Kickstarter avertit d’un risque de compromission de mots de passe

La plateforme de financement collectif de projets Kickstarter a été victime d’une violation de sécurité, mi-février. Dans un billet de blog, Yancey Strickler, son PDG, le reconnaît et avertit les utilisateurs de son service. D’après lui, aucune donnée financière - détails de cartes bancaires - n’a été dérobée par les pirates et « il n’y a pas de preuve d’activité non autorisée » sur l’ensemble des comptes utilisateurs du service, à l’exception de deux. Las, les noms d’utilisateurs, adresses e-mail, adresses postales, numéros de téléphone et mots de passe chiffrés des internautes abonnés au service ont été dérobés. Les mots de passe sont protégés, par l’algorithme SHA-1 pour les plus anciens comptes, et avec bcrypt pour les autres. 

Prudent, Yancey Strickler se garde d’afficher un discours rassurant et préfère prévenir : « les mots de passe n’ont pas été dévoilés, mais il est possible qu’une personne malicieux disposant de suffisamment de puissance de calcul découvre un mot de passe chiffré, notamment s’il s’avère fragile ou évident. A titre de précaution, nous recommandons fortement que vous créiez un nouveau mot de passe pour votre compte Kickstarter et pour les autres comptes pour lesquels vous utilisez ce mot de passe. » Et d’aller plus loin, en recommandant l’utilisation d’outils tels que 1Password et LastPass. Ceux-ci simplifient la gestion de mots de passe de multiples services en ligne en évitant à l’internaute de devoir tous les retenir, encourageant ainsi l’usage de mots de passe différents pour chaque service en ligne. Une démarche rare dont tous les services victimes d’une attaque menaçant les identifiants de leurs utilisateurs gagneraient à s’inspirer.