Ashley Madison : plus de 11 millions de mots de passe cassés

Le par  |  2 commentaire(s)
Ashley-Madison

Des erreurs de programmation ont ruiné la protection de mots de passe du site de rencontres extraconjugales Ashley Madison.

Dans le cadre du très médiatisé piratage du site Ashley Madison et de la fuite de données qui a suivi, l'exfiltration de mots de passe de comptes ne semblait pas relever d'un niveau d'alerte rouge. Ce sont en effet des hashs de mots de passe qui ont été obtenus par The Impact Team et avec l'emploi de l'algorithme bcrypt pour le chiffrement.

PasswordA priori, des mesures de protection suffisantes pour empêcher les mots de passe d'être cassés. Mais patatras, le spécialiste CynoSure Prime a adopté une approche différente après avoir découvert un cache de 15,26 millions de jetons d'identification et le recours à l'algorithme de hachage MD5 qui est affecté par quelques failles connues.

Pas d'attaque directe sur les hashs bcrypt mais une attaque sur des tokens MD5. " Une fois le token cassé, nous n'avions simplement plus qu'à le faire correspondre à son homologue en bcrypt ", écrit CynoSure Prime. Ars Technica détaille des erreurs de programmation qui ont permis aux membres de CynoSure Prime de casser plus de 11,2 millions de mots de passe.

La principale faille semble résider au niveau d'une variable $loginkey qui aurait été utilisée pour aider les utilisateurs à se connecter automatiquement. Une erreur au niveau du traitement du mot de passe d'un compte en clair via MD5 avec ladite variable.

CynoSure Prime garde une part de mystère au sujet de sa méthode et n'a pas l'intention de publier les mots de passe cassés. Reste qu'il devient impératif désormais pour les utilisateurs concernés de modifier leurs mots de passe ailleurs ; s'ils ont la mauvaise habitude d'employer un même sésame sur plusieurs sites.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1859243
J'espère que l'étude complète de cette attaque servira aux autres gros sites (surtout les e-marchands) qui stockent beaucoup de nos mots de passe d'améliorer encore la sécurité.
Le #1859254
skynet a écrit :

J'espère que l'étude complète de cette attaque servira aux autres gros sites (surtout les e-marchands) qui stockent beaucoup de nos mots de passe d'améliorer encore la sécurité.


Ils travaillent surtout à nous imposer leurs cookies publicitaires et suiveurs parfois ...
C'est un conflit perpétuel entre ces sites marchands et l'internaute ...
CCleaner a (encore) beaucoup de boulot en perspective (entre autre) !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]