Dans le cadre du très médiatisé piratage du site Ashley Madison et de la fuite de données qui a suivi, l'exfiltration de mots de passe de comptes ne semblait pas relever d'un niveau d'alerte rouge. Ce sont en effet des hashs de mots de passe qui ont été obtenus par The Impact Team et avec l'emploi de l'algorithme bcrypt pour le chiffrement.
A priori, des mesures de protection suffisantes pour empêcher les mots de passe d'être cassés. Mais patatras, le spécialiste CynoSure Prime a adopté une approche différente après avoir découvert un cache de 15,26 millions de jetons d'identification et le recours à l'algorithme de hachage MD5 qui est affecté par quelques failles connues.
Pas d'attaque directe sur les hashs bcrypt mais une attaque sur des tokens MD5. " Une fois le token cassé, nous n'avions simplement plus qu'à le faire correspondre à son homologue en bcrypt ", écrit CynoSure Prime. Ars Technica détaille des erreurs de programmation qui ont permis aux membres de CynoSure Prime de casser plus de 11,2 millions de mots de passe.
La principale faille semble résider au niveau d'une variable $loginkey qui aurait été utilisée pour aider les utilisateurs à se connecter automatiquement. Une erreur au niveau du traitement du mot de passe d'un compte en clair via MD5 avec ladite variable.
CynoSure Prime garde une part de mystère au sujet de sa méthode et n'a pas l'intention de publier les mots de passe cassés. Reste qu'il devient impératif désormais pour les utilisateurs concernés de modifier leurs mots de passe ailleurs ; s'ils ont la mauvaise habitude d'employer un même sésame sur plusieurs sites.