MySpace piraté: plus de 360 millions de mots de passe en vente sur le Darkweb

C’est le plus grand piratage de comptes utilisateurs de tous les temps. Et c’est probablement un événement cyber-archéologique de premier plan. Le pirate "peace_of_mind" – qui a mis en vente il y a deux semaines plus de 164 millions de comptes utilisateurs LinkedIn – a de nouveau frappé.

Sur la place de marché illégale TheRealDeal, il propose désormais plus de 360 millions de comptes MySpace, avec à la clé adresses email, noms d’utilisateur et mots de passe. Ce qui représente plus de 15 Go de données en format compressé. Cette collecte de données personnelles pulvérise donc le record du hack de LinkedIn, qui avait lui-même coiffé au poteau celui d’Adobe (152 millions de comptes clients siphonnés en octobre 2013). Bref, c’est un record absolu.

Le pirate demande 6 bitcoins pour sa marchandise, soit environ 2874 euros, ce qui peut paraître faible compte tenu de la masse de données. Il est donc probable que ces données ne soient pas très fraîches. Les informations des comptes LinkedIn, dont le prix est proportionnellement deux fois plus élevé, dataient d’un piratage de 2012.

Pour l’instant, il est difficile d’en savoir plus. Le pirate ne donne aucune indication de la provenance de ces données. Quant à la société MySpace, elle n’a pas réagi pour le moment. L’ancienne star des réseaux sociaux est actuellement détenue par Viant Inc., une régie publicitaire du groupe Time Inc. Celle-ci affirme d’ailleurs que MySpace est loin d’être mort. En 2015, le site web a revendiqué 50 millions de visiteurs par mois en moyenne. Ses utilisateurs seraient principalement des jeunes de 17 à 25 ans.

Un chiffrement "très faible"

Les mots de passe récupérés par le pirate étaient chiffrés selon l’algorithme SHA1, mais ils ne comportaient pas de "sel", un procédé cryptographique assez standard qui permet de renforcer la sécurité des données chiffrées. Selon le site LeakedSource.com, qui a récupéré une copie des données en vente pour les analyser, le chiffrement utilisé par MySpace est "très faible". Le casser serait donc un jeu d'enfant.

Comme on peut s'en douter, les mots de passe les plus utilisés sur MySpace sont particulièrement peu efficaces. Dans le Top10, on retrouve les traditionnels "123456", "abc123" ou "password1". Mais il y a quand même quelques petites surprises.

Ainsi, parmi les comptes piratés, 67 millions disposent de deux mots de passe, sans que l'on sache vraiment pourquoi. Par ailleurs, le mot de passe le plus fréquent est "homelesspa". Le site LeakedSource.com estime qu'il a est généré de façon automatique, sachant que "tous les emails utilisant ce mot de passe ont le même format". S'agirait-il de faux comptes pour générer du faux trafic? Mystère…

Pour savoir si vous êtes concerné par ce piratage, il suffit d'aller sur LeakedSource.com et d'effectuer une recherche sur votre nom d'utilisateur ou votre adresse email. Si le résultat est positif, vous devez immédiatement changer votre mot de passe sur MySpace, ainsi que sur tous les autres sites où vous avez utilisé le même mot de passe. En effet, quand les pirates détiennent un lot d'adresses email avec mots de passe, ils vont essayer d'entrer sur un grand nombre de sites différents. Car ils savent que beaucoup d'internautes utilisent toujours les mêmes identifiants pour tous les sites qu'ils fréquentent. Voilà pourquoi il est recommandé d'utiliser un gestionnaire de mots de passe...