BFM Tech

AdultFriendFinder: 400 millions de comptes du site de rencontres ont été hackés 

-

- - AFP

Une brèche béante dans le site américain de rencontres coquines entre adultes a été exploitée par des hackers le mois dernier, exposant au passage le peu de complexité des mots de passe utilisateurs.

Peu importe la nature du site Web sur lequel un compte en ligne est créé, mieux vaut le sécuriser avec un bon mot de passe. C'est en tout cas ce que tend à prouver le hack de plus de 400 millions de comptes survenus sur tous les sites du groupe Friend Finder Network, dont le site de rencontres entre adultes AdultFriendFinder.com fait partie au même titre que Stripshow.com ou encore iCams.com.
Un chiffre titanesque qui représente, en fait, 20 ans de données utilisateurs. A noter, parmi toutes les données subtilisées, plus de 15 millions de données seraient issues de comptes supposés "effacés" par leurs utilisateurs mais quand même conservés par les archives des sites.

Les mots de passe simples et "en clair"

Selon LeakedSource.com, un site Web spécialisé dans le recensement et l'analyse des attaques/brèches, ce hack de grande ampleur est survenu en octobre et met en lumière non seulement les failles du site mais, aussi, le faible niveau de sécurisation des comptes par... les utilisateurs eux-mêmes.

Ainsi, du côté de AdultFriendFinder, la plupart des mots de passe apparaissaient "en clair" dans certains fichiers sources des bases de données des sites. Ou étaient faiblement chiffrés et cassables aisément.

Cependant, LeakedSource.com met aussi en lumière que les mots de passe utilisés par les utilisateurs sont du pain béni pour les hackers. Car, dans le top 3 du classement des "sésames électroniques" les plus utilisés, on trouve "123456", "12345" ou encore... "123456789". Il faut attendre la treizième place pour - enfin - avoir un mot de passe moins "convenu" et qui est, toutefois, du ressort de l'argot pornographique. Tous sont du même acabit, entre multiplication d'un même nombre (55555), suite de lettres convenues (qwerty, azerty, etc.).

A l'inverse, certains utilisateurs optent pour des mots de passe de 16 à 32 caractères mais qui ne sont composés que de lettres et forment des phrases pour la plupart : "ratsliveonnoevilstar" ou encore "youwillneverwalkalone" pour les plus softs...

Une grande variété de données moissonnées

Déjà la cible d'une attaque en mai 2015, le site AdultFriendFinder avait dû revoir d'urgence la sécurisation des données conservées par ses soins car les hackers avaient mis la main sur les adresses IP, les dates d'anniversaire, les pseudos et même les orientations sexuelles de plus de 4 millions d'utilisateurs.
Selon le site ZDNet.com, les informations subtilisées seraient cette fois moins "complètes" que celles de l'an dernier. Elle contiennent tout de même des informations relatives au statut de l'utilisateur (membre VIP ou non), ses préférences de navigation sur les rubriques, son adresse IP et même la mention d'achat d'options ou services sur les sites.

ZDnet.com s'est procuré une partie des informations ayant fuité et s'est amusé à contacter un présumé utilisateur dont les données ont filtré. Ce dernier a confirmé avoir eu recours aux services de certains sites quelques fois tout en précisant que la plupart des renseignements communiqués dans son formulaire d'inscription sont faux pour éviter qu'on ne l'identifie clairement...

La société californienne Friend Finder Network a bien confirmé "avoir eu connaissance de récentes vulnérabilités dans son architecture Web", par la voix de Diana Ballou, Vice Présidente et Conseillère du groupe, dans un mail adressé à ZDnet.com. Elle confirme "avoir d'ores et déjà pris des mesures pour renforcer les points sensibles"... mais n'a pas encore reconnu officiellement avoir été hackée.