IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Cher utilisateur d'Ashley Madison, je sais tout sur vous, payez sinon je vous expose »,
Lancent des pirates à des utilisateurs du site pour personnes en quête de relations extra-conjugales

Le , par Patrick Ruiz
64 commentaires

24PARTAGES

16  0 
Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison,
qui fait appel à la fonction de hash bcrypt

Il y a quelques jours, Ashley Madison, le site canadien de rencontre en ligne pour les hommes mariés, a fait l’objet d’un piratage qui s’est soldé par la publication de la base de données des utilisateurs de la plateforme.

Les réguliers du service avaient été assurés que leurs mots de passe n’étaient pas conservés en texte clair mais étaient protégés par la fonction de hash bcrypt. Cette fonction est connue comme étant adaptative (c'est-à-dire que l'on peut augmenter le nombre d'itérations pour rendre le sel de l’algorithme plus lent) et donc très résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul. Dans ce cas particulier, les développeurs s’étaient servis d’un paramètre « cost » (coût souhaité de l’algorithme, il s’agit de la puissance de deux du nombre d’itération choisi) d’un facteur de 12.

Aussi, au lieu d’utiliser une attaque exhaustive dans son analyse des données rendue publique par les pirates, CynoSure Prime, un groupe qui a fait de sa spécialité le déchiffrement des mots de passe, a décidé de s’y prendre autrement. « Nous avons identifié deux fonctions qui ont suscité notre intérêt et, après une analyse plus approfondie, nous avons réalisé que nous pourrions exploiter ces fonctions comme catalyseurs dans l’accélération du déchiffrement des hashs de bcrypt. Par les deux méthodes non sécurisées de la génération de la variable $logkinkey dans deux fonctions différentes, nous avons été en mesure de gagner une énorme augmentation dans la vitesse de déchiffrement des mots de passe hashés par bcrypt », ont-ils assuré.

« Au lieu de nous attaquer directement aux hashs bcrypt, qui font la une en ce moment, nous avons pris une approche plus efficace en attaquant plutôt les tokens md5(lc($username).”::”.lc($pass)) et md5(lc($username).”::”.lc($pass).”:”.lc($email).”:73@^bhhs&#@&^@8@*$”). Ayant déchiffrés les tokens, nous n’avions plus qu’à les faire correspondre à leur équivalent en bcrypt », ont-ils avancé. Résultat ? En une dizaine de jours, ce sont plus de 10 millions de mots de passe qui ont pu être déchiffrés.

Cette décision par donc de deux observations. La première porte sur amlib_member_create.function.php et plus précisément sur la fonction amlib_member_create() aux lignes 69 et 70. La ligne 70 suggère que la variable $loginkey a été générée en convertissant en caractères minuscules les variables username et password dans md5 ( $loginkey = md5(strtolower($username).'::'.strtolower($password)) ).

La seconde observation porte sur AccountProvider.php et plus précisément sur la fonction generateLoginKey() aux lignes 78 et 79. « Cette fonction utilise une routine légèrement différente pour générer la variable $loginkey puisqu’elle incorpore l’utilisation des variables $username, $password et $email avec une constante salt de type string appelée $hash. Ensemble, ces variables ont été hachées dans l’algorithme MD5. Il apparaît que la fonction generateLoginKey() est invoquée lorsqu’un utilisateur modifie les attributs de son compte (username, password et email). La résultante est qu’un nouveau loginkey est généré pour ce compte. De ce que nous avons compris, il apparaît que bcrypt n’a pas toujours été utilisé pour hasher le mot de passe avant qu’il ne soit introduit dans la fonction generateLoginKey(). Ce qui signifie que cette méthode pourrait être utilisée pour récupérer les mots de passe de comptes qui avaient été modifiés avant cette modification du code », ont-ils expliqué.

Le groupe a fait savoir qu’il ne publierait pas les mots de passe qu’il a réussi à déchiffrer afin de protéger les utilisateurs. Cynosure Prime a émis l’hypothèse selon laquelle ce hashage insécurisé pourrait avoir été mis sur pied afin de s’assurer que les utilisateurs puissent se connecter au site rapidement.

Source : blog Cynosure Prime

Et vous ?

Qu'en pensez-vous ?

Forum Sécurité
Vous avez lu gratuitement 1 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

64 commentaires
Commenter Signaler un problème
danardf
Avatar de danardf
Membre du Club https://www.developpez.com
Le 06/02/2020 à 4:14
C'est une vieille histoire.
Si je me rappelle bien, les gens s'inscrivait et payaient pour discuter avec des bots ou des hôtesses sans jamais avoir fait quoique ce soit me semble t-il. C'était une arnaque.
Ensuite c'est parti en couille.
J'ai vu le reportage sur une chaine TV.
1  0 
Avatar de
https://www.developpez.com
Le 03/02/2020 à 17:14
Bonjour,

Qu’en pensez-vous ?
1) Le fait qu'un site comme Ashley Madison existe est tout simplement scandaleux.
2) Chacun fait ce qu'il veut de ces fesses.
3) Forcement un site comme Ashley Madison attire la convoitise des pirates en cas de piratages ... Pas très malin de s'inscrire sur ce type de site.
4) Ceux qui ont utilisé ce site devaient le faire en connaissance de cause ... On ne va pas les plaindre de s'être inscrits.
5) Le piratage du site est vraiment une suite d'évènement tout bonnement ubuesque et la faute à la malchance qui a frappé celui ci. Cela aurait pu aussi frappé un plus petit site qui a la même fonction.
6) Ceux qui aiment remuer la merde et jouer avec le risque, fallait être plus précautionneux au lieu d'utiliser bêtement un mail sans mesurer les conséquences.
2  2 
ManPaq
Avatar de ManPaq
Membre averti https://www.developpez.com
Le 15/02/2020 à 7:29
C'est le cas de Benjamin Griveaux (candidat mairie de paris) qui perd sa crédibilité et la méthode est sans piratage mais avec fuite de données.
Les personnes publiques sont les plus sensibles paradoxalement, à cette violence médiatique:
« Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire » a ainsi déclaré Eric Schmidt (google) sur CNBC. C'est là la pensée anglo-saxonne de la liberté, dans nos pays l'idée est plutôt d'assurer notre protection et celle de nos données.
0  0 
cdubet
Avatar de cdubet
Membre confirmé https://www.developpez.com
Le 15/02/2020 à 16:31
Citation Envoyé par tanaka59 Voir le message

1) Le fait qu'un site comme Ashley Madison existe est tout simplement scandaleux.
2) Chacun fait ce qu'il veut de ces fesses.
le point 1° n est il pas contradictoire avec le 2) ?
Si vous voulez aller voir ailleurs il faut bien trouver quelqu un qui a le meme desir non ?

Dans le cas de ce site, c etait surtout une grosse arnaque car comme souvent dans ce type de configuration vous avez 5 ou 6 hommes pour une femme. donc les responsables du site avaient paye des gens pour faire de faux profils feminins et repondre aux hommes qui les interrogeaient

Le plus fort, c est qu il gardaient les donnees meme de ceux qui avaient paye plus pour qu on les effacent
0  0 
Avatar de
https://www.developpez.com
Le 15/02/2020 à 18:39
Bonjour,

Citation Envoyé par cdubet Voir le message
le point 1° n est il pas contradictoire avec le 2) ?
Si vous voulez aller voir ailleurs il faut bien trouver quelqu un qui a le meme desir non ?
Avant piratage le site n'avait rien d'illégal en soit. A moins de pratique commercial frauduleuse ? Ont elles été prouvé ?

On est dans un contexte "moral" ou l'on flirte avec le n'importe quoi a tout les sens du terme. Résultat ? Ajoutez une dose de "morale" et "d'illégale" vous avez un cocktail explosif ...

Trompez sa femme ou son marie n'est pas forcé illégal partout ... moralement ou d'un point de vu coutume a moins d'avoir d'avoir plusieurs maris ou femmes cela est plus gênant .
0  0 
Fleur en plastique
Avatar de Fleur en plastique
Membre extrêmement actif https://www.developpez.com
Le 03/02/2020 à 16:08
Je tiens à dire que je ne soutiens pas le chantage, ni l'enrichissement crapuleux sur le dos d'autrui.

Mais bon, ils l'ont bien cherché. Quand on a une femme (ou un homme), on ne la trompe pas. Si cela ne va plus dans le couple, on rompt d'abord et après on va voir ailleurs. Je ne vais donc pas plaindre les victimes, car les vraies victimes, ce sont les compagnes et compagnons de ces ordures clientes de ce genre de site.
5  6 
Mingolito
Avatar de Mingolito
Expert éminent https://www.developpez.com
Le 03/02/2020 à 17:16
C'est un concept médiéval désuet la monogamie, tant qu'à faire ils auraient du s'inscrire sur un site de partouzes ou de libertinage. D'autre part la France devrait de débarrasser de son carcan Judéo chrétien et autoriser la polygamie. D'un point de vue capitaliste c'est normal qu'un riche puisse avoir plusieurs femmes, et pour les pauvres il y à ... les chèvres (quoi que le plus dur c'est d’obtenir un consentement par écrit).

3  7 
Commenter Signaler un problème