La presse anglo-saxonne vient de révéler le piratage de deux forums très populaires utilisés par des gamers – Microsoft Xbox 360 ISO et Playstation PSP ISO. Au total, les cybercriminels se seraient emparés en 2015 des données de 2,5 millions de comptes utilisateurs – email, mot de passe, adresse IP. Les cybercriminels rendent désormais les données accessibles au public après les avoir probablement vendues sur le Dark Web. Et ce nouveau cas de piratage et de vol massif de données démontre plusieurs choses :
Tout d’abord, le fait que les cybercriminels savent se faire discret, notamment pour les attaques menées sur le long terme. Dans ce cas-là, nul doute qu’ils ont exploité les données au maximum, pour accéder aux boîtes emails et aux comptes sociaux des internautes.
C’est d’ailleurs l’une des recommandations importantes faites régulièrement au grand public : évitez d’utiliser le même mot de passe pour vos comptes en ligne car les cybercriminels vont systématiquement tester vos autres comptes avec les identifiants dérobés sur une plateforme. C’est pour cette raison que les forums piratés conseillent aujourd’hui à leurs utilisateurs de changer leurs identifiants. Le moins que l’on puisse dire c’est que la réaction est un peu tardive…
Les sites piratés tardent à communiquer. Le Règlement Général sur la Protection des Données (GDPR) qui doit entrer en vigueur dans un an devrait néanmoins aider à corriger le tir. Un tel délai reste inquiétant, car durant tout ce temps beaucoup d’utilisateurs ont dû subir des piratages de comptes. Et récupérer un accès à son compte relève trop souvent du parcours du combattant…
Enfin, les forums reposent souvent sur des moteurs disponibles en accès libre, et des failles sont découvertes chaque jour, ou presque. Les exploiter est souvent assez simple, les administrateurs ne pouvant passer leur temps à mettre à jour les forums pour parer à ses failles.
La question se pose également sur la responsabilité des hébergeurs, qui pourraient apporter des fonctions de protection via des pare-feu applicatifs par exemple. Ces services lorsqu’ils existent sont souvent payants, et non inclus dans les services de base… ».
