Mercredi, les autorités américaines ont prévenu Kickstarter d'une brèche de sécurité. Après une correction opérée " immédiatement ", c'est samedi que la plateforme de financement participatif a publié avis de sécurité qualifié d'important. Une intrusion informatique a conduit au vol de données d'utilisateurs.

kickstarter-badge-funded Les données concernées sont des noms d'utilisateurs, adresses email, numéros de téléphone et des mots de passe chiffrés. Sur ce dernier point, Kickstarter précise que les anciens mots de passe étaient salés (insertion de caractères aléatoires) et chiffrés en SHA-1, tandis que les mots de passe plus récents sont chiffrés avec l'algorithme bcrypt.

Pas de risque de compromission pour des données de carte de paiement et Kickstarter ajoute n'avoir détecté une activité non autorisée que sur deux comptes d'utilisateurs (ils ont été prévenus). Tout en présentant ses excuses pour l'incident, Kickstarter conseille à ses utilisateurs de changer leur mot de passe. Un conseil qui vaut pour d'autres services si le même sésame est utilisé.

Quelques points sont a priori rassurants dans cette affaire. Kickstarter n'a pas négligé des mesures de sécurisation pour les mots de passe. Cela va compliquer la tâche de ceux qui veulent casser les mots de passe même si dans l'absolu ce n'est pas obligatoirement impossible. Un autre point rassurant est que des données bancaires ne sont pas affectées.

Pour autant, Kickstarter ne dit pas combien de données d'utilisateurs ont pu être consultées par les attaquants. Par ailleurs, la plateforme ne savait pas qu'elle avait été piratée. Ce sont les autorités qui lui ont dit. Une hypothèse est qu'elles ont trouvé des indices d'un piratage en ligne ou sur le marché noir.

La plateforme Kickstarter a été créée en 2009. L'année dernière, elle a revendiqué la contribution à hauteur de 480 millions de dollars de 3 millions d'utilisateurs de 214 pays dans le monde. Ils ont aidé au financement de près de 20 000 projets.