Pour gérer vos consentements :
Categories: Sécurité

Last.fm piraté : du LinkedIn dans le scénario

Last.fm n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.

Ce constat est l’œuvre de LeakedSource.

Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur de Jabber inscrit sous l’alias daykalif@xmpp.jp, des informations associées à plus de 43 millions de comptes ouverts en l’espace d’une dizaine d’années sur le site de musique communautaire.

Selon les éléments d’horodatage, la fuite a eu lieu en mars 2012. Last.fm avait effectivement communiqué dans ce sens quelques semaines plus tard, interpellé par de nombreux utilisateurs qui se plaignaient de recevoir du spam. À cette occasion, il avait été demandé à tous de modifier leur mot de passe.

À l’origine, on évoquait 1,5 million de victimes, correspondant au nombre de mots de passe publiés sur un forum dédié à la cryptographie. Le bilan semble devoir s’alourdir, bien que l’authenticité de certaines données puisse être remise en doute (Softpedia, qui s’est livré à une analyse, considère qu’il peut exister des doublons et des comptes créés par des robots).

Au-delà des noms d’utilisateurs et des adresses e-mail, plusieurs « données internes » figurent dans le fichier transmis à LeakedSource. Notamment les taux de clics sur les publicités, les préférences pour la newsletter et le lecteur Web… mais aussi les dates d’inscription.

On s’aperçoit ainsi qu’à la fin de sa première année d’exploitation (2002), Last.fm comptait un peu plus de 3 000 utilisateurs. Le seuil du million avait été franchi en 2006 ; celui des 5 millions, deux ans plus tard. Le pic de popularité se trouve en 2009-2010, avec plus de 20 millions de nouveaux comptes.

Si l’audience a évolué ; la faiblesse des mots de passe est restée : plus de 250 000 utilisateurs ont choisi « 123456 » ; on retrouve « lastfm » 66 857 fois, « qwerty » 46 201 fois ou encore « abc123 » 36 367 fois.

Le déchiffrement de 96 % d’entre eux n’aura été qu’une question d’heures, au vu de l’algorithme de hachage utilisé (MD5) et de l’absence de salage (ajout de chiffres aléatoires à la fin des hashs), qui fait également défaut dans les données volées à LinkedIn et à MySpace et récemment mises en vente sur le darkweb.

Le problème n’est pas tant pour Last.fm lui-même, mais pour les services en ligne sur lesquels des utilisateurs auraient choisi les mêmes identifiants. C’est ce qui a récemment poussé Dropbox à réinitialiser les mots de passe non changés depuis la mi-2012, correspondant au piratage de LinkedIn.

Au lendemain de l’annonce de la faille, Russ Garrett, alors développeur chez Last.fm, avait reconnu la faiblesse du MD5.

Crédit photo : stockhits – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago