S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Twitter réagit à la fuite de milliers de mots de passe

Une guerre des gangs ?

La sécurité de 55 000 comptes Twitter a été compromise après la publication de leurs identifiants. Mais plusieurs détails soulèvent des interrogations, notamment des données dupliquées en masse et des mots de passe nettement plus complexes que ceux généralement rencontrés.

twitter

Des mots de passe particuliers

Les informations de ces comptes ont été révélées lundi et repérées par le site AirDemon.net. Identifiants et mots de passe de 55 000 comptes ont été postés anonymement via cinq entrées sur Pastebin.

Certains aspects des listes présentent des particularités inhabituelles. D’une part, une partie des comptes a été dupliquée. Ainsi, sur la première page Pastebin, on trouve six fois le pseudonyme « Shannantaqlt » accompagné du même mot de passe. D’autre part, les mots de passe offrent une impressionnante similarité dans leur structure. On trouve par exemple de très nombreux comptes ayant le même mot de passe : « 315475 ». Autre exemple : un modèle identique pour une autre grande partie des comptes, à savoir huit caractères dont des chiffres, des lettres minuscules et des majuscules, tels que « t40P2KsN » ou « fz15U7EA ». Un modèle si cohérent que les mots semblent en avoir été générés aléatoirement. Notez qu’il existe des mots de passe plus classiques tels que « sinistro » ou « natanael »...

Twitter réagit

CNet, qui s’est fait l’écho également de la fuite, a recueilli la réaction de Robert Weeks, porte-parole de Twitter. La société a confirmé qu’elle « examinait la situation », ajoutant qu’elle avait « envoyé des réinitialisations de mots de passe aux comptes qui ont été affectés ». Weeks indique en outre que les utilisateurs qui craignent pour la sécurité de leur compte peuvent procéder dès à présent à un changement de mot de passe sur le site.

Mais Weeks relève surtout les incohérences dont nous parlions précédemment :

« Il est à noter que, pour l’instant, nous avons découvert que la liste des présumés comptes et mots de passe trouvés sur Pastebin est constituée de plus de 20 000 comptes dupliqués, dont un grand nombre de comptes de spam qui ont été suspendus, et un grand nombre d’identifiants qui ne semblent pas liés (le mot de passe et le nom d’utilisateur ne sont en fait pas associés) »

Des propos qui ont été confirmés cette nuit sur le compte officiel de Twitter :

Un règlement de comptes ?

CNet s’est en outre entretenu avec le hacker Adrian Lamo. Ce dernier indique que les particularités de la liste pourraient en définir l’origine : le support technique de Twitter. Une théorie qui se fonde sur l’expérience acquise durant des enquêtes, notamment sur AOL : les vieux comptes devaient être réinitialisés pour basculer sur un nouveau modèle n’affichant ni le mot de passe ni les factures aux employés de la société. Adrian Lamo pense de fait qu’il pourrait s’agir de comptes concernés par de tels « resets ».



Adrian Lamo estime en outre que les données ont probablement été concaténées : « Quoi qu’il en soit, s’il s’agissait du fruit d’une unique brèche dans une unique source d’information à travers une unique méthode, j’en serais très étonné ». Sous-entendu : le ou les pirates qui ont publié cette liste ont rassemblé les informations par plusieurs moyens, dont certains visaient la même source, ce qui expliquerait les duplications.

Enfin, Lamo pense que la publication des comptes sur Pastebin pourrait être une attaque ou une vengeance d'un spammeur à un autre. L'objectif aurait été alors de « griller » au moins une partie des sources d’un concurrent. 
Source : AirDemon
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 09/05/2012 à 10:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 19 commentaires

Avatar de Texas Ranger INpactien
Texas Ranger Le mercredi 9 mai 2012 à 10:59:31
Inscrit le lundi 26 mai 08 - 433 commentaires
ça me fait chier si tous les sites me font ce coup là...

je vais devoir changer tout mes code alphanumérique-symbol à 16 char de tous les sites à chaque fois...
Avatar de Tekool INpactien
Tekool Le mercredi 9 mai 2012 à 11:01:37
Inscrit le vendredi 2 mai 08 - 102 commentaires
Et ce ne serait pas genre un tweet-spammeur qui aurait simplement publié tous les comptes de spams utilisés à ses fins ?

