BitDefender ne crypte pas les mots de passe des utilisateurs, selon un hacker

En matière de sécurité informatique, on ne peut décidément faire confiance à personne. Pas même aux professionnels. Vendredi, l’entreprise BitDefender, derrière l’antivirus du même nom, a confirmé à 20 Minutes qu’un de ses serveurs avait été mis à mal par une cyberattaque et qu’un « nombre très limité » de mots de passe d’utilisateurs avait été volé.

1 % des comptes concernés

Cela peut arriver à tout le monde, comme récemment à Kaspersky. Mais le plus gênant dans l’histoire, c’est que le hacker affirme à Forbes que les mots de passe n’étaient pas cryptés. Alors que BitDefender aurait refusé de payer la rançon de 15.000 dollars qu’il demandait, il a mis en ligne 250 mots de passe. Selon Forbes, « ils étaient en clair, et vu leur qualité, ils auraient été très difficiles à cracker » si BitDefender les stockait en version cryptée.

Un expert en sécurité peut-il vraiment commettre l’erreur de stocker les mots de passe en clair ? Interrogé à nouveau, BitDefender refuse de répondre à cette question, ce qui est une réponse en soi. L’entreprise basée en Roumanie précise cependant que « moins de 1 % » des comptes utilisateurs ont été touchés et qu’elle a déjà procédé à une remise à zéro des mots de passe. Le hacker n’aurait pas réussi à pénétrer le serveur mais il aurait exploité une faille connue due à une erreur humaine.