Piraté, Skyrock aurait-t-il perdu 32 millions de mots de passe ?

Selon le site spécialisé dans la sécurité informatique Zataz.com, un pirate se serait introduit sur le site de la plate-forme de blog de Skyrock en utilisant une faille du service Waka, lancé récemment en partenariat avec le ministère de la Jeunesse et des solidarités actives (sic). Présenté comme "le portail qui aide les jeunes à réussir leurs parcours" (re-sic), Waka a coûté environ 2 millions d'euros à la collectivité, mais ce budget n'a semble-t-il pas été investi dans la sécurité du site.

Comme le note Zataz, le pirate aurait utilisé un service mal configuré de téléchargement pour s'introduire dans le système et accéder à la base de mots de passe qui compte plus de 32 millions d'identifiants. Cette dernière n'était pas chiffrée, malgré un contrôle de la CNIL remontant à il y a plus d'un an. Il est à noter qu'à ce jour, Skyrock n'a aucune idée de l'étendue des dégâts. La radio confirme l'intrusion, mais ne sait pas si les pirates se sont emparés de larges quantités d'identifiants. L'intrus a en effet écrasé les logs après son passage et la seule trace serait une adresse IP renvoyant à un serveur de relais britannique. Les services judiciaires concernés ont été informés.

Toujours "cool", la radio invite ses abonnés à changer leur mot de passe par ce message : "Comme la plupart des grands sites, Skyrock.com est régulièrement la cible d'attaques malveillantes. Nous avons constaté en début de semaine une tentative d'intrusion. La meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe". Une défense a minima qui montre qu'elle n'a sans doute pas pris vraiment la mesure du danger. La solution idéale serait sans doute de réinitialiser tous les mots de passe et d'envoyer un e-mail à chaque détenteur de compte afin qu'il soit contraint de changer son sésame, mais ce ne serait sans doute pas très "cool".

En savoir plus :

- L'article original de Zataz.com