Piratage : la leçon de transparence d’Imgur

La société américaine Imgur a annoncé dans un billet sur son blog qu’elle avait été piratée en 2014. Au total, plus de 1,7 millions de comptes sont concernés par la cyberattaque.

Imgur

Linkedin, Uber, Yahoo… Le site web de partage d’images Imgur vient s’inscrire à la longue liste des sociétés ayant subi un piratage informatique de grande ampleur. À ce jour, la palme est détenue par Yahoo, avec un score de 3 milliards de comptes utilisateurs touchés, soit la totalité des utilisateurs…! Si Yahoo a aussi été très critiqué pour ne pas avoir révélé publiquement la faille plus tôt, cela ne semble pas être le cas de Imgur.

Selon le billet de blog rédigé par le chef des opérations Roy Sehgal, la société a eu connaissance de la faille la veille de sa révélation publique. D’ailleurs, la manière dont Imgur en a été informé est plutôt cocasse. Ce piratage aurait très bien pu ne pas être décelé si les données de la cyberattaque n’avait pas été transmises à Troy Hunt. Expert en cybersécurité et créateur du site Have I been pwned ?, il s’est rapidement occupé d’en avertir l’entreprise, le jour de Thanksgiving. Il s’est d’ailleurs dit impressionné qu’Imgur ait réagi aussi vite : « Qu’ils puissent rétablir cela tout de suite, protéger les comptes touchés, aviser les gens et préparer des déclarations publiques en moins de 24 heures est tout à fait exemplaire ».

Imgur ne connait pas encore l’origine du piratage

Pour l’instant, la société ne sait pas quelle est la faille à l’origine du hack, bien qu’elle soupçonne un algorithme de hachage, le SHA-256, qui a été mis à jour au fil des années. Plus exactement, l’algorithme obsolète aurait pu subir une attaque par force brute, une technique qui permet de casser un cryptage ou de trouver un mot de passe.

À propos des données compromises, il s’agit des adresses email et des mots de passe, puisque la société précise qu’elle ne demande pas les noms, adresses ou numéros de téléphones des utilisateurs. Utilisé par plus de 150 millions d’internautes, Imgur demande à ses utilisateurs de « changer leur mot de passe au plus vite » et conseille « d’utiliser une combinaison de mail et de mot de passe différent pour chaque site et application ».

Pour savoir si votre adresse email a été compromise lors d’une faille de sécurité sur un site web, vous pouvez vous rendre sur le site web de Troy Hunt, Have i been pwned ?.


Nos dernières vidéos

Répondre