Tumblr : vol de 65 millions de mots de passe... encore une vieille fuite de données

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Tumblr : vol de 65 millions de mots de passe... encore une vieille fuite de données

Publié le 31 mai 2016 à 09:30 par Jérôme G.

Lire sur mobile

Encore une fuite massive de données. Elle est également ancienne et touche Tumblr. Le danger paraît moindre grâce à une protection supplémentaire pour éviter que les mots de passe puissent être facilement cassés.

Propriété de Yahoo suite à un rachat à 1 milliard de dollars en 2013, le site de micro-blogging Tumblr a été victime à la même époque d'une fuite de données. Juste avant ce rachat, un individu a pu exfiltrer des adresses email avec des mots de passe.

L'affaire n'a été éventée qu'au début de ce mois de mai. Tumblr s'est montré rassurant en estimant que les données piratées n'ont pas été utilisées pour accéder à des comptes. Cela étant, il a été question de réinitialiser les mots de passe d'utilisateurs affectés.

On apprend aujourd'hui que ce sont plus de 65 millions de comptes Tumblr qui ont été exposés. Les données fuitées ont été mises en vente sur le marché noir, et en l'occurrence des adresses email et des hashes de mots de passe obtenus avec la fonction SHA-1 (considérée comme obsolète).

Contrairement aux cas de LinkedIn et Myspace, la sécurité des mots de passe hachés a été renforcée par du salage. L'opération consiste à insérer des caractères aléatoires dans le mot de passe avant hachage afin d'offrir une protection supplémentaire contre les attaques de type dictionnaire. Au moins pour LinkedIn, rappelons que du salage est appliqué depuis sa fuite de données qui remonte à 2012.

Cela explique sans doute pourquoi le prix de vente de la base de données piratée de Tumblr est bas : 0,4255 bitcoin, soit de l'ordre de 200 €. Ces informations supplémentaires sont divulguées par le chercheur en sécurité Troy Hunt qui est derrière le portail Have I been pwned? sur les fuites de données, et dont l'API est par exemple exploitée par l'application Hacked? pour Windows 10.

Real-Deal-Tumblr

Ces récentes mises en vente d'anciennes fuites de données sont toutes proposées sur la place de marché The Real Deal - adresse en .onion accessible via le réseau Tor - par un individu se présentant sous l'identité de peace_of_mind ou Peace.

À LinkedIn, Myspace et Tumblr, on peut aussi ajouter plus de 40 millions de comptes du réseau social pour adultes Fling (une fuite de données remontant à 2011). Une interrogation est de savoir pourquoi toutes ces révélations s'enchaînent en ce moment. Une certitude est que des fuites de données - ou leur ampleur - ne sont connues que bien tardivement.