurs informations sur les réseaux sociaux mais c’est un tout autre sujet. Les gens partagent souvent leur adresse e-mail professionnelle sur divers services en ligne et quand les bases de données de ces services sont compromises, les pirates obtiennent alors des adresses e-mail appartenant à un certain nombre de grandes entreprises qu’ils pourront tenter d’hameçonner. Les dates de naissance peuvent être également utiles, car les utilisateurs utilisent souvent leur date de naissance dans leurs mots de passe ou comme question de réinitialisation de mot de passe. Évidemment, s’ils sont trouvés, les mots de passe hachés peuvent poser de sérieux problèmes aux utilisateurs qui continuent à utiliser le même mot de passe sur différents services.
Si vous êtes intéressés, et je suppose que vous l’êtes puisque vous lisez un blog qui a pour but d’informer les utilisateurs sur la sécurité, Livingsocial a publié une excellente explication sur ce qui désigne habituellement le processus de « hachage et de salage » dans sa section de questions fréquentes sur la violation de données :
« Les mots de passe de Livingsocial sont hachés avec un code SHA1 à l’aide d’un salage de 40bit. Cela signifie que notre système a pris les mots de passe entrés par les consommateurs et qu’il a ensuite utilisé un algorithme pour les changer en une unique bande de données (en créant une empreinte de données unique pour chacun) – il s’agit du hachage. Afin d’ajouter une couche supplémentaire de protection, le salage allonge le mot de passe et le rend plus complexe. Nous avons changé notre algorithme SHA1 pour un bcrypt. »
Ndlr : Livingsocial a depuis le 28 avril suspendu la vente de ses offres locales en France. Pour plus d’informations, visitez le site de Livingsocial.
Conseils