Vous pensiez être à l’abri ? Voici une nouvelle violation de la sécurité : Imgur a confirmé les rapports d’une violation affectée autour de 1,7 million d’utilisateurs. Alors que Imgur a une vaste base d’utilisateurs et que c’est une partie relativement petite de celui-ci, c’est encore un tas d’utilisateurs affectés, ce qui en fait un problème extrêmement important pour l’entreprise. Même si les violations de sécurité comme celle-ci semblent trop courantes ces jours-ci, il y a quelques petites choses à savoir à propos de cette violation qui la distinguent des autres.
Le premier point à noter est que Imgur a été piraté en 2014. Jusqu’au week-end dernier, Imgur n’était pas au courant qu’une violation avait réellement eu lieu. La plateforme ne connaissait pas le problème avant le 23 novembre, date à laquelle Imgur a été informé de la potentielle violation par le chercheur en sécurité et le créateur de Have I Been Pwned, Troy Hunt.
Hunt a envoyé un e-mail à la société dans l’après-midi du 23 novembre, selon un blog d’Imgur, décrivant la situation. Imgur a ensuite lancé une enquête sur la violation et a constaté qu’environ 1,7 million d’utilisateurs étaient impliqués, et que leurs adresses e-mail et mots de passe étaient compromis.
L’algorithme de hachage en cause ?
Alors que Imgur a précisé qu’elle continue d’enquêter sur la nature de la violation, il semble que l’algorithme de hachage utilisé en 2014 ait pu être à blâmer. Imgur théorise que les hackers auraient pu utiliser l’algorithme de force brute SHA-256, que l’entreprise a cessé d’utiliser l’année dernière.
La deuxième chose surprenante à propos de toute cette violation est la rapidité avec laquelle Imgur a travaillé pour alerter les utilisateurs. Les e-mails ont commencé à être distribués aux utilisateurs concernés le matin du 24 novembre, moins de 24 heures après que Hunt ait attiré l’attention sur la faille. Sur Twitter, Hunt a fait l’éloge d’Imgur pour avoir rapidement agi, notant que leurs actions ont été effectuées en seulement 25 heures et 10 minutes entre le moment où il a envoyé son e-mail initial et le moment où Imgur a publié un communiqué détaillant la faille sur son blog.
I want to recognise @imgur‘s exemplary handling of this: that’s 25 hours and 10 mins from my initial email to a press address to them mobilising people over Thanksgiving, assessing the data, beginning password resets and making a public disclosure. Kudos! https://t.co/jV8MDscXLT
— Troy Hunt (@troyhunt) 25 novembre 2017
Une réaction extrêmement rapide
Encore plus impressionnant est le fait que cette réponse rapide a été effectuée au cours d’un week-end de vacances. Ce n’est certainement pas quelque chose que la plupart d’entre nous ont l’habitude, car certaines entreprises semblent délaisser cette information et essayer de garder le silence le plus longtemps possible.
Si vous avez reçu un de ces e-mails d’Imgur dans votre boîte de réception, il serait judicieux de changer votre mot de passe dès que vous le pouvez. Comme toujours, l’utilisation de mots de passe uniques pour chacun de vos comptes et identités en ligne est le meilleur moyen de limiter vos risques en matière de sécurité. Alors si vous ne l’avez pas encore fait, c’est peut-être le moment d’investir dans un gestionnaire de mot de passe.
