Vol de données : Imgur à son tour ciblé

AuthentificationCyberDéfenseRisquesSécurité

Imgur, service populaire d’hébergement et de partage de photos, vient d’annoncer le vol de 1,7 million d’adresses e-mail. Le piratage remonte à 2014.

Imgur déclare, dans un billet de blog publié par son COO Roy Sehgal, avoir été averti d’un piratage de données affectant sa plateforme survenu en 2014.

Celui-ci est passé inaperçu durant près de quatre ans avant que Troy Hunt, responsable du service de notation de violation de données « Have I Been Pwned », ne reçoive les données.

Il a informé Imgur dans la foulée jeudi dernier, le jour même de Thanksgiving outre-Atlantique.

La plateforme de partage de photos a commencé à avertir les utilisateurs touchés via leur adresse e-mail enregistrée sur le site le matin du 24 novembre.

Contrairement à Uber, qui savait qu’il avait été piraté en 2016 et qui a sciemment choisi de payer les hackers afin de garder le secret, Imgur a joué la carte de la transparence et de la réactivité. Ceci est d’autant plus notable que la plate-forme a été avertie du piratage un jour férié.

Des adresses e-mail déjà piratées

Bien qu’inquiétant, ce vol de données ne concerne que 1,7 million de comptes sur une base de 150 millions d’utilisateurs.

De surcroît, Troy Hunt a déclaré dans un tweet que 60 % des 1,7 million d’enregistrements avec des adresses e-mail et des mots de passe dérobés provenant du piratage d’Imgur étaient déjà listés auparavant dans « Have I Been Pwned ».

Par ailleurs, les informations des comptes compromis ne comprenaient « que » des adresses e-mail et des mots de passe, souligne Imgur. Le service ne demande en effet pas d’informations personnelles, telles que les véritables noms, adresses, numéros de téléphone ou autres informations d’identification personnelle.

Même si le piratage a eu lieu en 2014, Imgur mène l’investigation pour comprendre comment ces données ont pu être dérobées.

Première piste : si les données sont bien chiffrées dans sa base de données, Imgur utilisait un algorithme de hachage plus ancien (SHA-256 pour « Secure Hash Algorithm » sur 256 bits) qui a pu être mis à mal avec une attaque par force brute. Depuis un an, il a été remplacé par la fonction de hash Bcrypt (basée sur l’algo de chiffrement Blowfish) de Niels Provos et David Mazières.

Faute de compréhension, pour l’heure, de ce qui a pu compromettre ces 1,7 million de comptes, Imgur recommande aux utilisateurs d’utiliser systématiquement un duo différent d’e-mail et de mot de passe pour chaque site ou application. Il est de surcroît préférable d’utiliser des mots de passe « forts » et de les modifier régulièrement.

(Crédit photo : @ImGur)

Lire aussi :