Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Actualités / Sécurité - Skyblog alerte ses membres sur une tentative d'intrusion

Publié le par Arnaud Devillard - 01net.com

La plate-forme de blogs de Skyrock a subi l'attaque d'un pirate informatique. Il est recommandé aux utilisateurs de changer de mot de passe.

Skyrock.com est régulièrement la cible d'attaques malveillantes. » C'est le site de Skyrock lui-même qui le dit, dans un post sur le blog de son équipe, la Skyrock Team. Vendredi dernier, 21 mai, cette Skyrock Team révélait en effet que le site avait subi une tentative d'intrusion.

Pour des raisons de sécurité, Skyrock invite tous ses membres à changer leur mot de passe.
Pour des raisons de sécurité, Skyrock invite tous ses membres à changer leur mot de passe.
agrandir la photo

Tentative confirmée par le directeur de la production et délégué prévention et sécurité du site, Jérôme Aguesse, dans une mise au point destinée à la presse. Il date l'événement du 19 mai.

Skyrock conseille donc à tous ses utilisateurs, des internautes de 15 à 18 ans, de modifier leurs mots de passe et de le faire régulièrement. Sans plus de précision sur la nature du problème rencontré et son éventuelle gravité.

Selon le site Zataz.com, spécialisé dans les actualités sur la sécurité informatique, l'équipe informatique du site a découvert le problème à l'occasion d'un audit technique de routine. Elle s'est aperçue qu'une porte dérobée avait été installée et qu'elle permettait, en théorie du moins, de récupérer des données liées aux comptes utilisateurs. Depuis sa création, la plate-forme en recense quelque 32 millions.

Mots de passe stockés « en clair »

Mais Zataz va plus loin. Il affirme que cette intrusion a été rendue possible par un défaut de configuration dans un nouvel espace ouvert récemment par Skyrock.com : Waka, le blog à travers lequel le gouvernement s'efforce de parler aux jeunes (et en langage jeune) de sa politique.

Ce que dément pour l'instant le site de la radio jeune. Selon Jérôme Aguesse : « On ne peut déterminer à ce stade si l'application Waka était concernée. Il affirme également qu'il n'existe à ce stade aucune certitude sur l'éventuelle action de l'intrus ». Le changement de mot de passe recommandé à tous les utilisateurs serait une mesure préventive.

Il reste qu'à la fois, Skyrock parle de « tentative » d'intrusion, ce qui par définition implique qu'il n'y pas eu intrusion, et dit ne pas savoir ce qu'à fait l'intrus. S'il n'y a eu que tentative, a priori, l'intrus n'en est pas un et n'a rien fait avec aucune donnée...

Le site n'est pas non plus très clair sur ses propres pratiques de sécurité. Toujours par la voix de Jérôme Aguesse, Skyrock explique que les mots de passe sont conservés « en clair » dans une base de données protégée. « En clair », c'est-à-dire que les mots de passe en eux-mêmes ne seraient pas cryptés. Seul l'accès à la base de données est sécurisé. En attendant d'en dire plus, éventuellement, Skyrock a en tout cas alerté la justice.

Commenter cet article