Caché dans les annales de l'histoire d'Internet, MySpace était sans doute le premier grand site de réseautage social. Il comptait des millions d'utilisateurs actifs et avait un impact culturel important. Alors que certains l'utilisaient comme moyen de trouver une suite et une carrière (y compris Lily Allen, Calvin Harris et Adele), la plupart se contentaient de choisir un fond d'écran amusant et de faire une biographie intéressante.
MySpace a été largement oublié - c'est-à-dire qu'il n'est pas au centre de la conscience publique. Il a été remplacé par Facebook et Twitter. Et oui, il fonctionne toujours.
Pire, MySpace ne vous a pas oublié. Et il pourrait divulguer toutes vos informations privées.
De nos jours, les contrôles de sécurité sur les principaux sites sont généralement assez stricts. Vous pouvez compter sur eux pour prendre les précautions nécessaires pour garder votre mot de passe sécurisé et toutes vos données personnelles privées. C'est comme ça que ça devrait être.
Pour accéder à votre ancien MySpace et en prendre le contrôle, tout ce dont un pirate informatique a besoin depuis l'apogée du site est votre nom, votre nom d'utilisateur et votre date de naissance. Ils n'ont besoin d'aucune sorte de mot de passe ni même de validation via une adresse e-mail.
Cette faille de sécurité est venue via sa page "Account Recovery". Il faut y réfléchir beaucoup plus :l'entreprise a subi un changement de marque qui, espère-t-elle, fera revenir les anciens utilisateurs, il est donc essentiel de récupérer un compte.
On pourrait penser qu'une fois qu'une demande est faite, elle enverrait au moins une sorte de vérification à l'adresse associée avant d'autoriser l'accès. Au lieu de cela, tout ce dont il a besoin, ce sont des informations facilement disponibles.
Un nom est si simple à trouver, tout comme votre nom d'utilisateur - en fait dans l'URL du profil, même si vous l'avez probablement déjà oublié vous-même ! Pendant ce temps, votre date de naissance peut être disponible via diverses fuites (sur lesquelles nous reviendrons) ou Facebook. Ce dernier dépend principalement des informations que vous avez fournies au réseau social et de vos paramètres de confidentialité.
Pire encore, MySpace est au courant depuis quelques mois et n'a rien fait à ce sujet. Jusqu'à ce qu'il ait mauvaise presse dans les grands médias. Maintenant, l'URL redirige vers une page de connexion. Ce n'est en aucun cas idéal.
Et cela en soi est remarquable.
Nous devons remercier Leigh-Anne Galloway de Positive Technologies pour avoir révélé cette vulnérabilité. Elle a découvert le problème pour la première fois en avril et a alerté MySpace en conséquence. Elle a reçu un e-mail automatisé en réponse... et c'est tout. Trois mois plus tard, elle a décidé que le monde devait savoir, et MySpace a été obligé de faire quelque chose.
Vous pourriez vous demander de quoi il s'agit. Il n'y a sûrement plus rien d'intéressant là-bas ?
Essentiellement, un cybercriminel pourrait prendre le contrôle total de votre profil en modifiant l'adresse e-mail et le mot de passe utilisés par MySpace. C'est une usurpation d'identité.
Et bien qu'il n'y ait pas encore beaucoup d'informations là-bas, il ne faut pas les renifler.
Que pensez-vous qu'un parfait inconnu ait accès à des photos de vous quand vous étiez plus jeune ? Très probablement, quand vous étiez adolescent ? Effrayant, n'est-ce pas ? S'il y a quelque chose d'embarrassant là-dedans, comment vous sentiriez-vous s'il était utilisé contre vous ? De nos jours, les célébrités voient leurs anciens comptes de médias sociaux parcourus par diverses industries, y compris les médias, de sorte qu'un précédent a été établi pour l'utilisation de MySpace contre des personnes.
En effet, le site obtient toujours des statistiques particulièrement bonnes un jeudi, lorsque de vieilles photos numériques sont ressuscitées pour être régurgitées dans le cadre des "Throwback Thursdays".
C'est sans mentionner que même vos informations d'identification personnelle (PII) - comme l'anniversaire, l'adresse e-mail et les numéros de téléphone - valent de l'argent pour les escrocs.
Oui, il existe bonne nouvelle, mais même cela a une coda.
Votre MySpace vous sera pratiquement méconnaissable.
Cela est dû à un changement de nom. MySpace s'est réinventé en un site social axé sur la musique. Tous les profils ont perdu leur personnalisation, donc si jamais vous vouliez vous souvenir du fond d'écran embarrassant que vous aviez défini, vous n'avez pas de chance. Divers détails ont disparu, y compris certaines de ces listes "Top X" de livres, émissions de télévision, films et chansons préférés.
Le problème demeure, votre profil n'est pas une feuille blanche. Toutes les informations personnelles n'ont pas disparu. Encore une fois, nous ne devons pas sous-estimer la valeur des informations personnellement identifiables.
En outre, de nombreuses données peuvent être déduites des informations de base. Prenez Facebook comme exemple :le service en sait beaucoup sur vous (que vous soyez un membre actif ou non), de sorte que les pirates pourraient en tirer une évaluation juste de vous. Digital Shadow montre quels détails peuvent être devinés à votre sujet sur la base de relativement peu de données.
MySpace n'est même pas aussi mort que vous le pensiez. En novembre 2015, il obtenait 50,6 millions d'utilisateurs uniques rien qu'aux États-Unis et gérait plus de 465 millions d'adresses e-mail. C'est beaucoup de données potentiellement à saisir.
Comme si cela ne suffisait pas, MySpace est présenté sous un jour particulièrement mauvais après un autre choc de 2016. Ou plutôt de 2008.
Parfois, les entreprises qui gardent le silence sur les violations de données peuvent être une bonne chose. Mais MySpace a subi une fuite majeure, et nous ne l'avons découvert qu'au moins trois ans après le piratage. La première fois que nous en avons eu connaissance, c'était en 2016, lorsque plus de 360 millions d'adresses e-mail et plus de 427 millions de mots de passe étaient mis en vente via le réseau social.
Le piratage d'origine aurait pu se produire à tout moment entre 2008 et 2013.
Si vous avez utilisé MySpace, rendez-vous sur haveibeenpwned.com. Cela vous indique si vos données ont fait partie d'une violation. Si vous vous souvenez de l'e-mail que vous avez utilisé pour vous inscrire à MySpace il y a toutes ces années, saisissez-le. Choquant, n'est-ce pas ?
Jeff Bairstow, vice-président exécutif et directeur financier de Time Inc., a rassuré les utilisateurs :
"Nous prenons la sécurité et la confidentialité des données et des informations des clients très au sérieux, en particulier à une époque où les pirates malveillants sont de plus en plus sophistiqués et où les violations dans tous les secteurs sont devenues trop courantes. Nos équipes de sécurité et de confidentialité des informations font tout ce que nous pouvons pour soutenir l'équipe MySpace."
On nous a dit que les informations privées sont prises au sérieux. Pourtant, cette dernière faille de sécurité est restée intacte depuis ce piratage.
Les mots de passe volés lors du piratage ont été stockés avec le hachage Secure Hashing Algorithm (SHA)-1. Cela change les mots de passe en différents chiffres, mais n'est en fait pas très sécurisé. Le salage et les hachages lents sont une meilleure façon de protéger votre mot de passe - ce n'est pas infaillible, car rien ne l'est jamais, mais pour le moment, c'est aussi bon que possible.
Maintenant, cependant, il semble que, même si MySpace avait mis en place une protection par mot de passe plus solide, le simple processus de récupération de compte l'aurait rendu inutile.
Qu'est-ce que cela dit sur la sécurité Internet ?
MySpace n'est que le dernier exemple d'une grande entreprise, bien que largement oubliée par les masses, qui ne prend pas suffisamment soin de vos informations. Ce n'est tout simplement pas assez bon. Les mesures de sécurité doivent toujours être mises à jour, quel que soit l'âge d'or d'un site.
Que peux-tu y faire? Tout d'abord, MySpace a supprimé la page correspondante, donc pour le moment, vous ne pouvez pas accéder au réseau à moins de vous souvenir de vos informations de connexion. Espérons que le site renforcera la sécurité.
Cependant, il ne s'avère pas digne de confiance. Il peut être injuste sur MySpace de vous conseiller de supprimer votre compte, mais c'est exactement ce qu'a fait Leigh-Anne Galloway. Vous pouvez comprendre pourquoi. Certes, si vous n'avez pas l'intention de migrer vers MySpace, il serait grossier de ne pas supprimer toutes vos informations à partir de là.
Avez-vous supprimé votre compte ? Craignez-vous d'autres fuites ? Ou pensez-vous qu'il est inutile de supprimer ce qui existe déjà, après le nombre de compromis de sécurité ?
Crédit image :thelefty via Shutterstock.com
