Ce qu’il faut savoir sur la fuite de données de Reddit

Reddit est un site Web populaire conçu pour la discussion, le partage d’informations et la création de contenu social. Figurant parmi les 10 plus grands sites Web mondiaux, il a pour slogan : « Vous donner le meilleur d’Internet en un seul lieu ».

Avec plus de 234 millions d'utilisateurs uniques, la plate-forme se caractérise par une communauté engagée, ce qui signifie aussi qu'elle contient une mine de données de consommateurs. Reddit a annoncé il y a quelques jours que ses systèmes avaient été piratés en juin dernier, exposant ainsi potentiellement les données de ses utilisateurs.

Annonçant la fuite dans sa rubrique ‘r/announcements’, Reddit a informé les utilisateurs que ses systèmes internes ont été consultés par des pirates entre le 14 et le 18 juin dernier. Les cybercriminels ont réussi à contourner l'authentification à deux facteurs via SMS que l'entreprise avait mise en place pour accéder aux données des utilisateurs. Les informations potentiellement dérobées comprennent des adresses e-mail actuelles et une sauvegarde de la base de données 2007 de Reddit contenant d'anciens mots de passe hachés et salés (autrement dit des mots de passe qui n'ont pas été stockés en clair). De plus, les aperçus des emails envoyés en juin dernier ont également été consultés par les pirates informatiques.


Quelles sont les mesures possibles pour endiguer cette fuite de données ?

Pour le moment, le nombre d'emails et de mots de passe impactés n'est pas encore exactement connu, mais il est primordial que les utilisateurs de Reddit (en particulier ceux qui ont rejoint Reddit en 2007) commencent à prendre des mesures pour assurer la sécurité de leurs infos personnelles.

Les utilisateurs ayant rejoint Reddit en 2007 ou avant, doivent changer leur mot de passe immédiatement. Il faut alors s’assurer de définir un nouveau mot de passe plus fort et donc difficile à pirater pour les cybercriminels. Pour cela, il faut opter pour l’inclusion de chiffres, de lettres minuscules et majuscules, ainsi que de symboles. Chacun doit garder en tête que plus le mot de passe est complexe, plus il sera difficile à cracker. Éviter, bien entendu, les mots de passe communs et faciles à cracker comme "12345" ou "mot de passe".

Surveiller les mails et les messages suspects. Si par exemple, vous recevez un courriel d'un condensé de Reddit en juin, il y a de fortes chances que le pirate ait votre adresse électronique. Les cybercriminels peuvent utiliser ces renseignements volés pour hameçonner les mails et utiliser des techniques d’ingénierie sociale. Ainsi, si l’utilisateur voit quelque chose de douteux ou d'une source inconnue dans sa boîte de réception emails, il lui faudra éviter de cliquer sur les liens fournis. Mieux vaut simplement supprimer entièrement le mail ou le message.

Enfin, il est préférable de ne pas se fier uniquement à l'authentification à deux facteurs via SMS (2FA). La leçon à tirer de cette fuite de données de Reddit est que l'authentification à deux facteurs par SMS ne suffit plus pour sécuriser les données. En réalité, le SMS est l'une des formes les plus faibles de la 2FA. Afin de verrouiller les données sur nos différents appareils, il est préférable d'utiliser une authentification à deux facteurs basée sur des applications, comme Google Authenticator.

L’exemple de Reddit en est un parmi tant d’autres. Ce nouveau cas de fuite de données démontre combien le comportement sur les réseaux sociaux et sur le Web nécessite une prise de conscience individuelle et collective des menaces existantes et potentielles.