Des millions de comptes Twitter à risque après le piratage de Linkedin

Crédit Photo : Denys Prykhodov-Shutterstock

Twitter a réagi, en fin de semaine, au piratage de près de 33 millions de comptes et mots de passe en clair dérobés sur LinkedIn, Tumblr ou encore MySpace et que le hacker russe Tessa88, notamment, a mis en vente sur le Dark Web. Le réseau social déclare avoir croisé les données dérobées avec ses propres fichiers. « En conséquence, un certain nombre de comptes Twitter ont été identifiés comme nécessitant une protection supplémentaire, souligne Michael Coates, responsable sécurité du service de micro blogging par voie de blog. Les comptes avec leurs mots de passe directement exposés ont été bloqués et nécessitent leur réinitialisation par le propriétaire du compte. »

Les utilisateurs qui recevront une demande de modification de leur mot de passe sont donc invités à le faire sans tarder (tout en s’assurant que cette demande émane bien de Twitter). « Dans le cas où votre mot de passe a été directement exposé, vous recevez une notification de réinitialisation de code secret; votre compte est protégé jusqu’à ce que le propriétaire de l’e-mail ou du numéro de téléphone réinitialise le mot de passe », indique Twitter. Sans pour autant préciser le nombre d’utilisateurs susceptibles d’être potentiellement victimes d’un piratage de leur compte. Le réseau social se contente de rappeler que « nous sommes certains que les informations n’ont pas été obtenues suite à un piratage des serveurs de Twitter ». Néanmoins, Twitter a confirmé au Wall Street Journal que des « millions de comptes » étaient concernés.

iMesh piraté, un danger pour Twitter ?

Les mots de passe Twitter seraient dans les faits obtenus en déduction de ceux obtenus avec les piratages de Linkedin et autres sites victimes d’attaques remontant généralement à plusieurs années. Les pirates se contentant de tester les sésames piratés sur des comptes Twitter. C’est ainsi que celui de Mark Zuckerberg, le patron de Facebook, a été hacké. Un compte qu’il n’utilisait visiblement plus depuis 2012 (lire ce télégramme) oubliant au passage de changer un mot de passe fort banal qui était « dadada ». L’anecdote a fait le tour de la planète médiatique.

Cette méthode d’utiliser des « vieux » comptes de services en ligne pour en pirater de plus contemporains semble devenir une tendance prisée des pirates. LeakedSouce, un site dédié aux notifications des failles, nous apprend aujourd’hui que le service de P2P iMesh, qui a connu ses heures de gloire dans les années 2000 (et a récemment fermé ses portes), a lui aussi été victime d’un piratage de sa base de donnée en septembre 2013. Environ 51 millions de comptes comprenant l’identifiant, le mot de passe (chiffré mais avec MD5, une méthode de hachage aujourd’hui facile à contourner), l’e-mail et l’adresse IP notamment, sont entre des mains malintentionnées. Dans un e-mail adressé à ZDnet, Roi Zemmer, le directeur opérationnel d’iMesh, a déclaré ne pas connaître le ou les auteurs de l’attaque. Ni leurs motivations. Mais la base de données dérobée a rejoint le Dark Web. Le hacker « Peace », réputé pour avoir revendu des données volées de Fling, Linkedin, Badoo ou VK.com, a confirmé à ZDnet avoir obtenu une copie de la base qu’il s’est empressé de mettre en vente 1 bitcoin (611 euros environ) sur une place de marché du Dark Web. Reste à savoir quelles données de iMesh sont exploitables avec les services en ligne actifs comme Twitter.

Lire également
Sécurité : 167 millions de comptes Linkedin volés à vendre
Twitter coupe l’analyse des tweets aux renseignements US
Sécurité : entreprises, surveillez l’usage des réseaux sociaux !