À la suite de mégapirates sur certaines des destinations les plus reconnues d’Internet, ne soyez pas surpris si vous recevez des demandes de réinitialisation de mot de passe de la part de nombreuses entreprises qui n’a pas faire l’expérience d’une violation : certaines grandes entreprises, y compris Facebook et Netflix – ont l’habitude de passer au peigne fin d’énormes fuites de données pour trouver des informations d’identification qui correspondent à celles de leurs clients, puis de forcer une réinitialisation du mot de passe pour ces utilisateurs.
Netflix a envoyé des avis aux clients qui ont réutilisé leur mot de passe Netflix sur d’autres sites piratés. Cet avis a été partagé par un lecteur qui avait réutilisé son mot de passe Netflix dans l’une des entreprises piratées.
Netflix.com, par exemple, a envoyé une notification à la fin de la semaine dernière aux utilisateurs qui ont commis l’erreur de réutiliser leur mot de passe Netflix sur Linkedin, Tumblr ou Mon espace. Ces trois violations ont toutes des années, mais l’étendue des intrusions (plus d’un demi-milliard de noms d’utilisateur et de mots de passe divulgués au total) n’est apparue que récemment lorsque les informations d’identification ont été publiées en ligne sur divers sites et services.
« Nous pensons que les informations d’identification de votre compte Netflix ont peut-être été incluses dans une publication récente d’adresses e-mail et de mots de passe d’une ancienne violation d’une autre entreprise », indique le message de Neflix. « Par mesure de sécurité, nous avons réinitialisé votre mot de passe par mesure de précaution. »
La missive exhorte ensuite les destinataires à visiter Netflix.com et à cliquer sur le lien « Vous avez oublié votre adresse e-mail ou votre mot de passe » pour réinitialiser leurs mots de passe.
Netflix prend cette mesure car il sait par expérience que les cybercriminels utiliseront les informations d’identification divulguées par Tumblr, MySpace et LinkedIn pour voir s’ils travaillent sur une variété de sites tiers (y compris Netflix).
Comme je l’ai écrit l’année dernière à la suite de la violation d’AshleyMadison qui a révélé des dizaines de millions d’informations d’identification d’utilisateurs, l’équipe médico-légale de Netflix a utilisé un outil que l’entreprise sorti en 2014 appelé Scumblrqui parcourt les sites de premier plan à la recherche de termes et de données spécifiques.
Facebook est également connu pour extraire les données divulguées dans les principales violations de mots de passe externes pour tout signe que les utilisateurs réutilisent leurs mots de passe sur l’entité piratée. Après qu’une brèche découverte chez Adobe en 2013 ait révélé des dizaines de millions d’informations d’identification de clients Adobe, Facebook a parcouru les données de mot de passe Adobe divulguées pour le recyclage des informations d’identification parmi ses utilisateurs.
La dernière fois que j’ai écrit sur cette mesure de sécurité préventive, de nombreux lecteurs semblent avoir conclu à la hâte et à tort que l’entreprise qui fait l’alerte ne sécurise pas correctement les mots de passe de ses utilisateurs si elle peut simplement les comparer en texte brut aux mots de passe divulgués qui ont déjà été élaboré.
Ce qui se passe ici, c’est que Facebook, Netflix ou toute autre entreprise qui le souhaite peut prendre un corpus de mots de passe divulgués qui ont déjà été devinés ou piratés peuvent simplement hacher ces mots de passe avec n’importe quel mécanisme de hachage unidirectionnel qu’ils utilisent en interne. Après cela, il suffit de trouver les adresses e-mail qui se chevauchent et qui utilisent le même mot de passe.
Message que Facebook a utilisé dans le passé pour alerter les utilisateurs qui ont réutilisé leurs mots de passe Facebook sur d’autres sites piratés.