Twitter réagit à la fuite de milliers de mots de passe
Une guerre des gangs ?
La sécurité de 55 000 comptes Twitter a été compromise après la publication de leurs identifiants. Mais plusieurs détails soulèvent des interrogations, notamment des données dupliquées en masse et des mots de passe nettement plus complexes que ceux généralement rencontrés.
Certains aspects des listes présentent des particularités inhabituelles. D’une part, une partie des comptes a été dupliquée. Ainsi, sur la première page Pastebin, on trouve six fois le pseudonyme « Shannantaqlt » accompagné du même mot de passe. D’autre part, les mots de passe offrent une impressionnante similarité dans leur structure. On trouve par exemple de très nombreux comptes ayant le même mot de passe : « 315475 ». Autre exemple : un modèle identique pour une autre grande partie des comptes, à savoir huit caractères dont des chiffres, des lettres minuscules et des majuscules, tels que « t40P2KsN » ou « fz15U7EA ». Un modèle si cohérent que les mots semblent en avoir été générés aléatoirement. Notez qu’il existe des mots de passe plus classiques tels que « sinistro » ou « natanael »...
Mais Weeks relève surtout les incohérences dont nous parlions précédemment :
« Il est à noter que, pour l’instant, nous avons découvert que la liste des présumés comptes et mots de passe trouvés sur Pastebin est constituée de plus de 20 000 comptes dupliqués, dont un grand nombre de comptes de spam qui ont été suspendus, et un grand nombre d’identifiants qui ne semblent pas liés (le mot de passe et le nom d’utilisateur ne sont en fait pas associés) »
Des propos qui ont été confirmés cette nuit sur le compte officiel de Twitter :
Adrian Lamo estime en outre que les données ont probablement été concaténées : « Quoi qu’il en soit, s’il s’agissait du fruit d’une unique brèche dans une unique source d’information à travers une unique méthode, j’en serais très étonné ». Sous-entendu : le ou les pirates qui ont publié cette liste ont rassemblé les informations par plusieurs moyens, dont certains visaient la même source, ce qui expliquerait les duplications.
Enfin, Lamo pense que la publication des comptes sur Pastebin pourrait être une attaque ou une vengeance d'un spammeur à un autre. L'objectif aurait été alors de « griller » au moins une partie des sources d’un concurrent.
Des mots de passe particuliers
Les informations de ces comptes ont été révélées lundi et repérées par le site AirDemon.net. Identifiants et mots de passe de 55 000 comptes ont été postés anonymement via cinq entrées sur Pastebin.Certains aspects des listes présentent des particularités inhabituelles. D’une part, une partie des comptes a été dupliquée. Ainsi, sur la première page Pastebin, on trouve six fois le pseudonyme « Shannantaqlt » accompagné du même mot de passe. D’autre part, les mots de passe offrent une impressionnante similarité dans leur structure. On trouve par exemple de très nombreux comptes ayant le même mot de passe : « 315475 ». Autre exemple : un modèle identique pour une autre grande partie des comptes, à savoir huit caractères dont des chiffres, des lettres minuscules et des majuscules, tels que « t40P2KsN » ou « fz15U7EA ». Un modèle si cohérent que les mots semblent en avoir été générés aléatoirement. Notez qu’il existe des mots de passe plus classiques tels que « sinistro » ou « natanael »...
Twitter réagit
CNet, qui s’est fait l’écho également de la fuite, a recueilli la réaction de Robert Weeks, porte-parole de Twitter. La société a confirmé qu’elle « examinait la situation », ajoutant qu’elle avait « envoyé des réinitialisations de mots de passe aux comptes qui ont été affectés ». Weeks indique en outre que les utilisateurs qui craignent pour la sécurité de leur compte peuvent procéder dès à présent à un changement de mot de passe sur le site.Mais Weeks relève surtout les incohérences dont nous parlions précédemment :
« Il est à noter que, pour l’instant, nous avons découvert que la liste des présumés comptes et mots de passe trouvés sur Pastebin est constituée de plus de 20 000 comptes dupliqués, dont un grand nombre de comptes de spam qui ont été suspendus, et un grand nombre d’identifiants qui ne semblent pas liés (le mot de passe et le nom d’utilisateur ne sont en fait pas associés) »
Des propos qui ont été confirmés cette nuit sur le compte officiel de Twitter :
Re: Allegedly exposed credentials: We're looking into the situation and have pushed out password resets to potentially affected accounts.
— Twitter Comms (@twittercomms) Mai 9, 2012
Un règlement de comptes ?
CNet s’est en outre entretenu avec le hacker Adrian Lamo. Ce dernier indique que les particularités de la liste pourraient en définir l’origine : le support technique de Twitter. Une théorie qui se fonde sur l’expérience acquise durant des enquêtes, notamment sur AOL : les vieux comptes devaient être réinitialisés pour basculer sur un nouveau modèle n’affichant ni le mot de passe ni les factures aux employés de la société. Adrian Lamo pense de fait qu’il pourrait s’agir de comptes concernés par de tels « resets ».
