Fin octobre, Dailymotion s'est fait pirater. Des adresses email et des mots de passe hachés ont été récupérés. La plateforme de streaming nous confirme la situation et demande à ses utilisateurs de changer leur mot de passe par précaution.
Alors que les semaines passent, les failles de sécurité et les fuites continuent de remonter à la surface. Sans atteindre des sommets comme dans le cas de Yahoo, nos confrères de ZDNet.com – qui s'appuient sur des données recueillies par LeakedSource – indiquent que plusieurs dizaines de millions de comptes Dailymotion seraient tout de même concernés.
Des emails et des mots de passe hachés dans la nature
Dans un billet de blog qui vient d'être mis en ligne, Dailymotion reste prudent et explique que « le hack semble être limité », ce qui est assez éloigné de l'annonce de nos confrères. En effet, ces derniers indiquent qu'un pirate « a extrait 85,2 millions d'adresses email et noms d'utilisateurs des systèmes de l'entreprise, et qu'environ un sur cinq - près de 18,3 millions - avait un mot de passe associé, mais qui a été brouillé avec la fonction de hachage bcrypt, les rendant difficiles à craquer », mais pas impossible.
Contacté par nos soins, Dailymotion nous confirme que, « c'est vrai », une fuite de données a bien eu lieu fin octobre suite à un « problème de sécurité », mais sans vouloir nous préciser le nombre de comptes concerné. Si des mots de passe sont bien dans le lot, notre interlocuteur affirme qu'ils sont hachés.
Nous n'avons pas pu obtenir plus de détails pour le moment, si ce n'est que les équipes de la plateforme sont toujours en train d’étudier la question. Il faudra certainement attendre un peu avant d'avoir de plus amples informations sur les tenants et les aboutissants de cette histoire.
Devinez la suite ? Il est recommandé de changer son mot de passe...
Quoi qu'il en soit, Dailymotion recommande, par précaution, à tous ses partenaires et utilisateurs de changer leur mot de passe. Pour cela, il faut se connecter à son compte, utiliser le menu déroulant en haut à droite pour se rendre dans les Paramètres du compte, puis entrer un nouveau mot de passe. Pour les partenaires, des explications sont disponibles ici.
Pour rappel, nous avons publié il y a quelques semaines un dossier sur les gestionnaires de mots de passe. Il comprend une analyse de plusieurs services, ainsi qu'une partie sur les règles à connaitre pour choisir un mot de passe suffisamment robuste.
Commentaires (33)
#1
Elle préfère l’amour en mer … c’est juste une question de tempo !
#2
C’est dispo sur Have I Been Pwned ?
#3
de toute façon, il y a encore des gens qui utilisent Dailymotion ? 
" />
#4
Je me demande ce qui est réellement la cause de cette recrudescence de fuite.
" />.
La montée en puissance des machines, le vieux code qui ne respecte plus l’état de l’art de la crypto ou la révélation de plus en plus systématique des brèches exploitées
#5
Ces sites contiennent les infos leakés? (J’ai découvert du coup hier leakedsource.com, qui indiquerait en fonction d’une adresse mail, d’un pseudo..etc si ces données font parti d’un leak)
#6
OMG
" />
Il y a donc 85 million d’utilisateurs de dailymotion ? Tant que ça ?
Bon le site est vieux, il y en a surement moins qui sont actifs aujourd’hui.
#7
Non mais attendez, elle est vraie cette actu ?
" />
Il y a vraiment 85 millions d’utilisateurs Dailymotion ?
/me s’enfuit loin
EDIT : cramé mais OSEF, c’est mieux.
#8
La cause ? de plus en plus de failles non colmatées et des serveurs veillissants qui ne sont plus maintenus ou dont l’administrateur s’est fait viré (parce qu’il n’y a plus besoin de techs…)
#9
Si toutefois ce n’est pas encore le cas, je suppose que ça ne devrait pas tarder.
