Vous avez oublié votre mot de passe Myspace ? Il suffit d’un nom, d’un nom d’utilisateur, d’une DoB pour y accéder – et à n’importe qui d’autre aussi

Posted by admin Articles

Le processus de récupération de compte de Myspace est désespérément défectueux, selon un chercheur en sécurité.

Leigh-Anne Galloway, de Positive Technologies, est tombée sur le problème en tentant d’accéder à son compte et de le supprimer en avril dernier.

« J’ai découvert un processus commercial si défectueux qu’il mérite sa propre place dans l’histoire », a-t-elle expliqué dans un billet de blog, publié lundi.

Myspace ne requiert qu’un nom, un nom d’utilisateur et une date de naissance valides associés à un compte pour retrouver l’accès à ce compte – et c’est tout. Pas d’email de confirmation. D’autres détails sont demandés dans le formulaire de récupération, mais les remplir n’est pas nécessaire pour changer le mot de passe et prendre le contrôle d’un compte, a découvert Galloway.

Malgré le signalement du problème à Myspace il y a des semaines, tout ce que Galloway a reçu depuis a été une réponse automatisée. Myspace n’a pas résolu le problème, un autre chercheur en sécurité, Scott Helm, l’a vérifié à la fin de la semaine dernière.

Il a déclaré à El Reg : « La récupération du compte sur Myspace prend effroyablement peu d’informations – la partie encore pire est qu’ils ne vérifient pas les champs d’email. Vous pouvez réinitialiser avec le nom complet et le nom d’utilisateur, que vous pouvez obtenir sur la page du profil, et la date de naissance, qui peut être facilement trouvée ou devinée. »

La vulnérabilité permet à n’importe qui d’accéder à n’importe quel compte Myspace, avec seulement ces trois informations. El Reg a contacté le propriétaire de Myspace, Time Inc, pour un commentaire. Nous n’avons pas encore eu de réponse.

Est-ce vraiment pertinent ?

Myspace n’est plus le méga-monstre des réseaux sociaux qu’il a été, bien que ce ne soit pas une excuse pour une sécurité médiocre. Et pourtant, l’année dernière, il est apparu qu’il avait réussi à faire fuir les détails de 360 millions de comptes Myspace.

En réponse à la vente en ligne des identifiants volés des utilisateurs, Myspace a déclaré avoir « invalidé tous les mots de passe des utilisateurs pour les comptes concernés créés avant le 11 juin 2013 sur l’ancienne plateforme Myspace ». Elle a ajouté qu’elle « utilisait des protocoles avancés, notamment des hachages à double salage » afin de protéger les comptes des utilisateurs.

De tels efforts sont rendus sans objet lorsqu’il est possible de prendre le contrôle d’un compte avec quelques informations de base et sans connaître le mot de passe.

« Myspace est un exemple du type de sécurité bâclée dont souffrent de nombreux sites – mauvaise mise en œuvre des contrôles, absence de validation des entrées de l’utilisateur et responsabilité nulle », conclut Galloway. « Alors que Myspace n’est plus le site de médias sociaux numéro un, ils ont un devoir de diligence envers les utilisateurs passés et présents. »

Galloway a déclaré à El Reg que Myspace était « comme un cimetière de données personnelles ». Ceux qui ont encore un compte sur Myspace devraient le supprimer immédiatement, a-t-elle conseillé.

Myspace était un goliath du Web 2.0, avec un fort accent sur la musique : c’était un terrain de jeu internet criant et laid pour les fans et les groupes non signés. Puis il a été complètement écrasé par Facebook. Depuis, il est passé par une série de propriétaires différents, dont AOL et News Corp, entre autres.

Il a perdu en popularité au point d’être actuellement classé en dehors des 1 000 premiers sites Web américains par le trafic, et seulement 3 374e au niveau mondial, selon les derniers chiffres de l’agence de statistiques Web Alexa. ®

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.