Last.fm n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.
Ce constat est l’œuvre de LeakedSource.
Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur de Jabber inscrit sous l’alias daykalif@xmpp.jp, des informations associées à plus de 43 millions de comptes ouverts en l’espace d’une dizaine d’années sur le site de musique communautaire.
Selon les éléments d’horodatage, la fuite a eu lieu en mars 2012. Last.fm avait effectivement communiqué dans ce sens quelques semaines plus tard, interpellé par de nombreux utilisateurs qui se plaignaient de recevoir du spam. À cette occasion, il avait été demandé à tous de modifier leur mot de passe.
À l’origine, on évoquait 1,5 million de victimes, correspondant au nombre de mots de passe publiés sur un forum dédié à la cryptographie. Le bilan semble devoir s’alourdir, bien que l’authenticité de certaines données puisse être remise en doute (Softpedia, qui s’est livré à une analyse, considère qu’il peut exister des doublons et des comptes créés par des robots).
Au-delà des noms d’utilisateurs et des adresses e-mail, plusieurs « données internes » figurent dans le fichier transmis à LeakedSource. Notamment les taux de clics sur les publicités, les préférences pour la newsletter et le lecteur Web… mais aussi les dates d’inscription.
On s’aperçoit ainsi qu’à la fin de sa première année d’exploitation (2002), Last.fm comptait un peu plus de 3 000 utilisateurs. Le seuil du million avait été franchi en 2006 ; celui des 5 millions, deux ans plus tard. Le pic de popularité se trouve en 2009-2010, avec plus de 20 millions de nouveaux comptes.
Si l’audience a évolué ; la faiblesse des mots de passe est restée : plus de 250 000 utilisateurs ont choisi « 123456 » ; on retrouve « lastfm » 66 857 fois, « qwerty » 46 201 fois ou encore « abc123 » 36 367 fois.
Le déchiffrement de 96 % d’entre eux n’aura été qu’une question d’heures, au vu de l’algorithme de hachage utilisé (MD5) et de l’absence de salage (ajout de chiffres aléatoires à la fin des hashs), qui fait également défaut dans les données volées à LinkedIn et à MySpace et récemment mises en vente sur le darkweb.
Le problème n’est pas tant pour Last.fm lui-même, mais pour les services en ligne sur lesquels des utilisateurs auraient choisi les mêmes identifiants. C’est ce qui a récemment poussé Dropbox à réinitialiser les mots de passe non changés depuis la mi-2012, correspondant au piratage de LinkedIn.
Crédit photo : stockhits – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…