En tout cas ça m’intéresse aussi, je ne me souviens même pas si j’avais ouvert un compte sur ce site ou pas… xD
Edit : c’était une réponse au 2e commentaire, mais comme j’ai édité, on dirait que cette mention a disparu.
#10
Bah ouais, je m’en sers régulièrement pour voir si mon adresse est impliqué dans un leak, et oui elle l’est.
" />
Genre dans 6 leak, mais elle a 10 ans.
#11
j’ai découvert qu’hier que ce genre de site existait. Du coup je vais faire quelques recherches
#12
85 millions et 16 selon le préfet
" />
#13
#14
C’est fait !
#15
Ouais, en gros il faut changer de mot de passe sur l’ensemble des sites tous les 3 mois et changer d’email tous les 6 mois si on veut être à l’abris…
#16
Bientôt la source ça s’entendre à Orange ou quoi ? Vu qu’ils ont DM.
" />
#17
Orange n’a plus que 10 %, le reste est à Vivendi.
Sinon, ta phrase ne veut rien dire en français.
#18
Toi t’es le genre à reprendre tout le monde ou pas ? Je voulais dire “s’étendre” et on ne peut pas éditer avec l’application iOS NXI.
#19
Si cela ne te gène pas de ne pas être compris, continue à utiliser des outils inadaptés, pas de problème.
Même en corrigeant comme tu le dis, le sens n’est pas évident :
Bientôt la source ça s’étendre à Orange ou quoi ?
#20
Tu le fais exprès ? “va s’étendre”.
" />
Tu scrutes NXI toute la journée pour reprendre les gens ? Ta vie doit être passionnante. C’est risible d’en faire trois commentaires pour faire semblant de ne pas avoir compris…
#21
Quand je pense que j’ai ouvert un compte Amazon, un compte PriceMinister ou encore un compte Netflix dont je ne me sers plus et qu’il est quasi-impossible de les supprimer (sauf à suivre une procédure digne de la génération “machine à écrire”), je vais bien me faire hacker mes données personnelles un jour ou l’autre.
#22
Possible en effet. Combien sommes-nous à avoir eu des comptes un peu partout, de ne plus s’en servir et de plus avoir possibilité d’y accéder…
" />
#23
#24
de quoi?
#25
Oui, on “fuite” une information : le nom de son compte ou son adresse email.
S’il le souhaite, le service peut alors faire le lien avec l’adresse IP de celui qui fait la requête. Toutefois, n’importe qui peut faire une requête sur n’importe quoi. La fiabilité de la nouvelle information est donc sujette à caution.
De plus, LeakedSource permet de faire une recherche par métacaractère (wild card). Cela permet donc de vérifier la présence d’une adresse email avec un motif relativement générique, sans nécessairement fournir son adresse email exacte.
Enfin, il est clair que les services permettant à n’importre qui de vérifier la présence d’un identifiant associé à un individu sont très problématiques. Cela touche directement à la vie privée, et peut avoir des conséquences désastreuses, comme nous l’a rappelé la fuite chez Ashley Madison.
Heureusement, LeakedSource permet aussi de voir ses données personnelles retirées, via une procédure d’identification, gratuite. Pour l’avoir sollicitée, s’il faut parfois patienter quelques jours, cette procédure de suppression fonctionne.
#26
#27
#28
heureusement que le fichier TES est hautement sécurisé
#29
oui ondulation : dualité onde/particule , le rêve !
#30
On l’attendait celle là, malheureusement pour toi Orange n’a quasi plus rien chez DM… mais bon si on suit ton raisonnement Vivendi c’est Telecom Italia avec Free, donc ça va s’étendre aussi à Free (on peut aller loin comme ça) 
" />
#31
10 % ce n’est presque rien ? Non, ça fait simplement des millions d’euros…
" />
#32
c’est sûr que 10% chez DM ça doit faire quoi 50 millions soit une goutte d’eau quand tu vois la valeur d’Orange. Et même si ils ont des billes là bas, avec 10% tu décides pas de la politique de l’entreprise
#33
idem que jackjack2
" />
" />