Vol d’1,2 milliard de mots de passe: L’étrange attitude de l’entreprise qui a donné l’alerte

Le plus grand vol de données de l’histoire du Web? Mardi, le New York Times faisait trembler les internautes du monde entier en relayant la découverte des chercheurs en sécurité de la firme Hold Security. Ces derniers affirment qu’un groupe de hackers russes aurait dérobé 1,2 milliard d’identifiants et de mots de passe. Les particuliers ont aussitôt été invités à changer leur mot de passe et à vérifier s’ils étaient concernés par ce vol de grande ampleur… en passant par une solution payante. Plusieurs observateurs sont perplexes et pointent du doigt une attitude «suspecte» de la part de Hold Security.

«Vous avez été hacké!» En révélant sur son site Internet le piratage massif de données qu’il affirme avoir découvert, Hold Security a tenu un discours anxiogène à faire paniquer n’importe quel internaute: «Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le Web, vous pouvez être affecté par cette faille, peut-on lire. On ne vous a pas nécessairement volé directement. Vos données ont peut-être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille».

Occasion en or. A la fin du message, Hold Security n’a pas manqué de mettre un lien permettant aux particuliers et aux entreprises de se préinscrire à un service permettant de savoir s’ils sont concernés par ce vol d’identifiants et de mots de passe. Un service pour lequel il faut débourser 120 dollars par mois si vous êtes une firme, rapporte Forbes. Une attitude étrange, juge Joe Siegrist, le patron de la plateforme de gestion de mots de passe LastPass. «Si vous avez à votre disposition ce type d’informations, vous avez envie d’aider les gens, pas de vous enrichir sur le dos des internautes. C’est quelque peu suspect», a-t-il dénoncé sur Business Insider. Un point sur lequel le reporter de Forbes, Kashmir Hill, est entièrement d’accord. Certes, les entreprises de sécurité informatique ont besoin de vendre leurs solutions pour exister, mais il dénonce dans le Washington Post le lien trop direct entre l’alerte, qui a semé la panique, et le gain que Hold Security pouvait en tirer.

Excellent timing. Joe Siegrist fait également remarquer que se tiennent cette semaine le Black Hat et le Defcon à Las Vegas, qui rassemblent hackers, espions, militaires et experts autour de conférences sur la cybersécurité. Pour Hold Security, il n’y aurait pas eu meilleur moment dans l’année pour faire le buzz avec cette découverte de vol massif de mots de passe. La firme est au centre de toutes les attentions.

Beaucoup de questions en suspens. Le flou règne encore sur la méthode des hackers russes et les sites qu’ils ont ciblés. Hold Security a seulement indiqué que 420.000 sites Internet (des leaders et aussi des petits acteurs) ont été victimes de piratage sans dire lesquels ni dans quels pays ils sont basés. L’entreprise n’a pas non plus précisé si les données dérobées étaient chiffrées ou non. Hold Security ne souhaite pas dévoiler ces informations par souci de «confidentialité». Mais Forbes souligne un détail qui cloche. Les chercheurs en sécurité de la firme ont indiqué que les hackers avaient procédé à des «injections SQL», une technique qui permet de s’attaquer à une base de données… et qui est tout sauf nouvelle. Elle est très connue des hackers et des experts en sécurité qui savent comment en protéger les sites.