Piratage : 1,7 million de comptes Imgur dans la nature

le lundi 27 novembre 2017
Après l'annonce en novembre 2017, de la part d'Uber, d'un piratage de plusieurs dizaines de millions de comptes survenu fin 2016, voilà qu'une nouvelle découverte devrait inquiéter les internautes. Cette fois, heureusement, c'est un service moins populaire qui aurait été la cible des hackers. Mais le piratage date de plusieurs années.

Il aurait été perpétré en 2014, l'année du piratage de Yahoo qui a été le plus important de l'histoire puisqu'il concernait l'ensemble de 3 milliards de comptes du site. Cette fois-ci, la cible était la plateforme de mise en ligne de photos Imgur.

Plus d'un million de compte piratés chez Imgur


L'attaque aurait pu causer beaucoup plus de dommages puisqu'Imgur, qui permet de poster des images sur Internet, compte 150 millions d'utilisateurs actifs par mois. Au final ce ne sont que 1,7 million de comptes qui auraient été volés par des hackers qui n'ont pas été identifiés à ce jour. La plateforme a informé ses utilisateurs dans les 24 heures qui ont suivi la découverte du piratage, sans doute pour éviter le même type de mauvaise publicité dont a été victime Uber en 2016 et qui l'avait cachée pendant près d'un an.

Imgur a été prévenue du piratage jeudi 23 novembre 2017 par Troy Hunt, le chercheur en sécurité informatique australien qui détient le site Have I Been Pwned ? Bien connu des internautes, ce site permet de savoir si un de leur compte a été piraté simplement en insérant l'adresse mail utilisée pour le créer. Dès le vendredi 24 novembre 2017, Imgur a confirmé le piratage.

01f4000008773148-photo-imgur.jpg


Une simple attaque par force brute ?


Selon les premiers éléments de l'enquête interne menée par Imgur, les pirates auraient utilisé une faille dans le protocole d'identification par login et mot-de-passe : en 2014 il était encore vulnérable aux simples attaques par force brute qui consistent à essayer toutes les combinaisons alphanumériques possibles jusqu'à trouver le bon mot-de-passe. Une technique impossible à utiliser sur la plupart des sites Internet qui bloquent la connexion au bout de trois tentatives en général.

Ce système a été rendu caduc en 2016 après une mise à jour d'Imgur : il est impossible qu'un piratage de ce type survienne aujourd'hui. De plus, le site précise qu'aucune information sensible n'a pu être récupérée puisqu'Imgur ne demande pas le nom, l'adresse ou encore le numéro de téléphone de ses utilisateurs. Les pirates pourraient toutefois avoir eu accès à certaines photos bien que l'ensemble des images d'Imgur soient accessibles soit par le biais du moteur de recherche interne soit via l'url. Imgur précise d'ailleurs sur sa FAQ qu'il n'est pas possible de bloquer, par exemple, le téléchargement des photos de la part des internautes du moment qu'ils ont l'adresse url.

Modifié le 01/06/2018 à 15h36
scroll top