Si vous êtes un utilisateur de MacKeeper, un utilitaire pour Mac, il est temps de changer vos mots de passe. Le hacker Chris Vickery vient en effet de montrer que son éditeur, Kromtech, a laissé traîner les données personnelles de 13 millions d’utilisateurs sur le Web dans une base de données ouverte à tous vents. Depuis, son accès a été sécurisé, mais on ne peut pas exclure que ces données soient d’ores et déjà disponibles sur le Dark Net.
Selon Kromtech, qui a officiellement reconnu la faille dans une note de blog, ces données contiennent des noms, des numéros de licence, des adresses IP, des noms d’utilisateurs et des mots de passe hachés.
Ce dernier point est particulièrement préoccupant car, selon Chris Vickery, la technique de hachage utilisée serait « très faible » (algorithme MD5 sans utilisation de sel de hachage). En d’autres termes, il serait assez simple de retrouver les mots de passe depuis leur forme hachée. Or, beaucoup d’utilisateurs utilisent les mêmes mots de passe pour différents services qui, du coup, pourraient être piratés à leur tour.
Le hack s’est fait par hasard
Comment Chris Vickery a-t-il fait pour récupérer toutes ces données ? C’est simple : il est allé sur shodan.io, un site qui référence de façon technique tout type de services Web accessible sur Internet. « Je n’ai jamais entendu parler de MacKeeper ou de Kromtech jusqu’à maintenant, explique-t-il sur Reddit sous le pseudonyme FoundTheStuff. C’est juste que je m’ennuyais, et j’ai fait une recherche aléatoire sur le port:27017. »
C’est alors qu’il a eu la surprise de détecter une base de données MongoDB avec 13 millions de comptes utilisateurs, accessible sans aucune protection. « Aucune authentification n’était requise », souligne-t-il. En réalité, on ne peut même pas vraiment appeler cela un hack…
Dans sa note de blog, Kromtech essaye de sauver les apparences et explique « avoir procédé à un examen interne approfondi pour déterminer l’ampleur du problème et pris plusieurs mesures de sécurité supplémentaires ».
Le plus drôle dans cette affaire (ou tragique, c’est selon), c’est que MacKeeper propose également des fonctions de sécurité comme le chiffrement de données, la navigation sécurisée ou la protection antivirus. Un éditeur d’outils de sécurité qui n’est pas capable de définir un mot de passe sur sa base de données clients, vraiment, c’est n’est pas sérieux !
Pour l’éditeur de MacKeeper, cette histoire est évidemment désastreuse. Le produit n’avait déjà pas une très bonne image, en raison d’un certain nombre de pratiques marketing discutables : recours à des publicités pop-under inutilement alarmistes, désinstallation difficile, faux sites Web promotionnels, etc. Voilà qui ne va pas aider à gagner ou regagner la confiance des utilisateurs…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.