Care2, un réseau social reliant des militants associatifs du monde entier, a décidé de réinitialiser les mots de passe des comptes de près de 18 millions de membres, après que des pirates aient eu accès à ses serveurs. L'attaque a été découverte mardi dernier et, selon la société d'exploitation du site, elle ne touche qu'un nombre limité des comptes. Cependant, comme Care2 n'a pas été en mesure de déterminer l'étendue de la brèche le site a décidé de  changer la totalité des identifiants de connexion. « Afin de protéger nos membres, nous avons décidé de réinitialiser  l'accès à tous les comptes »,, a indiqué Care2 dans un communiqué. « Lorsque les internautes se connecteront au réseau, ils recevront un nouveau mot de passe et ils pourront  accéder au site comme à l'accoutumée ».

L'identité et les motivations des hackers qui ont ciblé Care2 ne sont pas claires. Pour le moment, tout ce que l'on sait,  c'est que  les serveurs du portail ont été attaqués à partir d'une adresse IP en Russie.

Une méthode de réinitialisation jugée peu sûre

« La plupart des hackers sont à la recherche d'identifiants qu'ils  peuvent ensuite exploiter sur des sites web financiers », souligne Care2. «Les internautes ayant souvent tendance à utiliser les mêmes identifiants sur plusieurs sites »

La réutilisation des mots de  passe est une pratique courante et les experts en sécurité ont longtemps conseillé aux utilisateurs de générer des codes d'accès unique pour chaque site qu'ils visitent. Malgré cela, de nombreuses attaques ont abouti, par le passé, à des comptes compromis sur plusieurs sites web.

Care2 ne précise pas de quelle façon des identifiants sont stockés dans sa base de données, mais son processus de réinitialisation des mots de passe consiste à les envoyer en texte clair aux utilisateurs à  l'adresse email correspondante. Cette pratique n'est pas la méthode la plus sûre.

Dans l'industrie, la norme est de ne jamais stocker les mots de passe sous forme récupérable, indépendamment du fait qu'ils soient en texte clair ou cryptés avec une clé d'accès au serveur. Au lieu de cela, les sites web devraient stocker des hachages cryptographiques générés par des algorithmes sécurisés.

De cette manière, l'authentification des utilisateurs consiste à générer des hachages des mots de passe fournis à la volée et à les comparer à ceux stockés dans la base de données. Lorsque les utilisateurs ne peuvent pas se souvenir de leurs mots de passe, le serveur ne doit pas être en mesure de les récupérer et doit en générer de nouveaux.

Care2 n'a pas encore commenté ces informations, mais une réponse automatique par email de son service de support indique : «pour des raisons de sécurité nous ne pouvons pas fournir de détails sur le système car cela pourrait constituer des indices pouvant être exploités par des pirates. »