Piratage et Hack massif de comptes en internet

Dernièrement Yahoo! nous a informé qu’en 2014, sa base de données utilisateurs a été volée.
Ces annonces de piratage et hack de données utilisateurs deviennent de plus en plus fréquents.
Ainsi à la clé des millions de comptes utilisateurs volés.
Pourquoi ces piratages ? comment s’en protéger.

Cette page vous explique ce que sont ces base de données utilisateurs, ce qu’elles contiennent et comment se protéger de ces vols.

Piratage et Hack massif de comptes en ligne sur internet

Qu’est-ce qu’une base de données ?

On parle souvent de base de données volées ou accès aux informations de la base de données.
Mais qu’est-ce qu’une base de données ?

Lorsque vous accédez à un site WEB, ce dernier stocke des informations pour fonctionner.
Cela peut aller des messages de commentaires envoyés sur le site, aux articles et une partie consacrée aux comptes utilisateurs.
En règle générale, ces informations de comptes utilisateurs sont liées par un couple nom de d’utilisateur / mot de passe et quelques informations d’identités comme le nom, prénom et adresse email.
Les pirates sont très friands de ces informations et cherchent par tous les moyens à voler ces bases de données qui pour des sites très populaires peuvent atteindre des millions de comptes.

On utilise des logiciels spécifiques pour stocker les données que l’on nomme base de données (Oracle, MySQL, PostGres etc).
Ainsi cela permet de stocker les données de manière structurée afin de pouvoir les gérer et interroger facilement depuis le code du site WEB.
Enfin la gestion de ces bases de données se fait des personnes qualifiées que l’on nomme DBA (Database Administrator pour Administrateur de base de données).

Exemple de base de données

Ci-dessous, la base de données du forum Malekal, où à partir d’une commande on peut interroger les données qui s’y trouvent et notamment la partie des données qui concernent les utilisateurs.
Ici, on récupère l’ID de l’utilisateur, son pseudo, adresse email et mot de passe.
Lorsque vous surfez sur le forum et que vous cliquez sur les informations de l’utilisateur, une partie de ces données sont affichées.

Par exemple ci-dessous le mot de passe ne s’affiche pas en clair mais sous une forme « codé ».

base_donnes_utilisateurs

Les mots de passe des comptes utilisateurs

Les bases de donnés stockent aussi les comptes utilisateurs afin de pouvoir vérifier votre identité lorsque vous tentez de vous identifier.
Le site vérifie alors que le nom d’utilisateur et mot de passe correspondent bien aux données stockées dans la base de données.
Ces mots de passe ne se stocke pas en clair ou tel que vous les avez saisis sur le site WEB lors de votre inscription.
Si vous regardez l’exemple donné plus haut, il s’agit de suite de lettre et chiffres.
Le mot de passe est ce qu’on appelle haché, c’est à dire transformé.
Le but est simple, rendre la récupération d’un mot de passe haché impossible ou très très difficile.
Cela signifie aussi que les administrateurs du site WEB ne peuvent connaître vos mots de passe.

Enfin lorsque ce dernier est perdu, un mécanisme permet de le changer souvent à travers une validation par mail.

Salage et chiffrement

Le site Wikipedia décrit très bien ces mécanismes à travers ces deux pages : Fonction de hachage et Salage

Le chiffrement des mots de passe dans une base de données

En clair donc, avec un chiffrement efficace, il est assez difficile pour un pirate de récupérer les mots de passe originels.
Ainsi sans chiffrement ou un chiffrement efficace, cela reste possible en théorie.
Mais sur des bases de données de millions de comptes, cela va prendre énormément de temps et des moyens de calculs.
Enfin on ne protège pas les adresses emails et cela peut intéresser les pirates, nous en parlerons plus bas.

Pour aller plus loin sur le chiffrement, lire notre article : Le chiffrement (cryptage) des données : comment ça marche et pourquoi l’utiliser

Les plus grands piratages de données utilisateurs

On parle souvent de piratage ou hack concernant le vol massif de base de données, mais sachez que parfois, la publication de comptes utilisateurs ont pour source des erreurs humaines.
Il est arrivé par le passé que des CD de données soient perdus et donc rendus publique ou encore une mauvaise configuration du serveur WEB avec une mise en ligne de données sensibles.

Le piratage de 2010 à 2012

Il ne reste pas moins qu’avec l’utilisation de plus en plus courantes de service WEB, les piratages suivent et sont de plus en plus fréquents.
Quelques actualités du forum autour des piratages et vols de données utilisateurs.

Le magasine Capital avait aussi publié un article sur ces piratages massifs, dont voici quelques échos : Magazine Capital: « Les nouveaux dangers du net » (dossier).

Le site suivant récapitule les piratages et autres mises en ligne par accident de données utilisateurs : http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Les piratages massifs de 2004 à 2010, on voit qu’AOL a subit deux hacks.

Les piratages de site internet de 2010 à 2012

Les piratages après 2011, on constate une nette explosion.
Le nombre d’informations volées augmentent avec le temps.
En effet les bases de données utilisateurs grandissent du fait que les services WEB sont de plus en plus utilisés.

Les piratages de site internet de 2010 à 2012

Pour ceux qui parlent anglais, quelques cas des piratages et récupérations de données utilisateurs par des pirates.
Notez que dans le graphique ci-dessous, on trouve aussi les piratages de gouvernements.