Edité par tekool le mercredi 9 mai 2012 à 11:01
Avatar de Texas Ranger INpactien
Texas Ranger Le mercredi 9 mai 2012 à 11:04:31
Inscrit le lundi 26 mai 08 - 433 commentaires
bon sinon pour générer des mots de passe complexe mais facile à retenir c'est simple :


il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :

mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345

on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE

donc avec :
- banane
- CERISE
- 08051945

b0C8a0E5n1R9a4I5nSeE

et quelque symbole %$^@&( pour le compte PAYPAL
Avatar de SrBelial INpactien
SrBelial Le mercredi 9 mai 2012 à 11:09:05
Inscrit le jeudi 17 février 11 - 841 commentaires
bon sinon pour générer des mots de passe complexe mais facile à retenir c'est simple :


il faut retenir 2 mot et un nombre et les mélanger selon cet algorithme :

mot 1 : ABCDE
mot 2 : wxyz
nombre : 12345

on écrit le mot 1 :
ABCDE
puis on repart au debut du mot 1 et on tape le mot 2 avec un espace à chaque fois :
AwBxCyDzE
idem avec le nombre :
A1w2B3x4C5yDzE

donc avec :
- banane
- CERISE
- 08051945

b0C8a0E5n1R9a4I5nSeE

et quelque symbole %$^@&( pour le compte PAYPAL


j'aime bien cette méthode, à retenir pour mes prochaines créations de comptes
Avatar de klemix INpactien
klemix Le mercredi 9 mai 2012 à 11:21:04
Inscrit le jeudi 10 juin 04 - 1316 commentaires
@Texas Ranger Maintenant tout le monde connait ton mot de passe c'est pas malin

Sinon comment fait on pour savoir si notre compte est concerné ?

Edité par KLeMiX le mercredi 9 mai 2012 à 11:21
Avatar de newsmars INpactien
newsmars Le mercredi 9 mai 2012 à 11:32:05
Inscrit le jeudi 12 mai 05 - 192 commentaires
plus simple

retenir deux mots uniquement et faire des mélanges simple

un premier mot de passe abstrait : d3zsL à retenir par coeur faire un effort
Un autre simple : fraise

puis mélanger les deux pour avoir deux mots de passe à savoir

d3zsLfraise ou bien fraised3zsL

Le premier réservé le eu pour des comptes simple Facebook Twitter mail etc...
Le deuxième uniquement pour des accès sensible Compte Bancaire Mobile

OU alors encore mieux deux mots de passe complexe

Mot de passe pour compte classique PCinpact, Facebook etc. : Td3fi02zW
Mot de passe pour compte plus perso Compte mail etc. : iQd89yz
Mot de passe pour compte Serveur SSH : Td3fi02zWiQd89yz
Mot de passe pour compte Compte bancaire : iQd89yzTd3fi02zW

Voila à partit de deux mots passe plus ou moins simple vous pouvez avoir une bonne gestion des accès à vos services.
Avatar de psn00ps INpactien
psn00ps Le mercredi 9 mai 2012 à 11:41:50
Inscrit le jeudi 7 février 08 - 6172 commentaires
Avatar de Texas Ranger INpactien
Texas Ranger Le mercredi 9 mai 2012 à 11:42:44
Inscrit le lundi 26 mai 08 - 433 commentaires
newsmars : désolé mon cerveau n'accepte pas cet algo

mais c'est sûrement moi
Avatar de Texas Ranger INpactien
Texas Ranger Le mercredi 9 mai 2012 à 11:44:53
Inscrit le lundi 26 mai 08 - 433 commentaires



euh....... en Attack Dico ça tiens même pas 1heure ton truc non ?


*se sauve*
Avatar de CrazyCaro INpactienne
CrazyCaro Le mercredi 9 mai 2012 à 11:59:00
Inscrite le lundi 14 mai 07 - 554 commentaires

euh....... en Attack Dico ça tiens même pas 1heure ton truc non ?

Tu peux aussi panacher avec des noms propres, du genre MarioZeldaFluttershyGoldorak

Sinon, autre méthode : initiales de phrases : Le petit lapin court dans la forêt => Lplcdlf (à compléter avec chiffres et symboles).
;