Quora a annoncé aujourd’hui avoir été victime d’un piratage qui a touché plus de 100 millions d’utilisateurs. Les pirates ont pu accéder aux noms, identifiants de compte ainsi qu’aux adresses électroniques et IP de ces derniers. Ci-dessous quelques réactions et/ou conseils de fournisseurs de sécurité.
Luis Corrons, Security researcher, Avast
Il est impératif que les personnes ayant utilisé Quora remplacent immédiatement leur mot de passe actuel par un mot de passe fort, contenant des caractères spéciaux et des chiffres.
Si l’ancien mot de passe a été utilisé pour d’autres comptes, tels que des adresses de messagerie, ceux-ci doivent également être modifiés. Un gestionnaire de mots de passe aide à gérer facilement plusieurs mots de passe pour plusieurs comptes et sites internet. Cette attaque devrait également renforcer le besoin d’une authentification à deux facteurs, lorsque cela est possible, afin d’empêcher de nouvelles attaques. L’authentification à deux facteurs empêche en effet les hackers de compromettre les comptes, même s’ils disposent du nom d’utilisateur et du mot de passe de la victime.Les personnes dont les adresses électroniques ont été compromises sont davantage exposées au phishing, et doivent être sur leurs gardes. Voici quelques conseils pour ne pas être victime d’une telle attaque :
– Observer attentivement l’adresse de l’expéditeur
Les hackers possèdent généralement une adresse e-mail sans aucun lien avec la société à laquelle ils prétendent appartenir. Les attaques de phishing sont de plus en plus difficiles à détecter, en raison notamment des nouvelles technologies utilisées pour personnaliser les e-mails des hackers, grâce à des informations que les gens partagent sur eux-mêmes en ligne ;
Ne pas cliquer, ne pas télécharger, ne pas répondre.
Si l’e-mail suspect semble provenir d’une personne ou d’une institution connue, il est déconseillé d’y répondre, de cliquer sur les liens qu’il contient ou de télécharger ses pièces jointes. Il est préférable de saisir les URL des sites internet que l’on souhaite consulter directement dans le navigateur, et de ne pas saisir d’informations bancaires sur un site internet, à moins que la mention « sécurisé » ne s’affiche dans la barre d’adresse ;
Questionner les offres “trop belles pour être vraies“
généralement proposées par les e-mails de phishing. Il est par ailleurs nécessaire de disposer d’un antivirus puissant capable de détecter et de bloquer les attaques avant qu’elles ne causent des dommages ;
Ne pas céder à la panique
Les attaques de phishing sont également susceptibles de faire croire à leurs cibles que leurs comptes ont été verrouillés ou qu’une vérification doit être effectuée à la suite d’une activité suspecte, dans le but de les amener à communiquer des informations personnelles
Andrew Tsonchev, Directeur de la technologie, Darktrace Industrial
Ce n’est pas une surprise de voir que la violation de données sur les services en ligne fait la une des journaux, ces incidents ne sont malheureusement que trop fréquents de nos jours. Dans ce cas, l’étendue et la valeur potentielle des données compromises, telles que les mots de passe cryptés et les données de médias sociaux, sont conséquents.
Les comptes liés sont courants en raison de leur côté pratique, mais souvent aux dépens de la sécurité. Alors que de plus en plus de données sont partagées dans l’écosystème web, la compromission d’un compte, souvent considéré comme peu risqué et non sensible, peut exposer indirectement les données sur d’autres plateformes. Cette interdépendance est une caractéristique bienvenue du web moderne, mais les utilisateurs devaient être conscients des risques encourus.
Il est prometteur de voir le PDG de Quora dire qu’il incombe à l’organisation de protéger les données de leurs utilisateurs. Aucune organisation ne peut éviter les brèches, mais adopter de nouvelles technologies, comme l’IA, contribuera grandement à la gestion de services hyperconnectés.
Terry Ray, CTO, Imperva
2018, semblait être plutôt préservée en matière d’attaques avec « seulement » 670 millions de fichiers volés au premier semestre, contre 1 580 millions pour l’ensemble de l’année 2017. Mais avec les deux dernières failles majeures consécutives qui viennent de compromettre environ 600 millions de comptes au total, l’année 2018 est en passe d’égaler l’année 2017 (et pourrait même la dépasser).
Dans le cas récent de Quora, le groupe a prévenu proactivement ses utilisateurs de la fuite de données, ce qui est déjà une bonne chose.
Le plus préoccupant est que les mots de passe hashés ont été volés parce qu’ils pouvaient être utilisés pour valider les suppositions de mots de passe. En d’autres termes, les hackers ne peuvent pas inverser le hash et afficher les mots de passe en texte clair, en revanche ils peuvent obtenir une liste des mots de passe communs créés par l’utilisateur et les comparer avec les mots de passe hashés pour révéler les mots de passe probables.
Quora a précisé que les utilisateurs dont les comptes ont été piratés vont devoir créer un nouveau mot de passe. Cependant, le problème ne concerne pas véritablement le système d’identification de Quora en lui-même. Le problème est qu’un trop grand nombre d’utilisateurs utilisent toujours des mots de passe similaires sur plusieurs sites web. Ainsi, si un utilisateur a utilisé le même e-mail et le même mot de passe sur le site de Quora (ou sur n’importe quel site où un vol des mots de passe a eu lieu), il ou elle devrait immédiatement changer son mot de passe et ne plus jamais l’utiliser. Cependant, dans un monde idéal, les utilisateurs ne devraient jamais utiliser le même mot de passe pour plus d’un site web.