Les piratages de site internet de 2010 à 2012

2018-219 : beaucoup de sites français

Les sites français en 2018 et 2019 ont connu beaucoup d’attaques.

et d’autres hacks sur la page suivante : 150 millions de données d’internautes français sont en vente
Il devient donc impossible de tous les lister tellement, il y en a.

Les piratages de données les plus importants

Voici une liste des vols de données les plus retentissant :

et les vols de données utilisateurs les plus massifs aux USA (source Forbes) :

Les piratages de données les plus importants

En février 2019, 150 millions de données sur des utilisateurs français pouvaient été dérobés : 150 millions de données d’internautes français sont en vente

De plus en plus d’attaques

Sur le lien suivant, un graphique qui compare le volume de données mis en ligne et les piratages.
L’explosion de piratage a lieu en 2012 et ce n’est que le début.

De plus en plus d'attaques et piratage contre les sites interent

Ces attaques peuvent permettre des rebonds.
Par exemple, on peut tenter les mots de passe récupérés sur d’autres comptes en lignes.
Les pirates pouvant connaître à l’avance des adresses emails et mots de passe pouvant être utilisées par les utilisateurs, provenant d’autres bases volées ou simplement à des fins statistiques si un mot de passe revient très souvent.
D’où l’intérêt dans la mesure du possible de ne pas avoir un mot de passe unique pour tous les services WEB que l’on utilise.

Externalisation et centralisation des données

Certains services externalisent la gestion des données.
Par exemple, les sites WEB qui demandent vos informations bancaires ne ne stockent pas vos informations de comptes.
Si ces prestataires couvrent plusieurs sites WEB, on peut donc avoir une concentration des informations.
Dans le cas d’un piratage, cela peut faire mal.
A ce propos, une boulette est arrivée au site de presse française, courant juin 2016, où le prestataire, suite à un problème technique a perdu des données utilisateurs : De nombreux groupes de presse privés des données de paiement de leurs abonnés

Pourquoi ces piratages ?

Pourquoi les pirates volent ces données ?
On mettra de côté les vols de données industriels ou étatiques pour se concentrer sur les vols de données utilisateurs.

Je vous le donne en mille, il s’agit ici de faire de l’argent.
Les données utilisateurs et notamment les adresses emails peuvent être revendues sur le marché noir.
En règle général, cela peut servir pour des campagnes de SPAM/Pourriel ou campagne d’email malicieuse… Si le piratage est capable de connaître les « amis » autour d’un compte, cela peut être assez efficace, car il va chercher à se faire passer pour eux.

Dans le cas du vol de données utilisateurs Yahoo! cela peut aussi permettre de récupérer des accès à d’autres sites, si les pirates sont capables d’utiliser les comptes de messageries.
Dans le cas du Yahoo :

Concernant les données dérobées, la liste est également assez impressionnante puisqu’il est question des noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées. Problème supplémentaire, ces dernières n’étaient pas toujours chiffrées. Yahoo précise que « l’enquête en cours suggère » qu’aucun mot de passe non protégé n’a été dérobé, pas plus que les informations bancaires qui étaient stockées dans un autre système.

source : NextInpact

Faire de l’argent

Si l’utilisateur a rempli correctement les données : nom, prénom, adresse, c’est plus problématique puisque le pirate connaît l’identité (bien qu’après, ces données sont aussi accessible par des annuaires en ligne).
Bien sûr les prix sont plus ou moins élevés selon si les données sont encore viables et le type de données, une adresse email vaudra moins qu’une donnée bancaire.
C’est aussi souvent après un piratage que l’on apprend que certaines données n’étaient pas ou pas bien chiffrées.

Exemple d’annonce de vente de données bancaires :

Faire de l'argent avec les piratages et hacks

Parfois, par exemple avec le piratage du site Ashley Madison qui permet de mettre en relation des adultes pour des relations extra-conjugales.
Cela a conduit à du chantage par mail : si vous ne payez pas telle somme, nous révélons votre identité et de préférence à votre femme.

Vérifier le hack ou piratage de vos comptes

Face au nombre grandissant de piratage et hack, des services existent afin de pouvoir vérifier si vos comptes sont compris.
Parmi ces services, on trouve Haveibeenpwned qui permet une vérification gratuite.

L’article suivant vous guide pour utiliser ce service : Haveibeenpwned : vérifier si vos mots de passe ont été piratés

Haveibeenpwned : vérifier si vos mots de passe ont été piratés

Se protéger des piratages

Vous ne maîtrisez pas les informations puisqu’elles sont gérées par un tiers.
Il est donc impossible de protéger du vol.

Par contre vous pouvez protéger vos comptes en lignes des hacks et piratages via votre PC ou Smartphone.

Pour se protéger des piratages, le plus simple est de se tenir un peu au courant des actualités et des derniers hack qui ont eu lieu.
Changer ses mots de passe régulièrement reste la meilleur solution. Pour les plus paranos, vous pouvez aussi créer une adresse email spécialement dédié aux comptes en ligne que vous changez de temps en temps.

Face à ces menaces, les services WEB mettent en ligne de nouvelles protections et notamment une authentification en deux temps.
Cela peut prévenir des accès frauduleux même après une fuite de votre mot de passe.
Enfin bien gérer ses mots de passe WEB est aussi important, tous ces aspects sont évoqués sur la page suivante : les mots de passe WEB.

La page suivante vous guide pour sécurise vos comptes en ligne : Comment protéger et sécuriser ses comptes internet

image_pdfimage_print
(Visité 1 877 fois, 1 visites ce jour)