Twitter verrouille des millions de comptes et partage ses conseils pour la sécu

Cette semaine, une importante base de données a été mise en vente par un cybercriminel. Selon le vendeur, qui se présente sous le pseudo « Peace_of_mind », celle-ci renferme les identifiants et mots de passe de 32 millions de comptes Twitter.

Le service a d’ores et déjà réagi pour assurer que ces données n’avaient pas été obtenues par le biais d’une intrusion dans ses serveurs. Pour les utilisateurs concernés, la menace est toutefois bien réelle et ceux-ci risquent notamment (et entre autres) la compromission de leurs comptes.

Réinitialisation de mot de passe imposée

Pour y parer, et comme après d’autres fuites majeures de cette nature, Twitter a croisé les informations divulguées avec celles de sa propre base afin d’identifier les internautes exposés. Dans un nouveau billet de blog, le directeur de la sécurité de Twitter, Michael Coates, annonce que les comptes dont le mot de passe a été piraté ont été bloqués.

Il s’agit toutefois d’un blocage provisoire. Ceci est en effet une mesure de protection pour prévenir toute usurpation. Pour accéder de nouveau à leurs comptes, les utilisateurs concernés doivent au préalable réinitialiser leur mot de passe. Combien au total ?

La firme américaine ne communique pas le chiffre exact. Toutefois, auprès du Wall Street Journal, Twitter déclare avoir alerté par mail des millions d’internautes de cette procédure. Il faut d’ailleurs espérer que pour l’accès à leur messagerie, ceux-ci n’ont pas recours au même mot de passe.

Car la pratique est très répandue. Et le vol des codes d’accès à un service peut déboucher sur la compromission de nombreux autres. C’est d’ailleurs ce qu’explique Michael Coates.

« Les attaquants extraient le nom d’utilisateur, l’email et le mot de passe des données […] puis tentent de tester automatiquement ces données de connexion et mots de passe sur tous les principaux sites […] Voilà pourquoi une violation de mot de passe associée à un site X pourrait entraîner la compromission de comptes sur le site Web Y. »

Deux sécurités valent mieux qu’une

Comment dès lors se mettre à l’abri (ou réduire les risques) de telles menaces et des effets en cascade ? Les remèdes sont connus et le patron de la sécurité de Twitter s’efforce de faire de la pédagogie en les rappelant. Pour optimiser la protection d’un compte, l’authentification à deux facteurs est préconisée. De nombreux services en ligne ont implémenté un tel système.

Alors oui, cela impose à l’utilisateur une étape supplémentaire lors de l’authentification. Un code est envoyé sur son téléphone (il aura donc enregistré préalablement son numéro sur le service). Il est demandé à l’internaute, en guise de vérification, de saisir ce code, en plus de son mot de passe habituel.

[embedded content]

Autre conseil de Twitter : utiliser un mot de passe fort et spécifique à chaque site ou service. Cette solution n’est pas infaillible. En cas d’attaque de phishing, l’utilisateur peut être abusé et communiquer à un cybercriminel son mot de passe. Mais si celui-ci est unique, seul le compte concerné sera en principe exposé.

Messagerie, E-commerce, réseaux sociaux… les internautes ont généralement des comptes sur de multiples services en ligne. Devoir créer pour chacun un mot de passe fort est naturellement perçu comme contraignant et une source de désagrément lorsqu’on oublie celui-ci entre deux connexions. Sauf que mémoriser l’ensemble de ces mots de passe peut ne pas être une obligation, grâce par exemple à l’enregistrement des mots de passe dans le navigateur (mais pas n’importe où) ou dans un gestionnaire de mot de passe de type LastPass.

Ces logiciels font office de banque de mots de passe. Et forcément, les banques attisent la convoitise des criminels. LastPass avait ainsi demandé à ses utilisateurs de réinitialiser leur mot de passe maître en 2011 en raison de soupçons d’intrusion. Et en 2015, les soupçons se transformaient en réalité. Aucune solution n’est infaillible. Certaines, comme la double authentification, s’avèrent cependant plus robustes.

Go to Source