Mercredi 30 juin 1999
Affaire Multimania:
70 000 mots de passe de sites personnels circulent sur le
Web
Hier, les membres de Multimania ont dû éprouver une belle frayeur en apprenant qu'un internaute avait mis en
ligne sur son site personnel 70.000 de leurs login et mots de passe
.
Une frayeur uniquement puisque Multimania avait changé
de façon préventive l'intégralité
des mots de passe de ses utilisateurs vendredi dernier (voir
notre article du 28 juin). Pas de danger donc mais une
première dans l'histoire de l'Internet français.
Le journaliste, qui s'amuse à reporter les "hacks",
avait remarqué un très grand nombre de piratages
de pages Multimania et, en cherchant à remonter la
filière, s'est aperçu que les hackers n'avaient
qu'un faible mérite puisqu'ils utilisaient une liste
de mots de passe constituée par un hacker et diffusée
sur de nombreux sites traitant de piratage informatique.
Ce hacker, plus doué que ses congénères,
avait réussi à casser le système de Multimania, et y avait
implanté un cheval de Troie (Netbus ou Socket) qui
lui a permis de récupérer les mots de passe des utilisateurs
du site de communauté.
Contacté par téléphone, Michel Meyer,
PDG de Multimania, nous a certifié avoir eu connaissance
de la faille de sécurité à l'origine
de la liste et l'avoir résorbée depuis (procédure
SSL) mais par contre, ignorer totalement qu'une telle liste
circulait sur le Web. "Nous allons creuser cette affaire
et nous envisageons de porter plainte contre X", a affirmé
Michel Meyer, expliquant que si les fichiers logs ne permettent
de retrouver le hacker, d'autres moyens seraient mis en oeuvre...
Le responsable de Multimania a aussi vivement critiqué
l'attitude de Damien Bancal, précisant que la diffusion
de la liste était illégale.
De plus, de nombreuses personnes utilisent le même login
et mot de passe sur plusieurs sites. Si leur mot de passe
a été changé sur Multimania, il ne l'est
pas sur d'autres (mails gratuits, chats et bien d'autres).
Damien Bancal a certifié avoir attendu la sécurisation
de Multimania avant de diffuser la liste et avoir vainement
tenté de joindre Michel Meyer...
Si la véracité de la liste n'est pas à
remettre en cause, son origine reste douteuse: le Journal
du Net qui se l'est procurée l'a testée et a
remarqué que 20% des logins n'existaient plus (pour
une liste datant en théorie d'un mois) alors que Multimania
ne supprime pas les comptes de ses abonnés, même
inactifs. Autre bizarrerie: la liste diffusée ne comprend
que 70 000 logins, ce qui correspond selon Michel Meyer à
l'état de Multimania au début de janvier 99.
Enfin, parmi les membres, on retrouve beaucoup d'ex-mygaliens
ce qui pourrait laisser penser que la liste a été
volée au moment de la fusion entre Multimania et Mygale...
[Alain Steinmann,
JDNet]
Au
sommaire de l'actualité
|
|