Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Imperva commente la fuite de données chez Quora

décembre 2018 par Terry Ray, CTO chez Imperva

Terry Ray, CTO chez Imperva, expert en cybersécurité commente la fuite de données chez Quora :

« 2018, semblait être plutôt préservée en matière d’attaques avec « seulement » 670 millions de fichiers volés au premier semestre, contre 1,580 millions pour l’ensemble de l’année 2017. Mais avec les deux dernières failles majeures consécutives qui viennent de compromettre environ 600 millions de comptes au total, l’année 2018 est en passe d’égaler l’année 2017 (et pourrait même la dépasser).

Dans le cas récent de Quora, le groupe a prévenu proactivement ses utilisateurs de la fuite de données, ce qui est déjà une bonne chose.

Le plus préoccupant est que les mots de passe hashés ont été volés parce qu’ils pouvaient être utilisés pour valider les suppositions de mots de passe. En d’autres termes, les hackers ne peuvent pas inverser le hash et afficher les mots de passe en texte clair, en revanche ils peuvent obtenir une liste des mots de passe communs créés par l’utilisateur et les comparer avec les mots de passe hashés pour révéler les mots de passe probables.

Quora a précisé que les utilisateurs dont les comptes ont été piratés vont devoir créer un nouveau mot de passe. Cependant, le problème ne concerne pas véritablement le système d’identification de Quora en lui-même. Le problème est qu’un trop grand nombre d’utilisateurs utilisent toujours des mots de passe similaires sur plusieurs sites web. Ainsi, si un utilisateur a utilisé le même e-mail et le même mot de passe sur le site de Quora (ou sur n’importe quel site où un vol des mots de passe a eu lieu), il ou elle devrait immédiatement changer son mot de passe et ne plus jamais l’utiliser. Cependant, dans un monde idéal, les utilisateurs ne devraient jamais utiliser le même mot de passe pour plus d’un site web. »




Voir les articles précédents

    

Voir les articles suivants