Piratage/Hack massif de comptes en ligne

Dernièrement Yahoo! nous a informé qu’en 2014, sa base de données utilisateurs a été volée.
Les piratages ou hack massif de données utilisateurs sont de plus en plus fréquentes avec souvent à la clé des millions de comptes utilisateurs volés.
Pourquoi ces piratages ? comment s’en protéger.

Cette page vous explique ce que sont ces base de données utilisateurs, ce qu’elles contiennent et comment se protéger de ces vols.

hack

Qu’est-ce qu’une base de données ?

Lorsque vous accédez à un site WEB, certaines informations sont stockées par ce dernier pour fonctionner.
Cela peut aller des messages de commentaires qui sont envoyés sur le site, aux articles et une partie consacrée aux comptes utilisateurs.
En règle générale, ces informations de comptes utilisateurs sont liées par un couple nom de d’utilisateur / mot de passe et quelques informations d’identités comme le nom, prénom et adresse email.
Les pirates sont très friands de ces informations et cherchent par tous les moyens à voler ces bases de données qui pour des sites très populaires peuvent atteindre des millions de comptes.

Ces informations sont stockées dans des logiciels spécialisés que l’on nomme base de données (Oracle, MySQL, PostGres etc).
Ces données sont stockées de manière structuré afin de pouvoir les gérer et interroger facilement depuis le code du site WEB.
La gestion de ces bases de données est faites des personnes qualifiées que l’on nomme DBA (Database Administrator pour Administrateur de base de données).

Ci-dessous, la base de données du forum Malekal, où à partir d’une commande on peut interroger les données qui s’y trouvent et notamment la partie des données qui concernent les utilisateurs.
Ici, on récupère l’ID de l’utilisateur, son pseudo, adresse email et mot de passe.
Lorsque vous surfez sur le forum et que vous cliquez sur les informations de l’utilisateur, une partie de ces données sont affichées.

Vous remarquerez que le mot de passe est “codé”.

base_donnes_utilisateurs

Les mots de passe des comptes utilisateurs

Les mots de passe des comptes utilisateurs sont aussi stockés dans les bases de données, afin de pouvoir vérifier votre identité lorsque vous tentez de vous identifier.
Le site vérifie alors que le nom d’utilisateur et mot de passe correspondent bien aux données stockées dans la base de données.
Ces mots de passe ne sont pas stockés en clair ou tel que vous les avez saisis sur le site WEB lors de votre inscription, si vous regardez l’exemple donné plus haut, il s’agit de suite de lettre et chiffre… le mot de passe est ce qu’on appelle haché, c’est à dire transformé.
Le but est simple, rendre la récupération d’un mot de passe haché impossible ou très très difficile.
Cela signifie aussi que les administrateurs du site WEB et notamment les DBA ne peuvent connaître vos mots de passe.
Lorsque ce dernier est perdu, un mécanisme permet de le changer (souvent à travers une validation par mail).

Le site Wikipedia décrit très bien ces mécanismes à travers ces deux pages : Fonction de hachage et Salage

hash_function_wikipedia

En clair donc, si le chiffrement est bien choisi en ce qui concerne les mots de passe, il est assez difficile pour un pirate de récupérer les mots de passe originels.
Si le chiffrement est mal choisi ou et qu’aucun salage n’est utilisé, cela reste possible en théorie mais sur des bases de données de millions de comptes, cela va prendre énormément de temps et des moyens de calculs.
Reste que les adresses emails ne sont en général pas hachés et cela peut intéresser les pirates, nous en parlerons plus bas.

Les plus grands piratages de données utilisateurs

On parle souvent de piratage ou hack concernant le vol massif de base de données, mais sachez que parfois, la publication de comptes utilisateurs ont pour source des erreurs humaines.
Il est arrivé par le passé que des CD de données soient perdus et donc rendus publique ou encore une mauvaise configuration du serveur WEB avec une mise en ligne de données sensibles.

Il ne reste pas moins qu’avec l’utilisation de plus en plus courantes de service WEB, les piratages suivent et sont de plus en plus fréquents.
Certains sont très médiatisés et d’autres passent inaperçus.
Quelques actualités du forum autour des piratages et vols de données utilisateurs.

Le magasine Capital avait aussi publié un article sur ces piratages massifs, dont voici quelques échos : Magazine Capital: “Les nouveaux dangers du net” (dossier)

Il faut aussi savoir que pour les gros services, certaines données ne sont pas stockées sur le site WEB mais dans des boites externes spécialisées.
Par exemple, les sites WEB qui demandent de stocker vos informations bancaires, ne seront pas stockés au même endroit que vos informations de comptes (nom d’utilisateur/adresse email/mot de passe) mais probablement chez des prestataires.
Si ces prestataires couvrent plusieurs sites WEB, on peut donc avoir une concentration des informations… et dans le cas d’un piratage, cela peut faire mal.
A ce propos, une boulette est arrivée au site de presse française, courant juin 2016, où le prestataire, suite à un problème technique a perdu des données utilisateurs : De nombreux groupes de presse privés des données de paiement de leurs abonnés

