Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les dessous de l’affaire Zuckerberg

juin 2016 par Yves Duchesne, Expert en cybersécurité chez ACCEIS

La nouvelle a fait le tour du monde : Mark Zuckerberg s’est fait pirater ses comptes Twitter et Pinterest par un groupe de hackers saoudiens qui se fait appeler OurMine (leur page Twitter a d’ailleurs été suspendue). Forcément, la renommée de Mark Zuckerberg et sa personnalité controversée ont donné beaucoup d’écho à cette nouvelle. Mais sur le plan de la cybersécurité, elle est également riche d’enseignements.

La méthode

La méthode utilisée par les pirates est plutôt simple et très habituelle : ils se sont basés sur la fuite de données massive en provenance de Linkedin ayant eu lieu en 2012, il y a quatre ans jour pour jour (6.5 millions de mots de passe avaient été dérobés).

Ils ont tout simplement trouvé le mot de passe associé au compte Linkedin de Mark Zuckerberg, puis l’ont utilisé pour se connecter à son compte Twitter et à son compte Pinterest.

De nombreux manquements

Si la méthode n’a rien d’innovant, elle met en lumière des manquements en termes de bonnes pratiques, de la part de Mark Zuckerberg, mais également de la part de Linkedin.

 Les mots de passes étaient insuffisamment protégés. Ils ne figuraient pas en clair dans la base de données de Linkedin, mais étaient hachés à l’aide de l’algorithme SHA-1. Le problème, c’est qu’aucun sel n’était adjoint à ce hachage, ce qui a permis de retrouver les mots de passe, probablement à l’aide de rainbow tables.

 Le mot de passe de Mark Zuckerberg était trop peu robuste. dadada, voilà le fameux mot de passe du CEO de Facebook ! Six lettres, uniquement des caractères minuscules, ce mot de passe ne respectait pas les conseils en matière de sécurité. En France, L’ANSSI recommande au moins 12 caractères de types différents.

 Il utilisait le même mot de passe pour plusieurs services. La réutilisation de mot de passe est une pratique à proscrire impérativement, cette histoire le prouve.

 Il n’avait pas changé son mot de passe en quatre ans. Conserver le même mot de passe sur une si longue période augmente considérablement la probabilité d’une compromission de ce type. En France, l’ANSSI recommande de le modifier au minimum tous les 90 jours.

Une authentification qui pose des questions

En définitive, cette affaire pose en creux la question de la limite du mot de passe : un internaute possédant un compte d’utilisateur sur 10 sites différents peut-il se souvenir de 10 mots de passe complexes différents, surtout s’il les change tous les 90 jours ?


Voir les articles précédents

    

Voir les articles suivants