@elinormills The repetition of passwords across some accounts (default help desk reset?) and the string of highly robust passwords (cont'd)
— Я. Adrian Lamo (@6) Mai 9, 2012 Adrian Lamo estime en outre que les données ont probablement été concaténées : « Quoi qu’il en soit, s’il s’agissait du fruit d’une unique brèche dans une unique source d’information à travers une unique méthode, j’en serais très étonné ». Sous-entendu : le ou les pirates qui ont publié cette liste ont rassemblé les informations par plusieurs moyens, dont certains visaient la même source, ce qui expliquerait les duplications.
Enfin, Lamo pense que la publication des comptes sur Pastebin pourrait être une attaque ou une vengeance d'un spammeur à un autre. L'objectif aurait été alors de « griller » au moins une partie des sources d’un concurrent.
Source :
AirDemon
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 9 mai 2012 à 10:20
(11 345
lectures)
Il y a 19 commentaires
INpactien
ça me fait chier si tous les sites me font ce coup là...
je vais devoir changer tout mes code alphanumérique-symbol à 16 char de tous les sites à chaque fois...
je vais devoir changer tout mes code alphanumérique-symbol à 16 char de tous les sites à chaque fois...
INpactien
Et ce ne serait pas genre un tweet-spammeur qui aurait simplement publié tous les comptes de spams utilisés à ses fins ?
Edité par tekool le mercredi 9 mai 2012 à 11:01
Edité par tekool le mercredi 9 mai 2012 à 11:01
INpactien
bon sinon pour générer des mots de passe complexe mais facile à retenir c'est simple :
il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :
mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345
on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE
donc avec :
- banane
- CERISE
- 08051945
b0C8a0E5n1R9a4I5nSeE
et quelque symbole %$^@&( pour le compte PAYPAL
il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :
mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345
on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE
donc avec :
- banane
- CERISE
- 08051945
b0C8a0E5n1R9a4I5nSeE
et quelque symbole %$^@&( pour le compte PAYPAL
INpactien
bon sinon pour générer des mots de passe complexe mais facile à retenir c'est simple :
il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :
mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345
on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE
donc avec :
- banane
- CERISE
- 08051945
b0C8a0E5n1R9a4I5nSeE
et quelque symbole %$^@&( pour le compte PAYPAL
il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :
mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345
on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE
donc avec :
- banane
- CERISE
- 08051945
b0C8a0E5n1R9a4I5nSeE
et quelque symbole %$^@&( pour le compte PAYPAL
j'aime bien cette méthode, à retenir pour mes prochaines créations de comptes
INpactien
@Texas Ranger Maintenant tout le monde connait ton mot de passe c'est pas malin
Sinon comment fait on pour savoir si notre compte est concerné ?
Edité par KLeMiX le mercredi 9 mai 2012 à 11:21
Sinon comment fait on pour savoir si notre compte est concerné ?
Edité par KLeMiX le mercredi 9 mai 2012 à 11:21
INpactien
plus simple
retenir deux mots uniquement et faire des mélanges simple
un premier mot de passe abstrait : d3zsL à retenir par coeur faire un effort
Un autre simple : fraise
puis mélanger les deux pour avoir deux mots de passe à savoir
d3zsLfraise ou bien fraised3zsL
Le premier réservé le eu pour des comptes simple Facebook Twitter mail etc...
Le deuxième uniquement pour des accès sensible Compte Bancaire Mobile
OU alors encore mieux deux mots de passe complexe
Mot de passe pour compte classique PCinpact, Facebook etc. : Td3fi02zW
Mot de passe pour compte plus perso Compte mail etc. : iQd89yz
Mot de passe pour compte Serveur SSH : Td3fi02zWiQd89yz
Mot de passe pour compte Compte bancaire : iQd89yzTd3fi02zW
Voila à partit de deux mots passe plus ou moins simple vous pouvez avoir une bonne gestion des accès à vos services.
retenir deux mots uniquement et faire des mélanges simple
un premier mot de passe abstrait : d3zsL à retenir par coeur faire un effort
Un autre simple : fraise
puis mélanger les deux pour avoir deux mots de passe à savoir
d3zsLfraise ou bien fraised3zsL
Le premier réservé le eu pour des comptes simple Facebook Twitter mail etc...
Le deuxième uniquement pour des accès sensible Compte Bancaire Mobile
OU alors encore mieux deux mots de passe complexe
Mot de passe pour compte classique PCinpact, Facebook etc. : Td3fi02zW
Mot de passe pour compte plus perso Compte mail etc. : iQd89yz
Mot de passe pour compte Serveur SSH : Td3fi02zWiQd89yz
Mot de passe pour compte Compte bancaire : iQd89yzTd3fi02zW
Voila à partit de deux mots passe plus ou moins simple vous pouvez avoir une bonne gestion des accès à vos services.
INpactien
INpactien
newsmars : désolé mon cerveau n'accepte pas cet algo 
mais c'est sûrement moi
mais c'est sûrement moi
INpactien
euh....... en Attack Dico ça tiens même pas 1heure ton truc non ?
*se sauve*
INpactienne
euh....... en Attack Dico ça tiens même pas 1heure ton truc non ?
Tu peux aussi panacher avec des noms propres, du genre MarioZeldaFluttershyGoldorak
Sinon, autre méthode : initiales de phrases : Le petit lapin court dans la forêt => Lplcdlf (à compléter avec chiffres et symboles).
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
