L'exfiltration des données de Hacking Team risque de révéler pas mal de secrets pour cette entreprise italienne qui commercialise des solutions de surveillance pour les gouvernements. Un peu en marge de ce hack, il a déjà été dévoilé grâce aux données fuitées une vulnérabilité 0-day dans Flash Player utilisée par Hacking Team et maintenant les cybercriminels qui le veulent.

Et ce n'est par ailleurs pas loin d'être un gros fail pour Hacking Team avec des informations concernant le recours à des mots de passe particulièrement peu robustes aux attaques. Plus que de l'étonnement, c'est tout simplement inexplicable.

L'un des mots de passe root pour des serveurs de Hacking Team était ainsi P4ssorwd. Autant dire qu'il n'est guère difficile à casser ou tout bêtement deviner.

Expert en sécurité informatique, Graham Cluley indique également que les hackers auraient compromis le gestionnaire de mots de passe du navigateur Firefox de l'un des ingénieurs de Hacking Team. Dénommé Christian Pozzi, ce dernier avait tenté de limiter l'impact de l'exfiltration des données en déclarant que les attaquants répandaient des mensonges sur Hacking Team et que lesdits fichiers contenaient un virus.

censure Il s'avère que Christian Pozzi avait une propension à utiliser un nom d'utilisateur comme Neo ou c.pozzi, et le fameux mot de passe P4ssword ainsi que Passw0rd. Consultant pour la société de sécurité F-Secure, Sean Sullivan a déclaré à Business Insider à propos du hack de Hacking Team : " De ce que j'ai vu, l'utilisation de mots de passe faibles pourrait être le problème. "

Hacking Team est en tout cas désormais dans la panade. Et si en plus c'est la faute de mots de passe faibles… Maintenant que les petits secrets de Hacking Team sont dans la nature (code source compris), il va aussi rapidement devenir plus simple de se prémunir contre ses outils de surveillance.