Care2, un réseau social reliant des militants associatifs du monde entier, a décidé de réinitialiser les mots de passe des comptes de près de 18 millions de membres, après que des pirates aient eu accès à ses serveurs. L'attaque a été découverte mardi dernier et, selon la société d'exploitation du site, elle ne touche qu'un nombre limité des comptes. Cependant, comme Care2 n'a pas été en mesure de déterminer l'étendue de la brèche le site a décidé de changer la totalité des identifiants de connexion. « Afin de protéger nos membres, nous avons décidé de réinitialiser l'accès à tous les comptes »,, a indiqué Care2 dans un communiqué. « Lorsque les internautes se connecteront au réseau, ils recevront un nouveau mot de passe et ils pourront accéder au site comme à l'accoutumée ».
L'identité et les motivations des hackers qui ont ciblé Care2 ne sont pas claires. Pour le moment, tout ce que l'on sait, c'est que les serveurs du portail ont été attaqués à partir d'une adresse IP en Russie.
Une méthode de réinitialisation jugée peu sûre
« La plupart des hackers sont à la recherche d'identifiants qu'ils peuvent ensuite exploiter sur des sites web financiers », souligne Care2. «Les internautes ayant souvent tendance à utiliser les mêmes identifiants sur plusieurs sites »
La réutilisation des mots de passe est une pratique courante et les experts en sécurité ont longtemps conseillé aux utilisateurs de générer des codes d'accès unique pour chaque site qu'ils visitent. Malgré cela, de nombreuses attaques ont abouti, par le passé, à des comptes compromis sur plusieurs sites web.
Care2 ne précise pas de quelle façon des identifiants sont stockés dans sa base de données, mais son processus de réinitialisation des mots de passe consiste à les envoyer en texte clair aux utilisateurs à l'adresse email correspondante. Cette pratique n'est pas la méthode la plus sûre.
Dans l'industrie, la norme est de ne jamais stocker les mots de passe sous forme récupérable, indépendamment du fait qu'ils soient en texte clair ou cryptés avec une clé d'accès au serveur. Au lieu de cela, les sites web devraient stocker des hachages cryptographiques générés par des algorithmes sécurisés.
De cette manière, l'authentification des utilisateurs consiste à générer des hachages des mots de passe fournis à la volée et à les comparer à ceux stockés dans la base de données. Lorsque les utilisateurs ne peuvent pas se souvenir de leurs mots de passe, le serveur ne doit pas être en mesure de les récupérer et doit en générer de nouveaux.
Care2 n'a pas encore commenté ces informations, mais une réponse automatique par email de son service de support indique : «pour des raisons de sécurité nous ne pouvons pas fournir de détails sur le système car cela pourrait constituer des indices pouvant être exploités par des pirates. »
Le réseau social Care2 obligé de réinitialiser 18 millions de mots de passe
0
Réaction
Suite au piratage de ses serveurs, Care2, un site communautaire pour militants associatifs, a dû changer les mots de passe de 18 millions de membres. Les attaquants auraient utilisé une adresse IP en Russie.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire