Caché dans les archives d'Internet, MySpace fut le premier grand réseau social, comptant des millions d'utilisateurs actifs et marquant la culture populaire. Si certains s'en servaient pour lancer leur carrière musicale (comme Lily Allen, Calvin Harris ou Adele), la plupart choisissaient un fond d'écran original et rédigeaient une bio captivante.
MySpace est largement oublié, supplanté par Facebook et Twitter. Pourtant, le site fonctionne toujours. Pire : MySpace n'a pas oublié vos données, et elles pourraient être compromises.
Aujourd'hui, les mesures de sécurité sur les grands sites sont rigoureuses, protégeant mots de passe et données personnelles. C'est la norme attendue.
Pour accéder à un ancien compte MySpace, un pirate n'a besoin que de votre nom, nom d'utilisateur et date de naissance – sans mot de passe ni validation e-mail. Cette vulnérabilité provenait de la page "Account Recovery", facilitant la reconquête d'utilisateurs lors d'un rebranding.
On pourrait s'attendre à une vérification par e-mail, mais il suffit d'informations publiques : nom et nom d'utilisateur (dans l'URL du profil), date de naissance (via fuites ou Facebook, selon vos réglages de confidentialité).
MySpace était informé depuis des mois sans agir, jusqu'à une couverture médiatique. L'URL redirige désormais vers une page de connexion, mais c'est insuffisant.
Remercions Leigh-Anne Galloway de Positive Technologies, qui a révélé cette faille en avril, alerté MySpace (réponse automatisée seulement), puis publié en juillet, forçant une réaction.
Même si vos profils semblent vides, un pirate peut les usurper en modifiant e-mail et mot de passe.
Des photos d'adolescence embarrassantes ? Effrayant si exploitées contre vous. Les célébrités voient déjà leurs anciens comptes scrutés. MySpace reste visité les jeudis pour les "Throwback Thursdays".
De plus, vos PII (date de naissance, e-mail, téléphone) valent cher pour les escrocs.
Il y en a une, nuancée : vos profils MySpace sont méconnaissables après rebranding musical. Personnalisations (fonds, Top X) ont disparu.
Mais des données sensibles persistent. Elles permettent des déductions (comme sur Facebook). Digital Shadow illustre comment peu d'infos en révèlent beaucoup. MySpace attirait encore 50,6 millions d'utilisateurs US en 2015, gérant 465 millions d'e-mails.
Oui, une fuite massive (2008-2013) révélée en 2016 : 360 millions d'e-mails et 427 millions de mots de passe vendus. Vérifiez sur haveibeenpwned.com.
Jeff Bairstow (Time Inc.) affirmait prendre la sécurité au sérieux, mais SHA-1 utilisé était faible (préférez salage et hachages lents). La récupération de compte rendait toute protection futile.
MySpace illustre le laxisme sécuritaire persistant. Les sites doivent updater leurs protections.
La page vulnérable est supprimée ; connectez-vous si possible. Leigh-Anne Galloway recommande la suppression du compte. Si inactif, effacez vos données.
Avez-vous supprimé votre compte MySpace ? Craignez-vous d'autres fuites ? Ou pensez-vous que c'est trop tard ?
Crédit image : thelefty via Shutterstock.com
[]