C'est ce qu'on peut appeler le hack du siècle. Des hackers russes auraient réussi à subtiliser plus d'un milliard de combinaisons de mots de passe et de noms d'utilisateurs ! Ce sont des milliers de sites différents qui seraient concernés par cette cyberattaque...
C'est Hold Security qui a découvert le pot aux roses. La firme américaine dit avoir démantelé un gang d'une douzaine de hackers russes, baptisé CyberVor, qui a pu voler plus d'un milliard de données appartenant à plusieurs milliers de sites différents.
" Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille ". Tel a été le discours de Hold Security qui a créé un mouvement de panique.
Quels sont les sites concernés par ce piratage massif ? La firme ne dit rien " pour des raisons de confidentialité ". Comment les pirates s'y sont-ils pris ? CyberVor dit avoir exploité les services d'un botnet " qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient ". Les hackers ont réussi à identifier ainsi 400 000 sites vulnérables qu'ils ont attaqué pour voler leurs bases de données.
Mais beaucoup se posent des questions sur cette soi-disant découverte. Le magazine Forbes trouve étonnant que de si grands sites se soient faits avoir par une injection SQL, une technique pourtant très connue des hackers. Le New York Times se demande pourquoi les pirates ne se servent des données récoltées que pour spammer les victimes sur les réseaux sociaux. Enfin et surtout, comment expliquer que Hold Security a profité de cette grande annonce et de la peur suscitée pour vendre ses services ? Un service permettant de savoir si oui ou non nous sommes concernés par cette fuite de données, mais surtout facturé à 120 dollars par mois (malgré un essai gratuit) !
Alors info ou intox ? En attendant, nous ne pouvons que vous conseiller de changer tous vos mots de passe.
