•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Fuite de données personnelles de 3000 lecteurs de L’actualité

Le logo de l'Actualité.

Cela faisait déjà plus de six mois que les données avaient été piratées et exposées au grand jour sur le web caché.

Photo : L'actualité

Nicholas De Rosa

Les nom, date de naissance, adresse courriel et mot de passe crypté de plus de 3000 personnes ayant commenté sur l’ancien site web du magazine L’actualité ont été publiés sur le site Pastebin, dimanche. Cela faisait déjà plus de six mois que les données avaient été piratées et exposées au grand jour sur le web caché (dark Web).

Selon l’ancien officier de sécurité informatique au ministère de la Défense nationale Steve Waterhouse, qui a aussi été le premier à rapporter publiquement la fuite, les pirates n’ont pas obtenu les données dans le but de les vendre. 

Je ne pense pas qu’ils vont faire la grosse piastre avec ça, mais dans le monde du hacking [piratage], tu veux démontrer à la communauté que tu as été capable de faire un coup fumant. C’est probablement ce qu’ils ont fait en publiant les données sur le web caché, explique l’expert en cybersécurité. 

D’après Steve Waterhouse, les pirates des informations avaient partagé leurs trouvailles de façon proactive et responsable avec L’actualité en avril dernier, mais le magazine n’a jamais donné suite à ses communications.

Les gens à la base de la découverte voulaient que quelque chose se fasse pour informer les gens que leurs informations étaient accessibles, mais rien ne s’est fait. C’est pour ça qu’ils ont diffusé les données, soutient-il. 

L’expert ajoute que les mots de passe chiffrés contenus dans la fuite peuvent être décryptés étant donné qu’ils étaient hébergés sur la quatrième version de la plateforme de gestion de contenu WordPress, qui utilise des clés de chiffrement n’étant plus considérées comme fiables.

Il dit présentement travailler avec des personnes organisant le Hackfest, une convention annuelle de pirates qui se tient à Québec, afin de déterminer combien de temps il prendrait pour déchiffrer les mots de passe.

Si on arrive à décrypter ce mot de passe, on peut faire un essai sur plusieurs de leurs comptes, et ce n’est pas rare de trouver que quelqu’un a les mêmes mots de passe pour toutes les plateformes, illustre-t-il. 

Les victimes seront averties

L’actualité a d’abord nié sur Twitter qu’une fuite de données avait eu lieu, déclarant que les données publiées plus tôt aujourd’hui sur Pastebin ne concernent en rien [ses] abonnés ou [ses] activités

Le magazine a ensuite corrigé le tir, confirmant que les données provenaient de la section commentaires d’une version du site web de L’actualité datant de 2016, qui n’est plus en fonction et n’a jamais été liée à la base de données des abonnés. Il a aussi pris soin de spécifier qu’aucune information financière n’apparaît sur cette liste.

Steve Waterhouse souligne que des informations comme le nom, la date de naissance et l’adresse courriel peuvent toutefois être utilisées à des fins d’authentification et être croisées avec d’autres données. 

Il faut changer cette façon de faire des entreprises de minimiser l’importance des données, déplore-t-il.

Cybersécurité

Techno