Au mois de juin, plusieurs vols massifs de données ont défrayé la chronique sur des sociétés célèbres, Linkedin, MySpace, Tumblr. Au total pas moins de 642 millions de comptes ont été livré au public avec les identifiants et les mots de passe. Certes, les bases de données volées étaient pour la plupart relativement anciennes. Mais le risque le plus grand portait sur la réutilisation des mots de passe sur d’autres sites et donc d’avoir accès à des données supplémentaires pour les cybercriminels.
Or, il n’y a rien de plus fastidieux pour un utilisateur de savoir si son mot de passe subtilisé est utilisé sur d’autres plateformes comme Facebook, LinkedIn, Reddit, Twitter ou Instagram. Un développeur, Philip O’Keefe, a réalisé un outil en ligne de commandes disponible sur GitHub. Baptisé Shard, il permet aux utilisateurs de tester son mot de passe sur d’autres sites. Il a créé ce programme après avoir découvert que son mot de passe de 8 caractères générés aléatoirement était dans le vol de 177 millions de mots de passe de Linkedin. « J’utilisais ce mot de passe pour m’authentifier sur de nombreux services », explique dans un mail adressé à nos confrères d’Ars Technica. Et d’ajouter que « c’était très difficile de me rappeler sur quels sites, je l’avais utilisé et être obligé de le changer à chaque fois. Maintenant, je me sers d’un gestionnaire de mots de passe ».
Philip O’Keefe a développé Shard dans une optique d’aide aux personnes, mais il est facile d’imaginer un usage moins philanthrope et plus néfaste. Techniquement, l’outil est capable de vérifier un nombre illimité d’identifiants volés sur des sites. Une mise à jour du code pourrait permettre à des attaquants de faire de même pour des comptes bancaires ou des services financiers. Avec un peu de travail, il serait possible d’ajouter des caractères aléatoires dans les mots de passe testés comme par exemple, « p @ $$ w0rd11 » et « p @ $$ w0rd22 ».
Seul point de limitation de la part des sites testés, bloquer l’adresse IP unique qui essaye de se connecter un grand nombre de fois et s’appuyer sur une authentification spécifique (captcha, questions, etc.). Faible obstacle pour des cybercriminels ayant accès à des botnets pour contourner cette mesure. Philip O’Keefe reconnaît qu’ « il est difficile pour les sites de bloquer le trafic provenant de cet outil, car il ressemble à un trafic normal comme si un utilisateur se connecte à l’aide d’un navigateur ».
A lire aussi :
Que se passe-t-il après un vol de données ?
Des millions de comptes Twitter à risque après le piratage de Linkedin
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…