Piratage de FriendFinder : 412 millions d’utilisateurs exposés

Cyberintrusion

Les noms et mots de passe de plus de 412 millions d’utilisateurs de services opérés par l’entreprise FriendFinder Networks ont été subtilisés dans ce qui se présente comme la plus importante cyberintrusion de l’histoire.

Selon LeakedSource, un site spécialisé dans la fuite de renseignements personnels, l’entreprise FriendFinder Networks a été victime d’un important piratage ayant pour effet de compromettre la confidentialité des données d’authentifications de ses utilisateurs. La base de données contiendrait des informations sur l’ensemble des services appartenant à l’entreprise, incluant adresses courriel, adresses IP, et mots de passe de ses clients.

La grande majorité des mots de passe ont été stockés en texte clair ou à l’aide de l’algorithme de hachage SHA-1 considéré désuet depuis 2010.

La grande majorité des mots de passe ont été stockés en texte clair ou à l’aide de l’algorithme de hachage SHA-1 considéré désuet depuis 2010. LeakedSource prétend d’ailleurs avoir déchiffré 99% de l’ensemble des mots de passe que l’on retrouve dans l’archive qui circule sur le dark web.

Parmi les services affectés, on retrouve près de 340 millions de comptes liés au site Adult FriendFinder, qui se décrit comme «la plus importante communauté sexuelle et échangiste au monde».

Le reste des données proviennent d’autres sites pour adultes moins populaires. On retrouve également les informations de plus de 15 millions de comptes que les utilisateurs croyaient avoir supprimés, mais dont les données d’authentification n’ont jamais été purgées par le système.

FriendFinder a confirmé au blogue ZDNet la présence d’une vulnérabilité dans ses serveurs. L’entreprise s’est toutefois gardée d’admettre que les données d’authentifications de ses utilisateurs ont été exposées.

«Au cours des dernières semaines, FriendFinder a reçu un certain nombre de rapports concernant des vulnérabilités de sécurité potentielles provenant de diverses sources», a déclaré Diana Ballou, vice-présidente et avocate principale. «Dès que nous avons appris cette information, nous avons pris diverses mesures pour examiner la situation et rassembler les bons partenaires externes pour appuyer notre enquête.»

«Bien qu’un certain nombre de ces rapports se soient avérés être de fausses tentatives d’extorsion, nous avons identifié et corrigé une faille liée à la possibilité d’accéder au code source via une vulnérabilité d’injection.»

«FriendFinder prend la sécurité des informations de ses clients au sérieux et fournira des mises à jour supplémentaires tandis que notre enquête se poursuit.»

Comme le souligne Ars Technica, il s’agit de la deuxième fuite d’informations personnelles impliquant les utilisateurs des services de FriendFinder Networks au cours de 18 derniers mois. La première, révélée en mai 2015, a notamment exposé les préférences sexuelles de 3,5 millions de ses utilisateurs. Ce type d’information n’est toutefois pas concernée dans la fuite dévoilée par LeakedSource.