Le site suivant récapitule les piratages et autres mises en ligne par accident de données utilisateurs : http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Les piratages massifs de 2004 à 2010, on voit qu’AOL a subit deux hacks.

piratage_donnes_utilisateurs_2

Les piratages après 2011, on constate une nette explosion.
Le nombre d’informations volées est encore plus massif, dû aux bases de données utilisateurs de plus en plus grandes, du fait que les services WEB sont de plus en plus utilisés.

piratage_donnes_utilisateurs

Pour ceux qui parlent anglais, quelques cas des piratages et récupérations de données utilisateurs par des pirates.
Notez que dans le graphique ci-dessous, des gouvernements sont aussi concernés.

biggest-data-breaches-of-all-time-slate

Parmi les plus retentissant

  • TK/TJ Maxx: 94 millions de données compromises en 2007
  • Sony PlayStation Network: 77 million de données compromises en 2010
  • Sony Online Entertainment: 24,6 millions de données compromises en 2011
  • Evernote: 50 millions de données en 2013
  • Living Social: 50 millions de données volés en en 2013
  • Target: 70 million de données piratées en 2013
  • Ebay: 145 million de données compromises en 2014
  • Home Depot: 56 million de données compromises en 2014
  • JP Morgan Chase: 76 million d’informations volées en 2014
  • Yahoo! : 500 millions de données compromises en 2014
  • Anthem: 80 million de données compromises en 2015

et les vols de données utilisateurs les plus massifs aux USA (source Forbes) :

vols_donnes_utilisateurs_les_plus_massifs_us

Sur le lien suivant, un graphique qui compare le volume de données mis en ligne et les piratages.
L’explosion a lieu en 2012.

volume_piratage_donnees_utilisateurs

Ces attaques peuvent permettre des rebonds, si les bases de données volées sont bien exploitées, d’autres attaques par bruteforce peuvent avoir lieu sur d’autres services en ligne.
Les pirates pouvant connaître à l’avance des adresses emails et mots de passe pouvant être utilisées par les utilisateurs, provenant d’autres bases volées ou simplement à des fins statistiques si un mot de passe revient très souvent.
D’où l’intérêt dans la mesure du possible de ne pas avoir un mot de passe unique pour tous les services WEB que l’on utilise.

Pourquoi ces piratages ?

Pourquoi les pirates volent ces données ?
On mettra de côté les vols de données industriels ou étatiques pour se concentrer sur les vols de données utilisateurs.

Je vous le donne en mille, il s’agit ici de faire de l’argent.
Les données utilisateurs et notamment les adresses emails peuvent être revendues sur le marché noir.
En règle général, cela peut servir pour des campagnes de SPAM/Pourriel ou campagne d’email malicieuse… Si le piratage est capable de connaître les “amis” autour d’un compte, cela peut être assez efficace, car il va chercher à se faire passer pour eux.

Dans le cas du vol de données utilisateurs Yahoo! cela peut aussi permettre de récupérer des accès à d’autres sites, si les pirates sont capables d’utiliser les comptes de messageries.
Dans le cas du Yahoo :

Concernant les données dérobées, la liste est également assez impressionnante puisqu’il est question des noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées. Problème supplémentaire, ces dernières n’étaient pas toujours chiffrées. Yahoo précise que « l’enquête en cours suggère » qu’aucun mot de passe non protégé n’a été dérobé, pas plus que les informations bancaires qui étaient stockées dans un autre système.

source : NextInpact

Si l’utilisateur a rempli correctement les données : nom, prénom, adresse, c’est plus problématique puisque le pirate connaît l’identité (bien qu’après, ces données sont aussi accessible par des annuaires en ligne).
Bien sûr les prix sont plus ou moins élevés selon si les données sont encore viables et le type de données, une adresse email vaudra moins qu’une donnée bancaire.
C’est aussi souvent après un piratage que l’on apprend que certaines données n’étaient bien chiffrés………

Exemple d’annonce de vente de données bancaires :

hack_fulz_demo

Parfois, il existe quelques variantes, le piratage du site Ashley Madison qui permet de mettre en relation des adultes pour des relations extra-conjugales… a été piraté.
Les membres ont été, parfois contacter pour du chantage, si vous ne payez pas telle somme, nous révélons votre identité et de préférence à votre femme.

Se protéger des piratages

La difficulté ici, c’est que vous ne maîtrisez pas les informations puisqu’elles sont gérées par un tiers.
Il est donc impossible de protéger du vol… vous pouvez seulement atténuer les effets d’un vol de vos comptes.

Pour se protéger des piratages, le plus simple est de se tenir un peu au courant des actualités et des derniers hack qui ont eu lieu.
Changer ses mots de passe régulièrement reste la meilleur solution. Pour les plus paranos, vous pouvez aussi créer une adresse email spécialement dédié aux comptes en ligne que vous changez de temps en temps.

Face à ces menaces, les services WEB mettent en ligne de nouvelles protections et notamment une authentification en deux temps (par exemple avec Google Authenticator) qui peut prévenir des accès frauduleux même si votre mot de passe a été compris.
Enfin bien gérer ses mots de passe WEB est aussi important, tous ces aspects sont évoqués sur la page suivante : les mots de passe WEB.

Print Friendly
(Visité 543 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet