Populaire système de gestion des commentaires en ligne dont le module équipe notamment des sites d'actualité (50 millions de commentaires par mois), Disqus publie une alerte de sécurité au sujet d'une fuite de données. L'incident n'est pas tout frais.

Alerté par le chercheur en sécurité Troy Hunt la semaine dernière, Disqus confirme que les données les plus récentes à avoir été compromises remontent à juillet 2012 (et jusqu'en 2007). Plus de 17,5 millions d'utilisateurs sont concernés par des données compromises portant sur des adresses email, noms d'utilisateurs, dates d'enregistrement et de dernière connexion.

Pour près d'un tiers des utilisateurs affectés, Disqus évoque des mots de passe. Tous les comptes n'ont pas de mots de passe dans la mesure où il est possible de s'appuyer sur un service tiers comme Facebook par exemple. Le cas échéant, ce ne sont pas des mots de passe en clair, mais des hashs avec la fonction (obsolète) SHA-1 et du salage. Cette opération de salage consiste à insérer des caractères aléatoires dans le mot de passe avant hachage pour offrir une protection supplémentaire contre les attaques de type dictionnaire.

Fin 2012, Disqus a abandonné la fonction de hachage SHA-1 au profit de bcrypt, ce qui est évidemment un très bon point. Par mesure de précaution, Disqus - qui présente ses excuses - a décidé de réinitialiser les mots de passe pour tous les utilisateurs affectés. Cela implique la recommandation habituelle pour ceux qui ont recours à un même mot de passe pour d'autres services (potentiellement plus sensibles). Il faudra en changer.

À ce stade, Disqus ne dit pas comment des individus ont pu dérober les données. Attention désormais aux potentielles attaques de phishing ciblé. La fuite de données pour Disqus est prise en compte dans le service Have I been pwned? de Troy Hunt. Une adresse email ou un nom d'utilisateur à saisir pour savoir si un compte a été compromis.