Encore une fuite de données… Cette fois-ci, elle touche une gloire éphémère du Web. Myspace vit toujours mais n'a plus l'éclat de sa splendeur d'antan. Il se rappelle au bon souvenir de ses anciens utilisateurs suite à la mise en vente sur le marché noir d'une base de données avec plus de 427 millions de mots de passe.

Selon Motherboard, le dénommé Peace demande 6 bitcoins (l'équivalent de près de 2 900 € actuellement) pour l'accès à des mots de passe et emails dérobés. Il commence à devenir un habitué puisque c'est ce même individu qui avait vendu des données de comptes LinkedIn compromis.

Là encore, la fraîcheur de la fuite de données est sujette à caution. Par ailleurs, LeakedSource indique qu'il y a de l'ordre de 360 millions d'adresses mail dont seulement quelque 111 millions avec un nom d'utilisateur attaché.

Pour preuve tangible que le piratage n'est pas de première jeunesse, il est question de hashes de mots de passe via SHA-1 - qui est obsolète - et sans salage. Comme nous l'avions évoqué récemment, le piratage de LinkedIn était dans le même cas avant la mise en place de mesures en 2012.

On comprendra dès lors aisément qu'il n'y a pour ainsi dire aucun obstacle insurmontable pour dévoiler en clair les mots de passe dérobés. Il suffira d'un peu de temps et d'une bonne puissance de calcul. Le risque pèse ainsi pour ceux qui ont l'habitude depuis longtemps d'utiliser de mêmes identifiants un peu partout, dont avec des services sensibles.

Motherboard a pu vérifier l'authenticité de comptes compromis ou qui l'ont été par le passé. Dans cette nouvelle affaire, il est inquiétant de constater qu'une très grosse fuite de données probablement ancienne n'avait pas fait parler d'elle jusqu'à maintenant.