Sécurité des comptes membres : changement de mot de passe demandé

Nous avons observé au début de l’an­née une recru­des­cence des tenta­tives d’usur­pa­tion d’iden­tité de nos membres, que cela soit pour poster des messages auto­ma­tiques dans les forums, ou plus récem­ment pour tenter de poster des arnaques dans la section des petites annonces.

En consé­quence, il sera auto­ma­tique­ment demandé aux AF-ien·­ne·s n’ayant pas actua­lisé leur mot de passe depuis plus d’un an, de procé­der au chan­ge­ment de celui-ci à leur prochaine connexion. 

Pourquoi mettons-nous en place cette mesure contrai­gnante ?

Nos inves­ti­ga­tions ont montré que des attaquants avaient eu accès à un certain nombre de données de comptes d’uti­li­sa­trices et d’uti­li­sa­teurs d’Au­dio­fan­zine, utili­sant parfois le pseu­do­nyme, parfois l’adresse e-mail de contact pour tenter de se connec­ter, et saisis­sant direc­te­ment le mot de passe pour tenter de se connec­ter. Si le mot de passe n’est pas le bon, la tenta­tive d’usur­pa­tion d’iden­tité est immé­dia­te­ment aban­don­née.

Notre hypo­thèse privi­lé­giée est qu’il s’agit de l’ex­ploi­ta­tion d’une fuite de données person­nelles, dont nous sommes aujour­d’hui certains qu’elle provient d’une faille de sécu­rité externe à Audio­fan­zine. Nous en voulons pour preuve que de nombreux autres sites, fran­co­phones ou non, ont eu à subir exac­te­ment les mêmes attaques que nous, avec entre autres les mêmes messages postés que sur nos forums. Par ailleurs, un audit de sécu­rité infor­ma­tique interne minu­tieux n’a pas réussi à mettre en évidence un quel­conque accès frau­du­leux à nos données.

Nous n’avons pas pu dater préci­sé­ment la fuite de données person­nelles concer­née, mais pour les AF-ien·­ne·s ayant récem­ment actua­lisé leurs mots de passe (moins d’un an), nos jour­naux de connexion montrent que les bots ou utili­sa­teurs frau­du­leux  n’ont pas été capables d’ac­cé­der aux comptes concer­nés.

Nous n’avons pas non plus pu iden­ti­fier avec certi­tude l’ori­gine de la fuite de données concer­née, l’hy­po­thèse selon nous la plus probable, est une attaque réus­sie d’un logi­ciel ou d’un plug-in de navi­ga­teur dont la fonc­tion serait de recen­ser et centra­li­ser des mots de passe.

Ce que cela implique : Pour une propor­tion très faible d’uti­li­sa­teurs d’Au­dio­fan­zine, une liste d’emails et de mots de passes asso­ciés est vrai­sem­bla­ble­ment dans la nature, et est exploi­table pour poten­tiel­le­ment usur­per leur iden­tité, et pas forcé­ment unique­ment pour se connec­ter à Audio­fan­zine. Si vous n’avez pas changé de mot de passe depuis un certain temps (plus d’un an), si vous partagé / avez partagé ce mot de passe entre plusieurs sites, vous êtes poten­tiel­le­ment concer­nés.

Pour ce qui est de votre compte utili­sa­teur sur Audio­fan­zine, nous avons choisi de vous obli­ger à actua­li­ser votre mot de passe si vous ne l’avez pas fait depuis plus d’un an. Par ailleurs, nous vous recom­man­dons aussi de chan­ger de mot de passe si vous ne l’avez pas fait depuis plus d’un an, sur les sites où vous auriez utilisé le même mot de passe que sur Audio­fan­zine en parti­cu­lier.

Pour former un mot de passe robuste, l’ANSSI et la CNIL préco­nisent de suivre l’une de ces trois recom­man­da­tions :

1. D’uti­li­ser un mot de passe mélan­geant majus­cules, minus­cules, chiffres et carac­tères spéciaux (oui, les 4 types de carac­tères) d’une longueur de 12 carac­tères au mini­mum
2. OU d’uti­li­ser un mot de passe mélan­geant majus­cules, minus­cules, chiffres et mais sans carac­tères spéciaux d’une longueur de 14 carac­tères au mini­mum
3. OU d’uti­li­ser une phrase en guise de mot de passe utili­sant au mini­mum 7 mots

Impor­tant : n’uti­li­sez pas de mots du diction­naire, même de façon obfusquée, ou dans le cas d’une phrase mot de passe un extrait de texte connu.

P.S. Evidem­ment… n’uti­li­sez pas le même mot de passe que précé­dem­ment… hein ?