La base de données clients de eBay a été « intrusée », laissant sans défense près de 145 millions de possesseurs de comptes inscrits sur ce site d’e-commerce. L’attaque, précise le communiqué US, a été rendue possible grâce au vol préalable d’identifiants d’employés de l’entreprise. C’est donc via le réseau interne que s’est perpétré le vol massif.
Le communiqué en langue française, en revanche, est un peu plus inquiétant. Il précise notamment « Pensez à utiliser des mots de passe différents pour tous vos sites et tous vos comptes. Si votre mot de passe est identique, prenez le temps de le changer partout ». Ce qui, sur le coup, semblait indiquer assez clairement que les hash des mots de passe n’étaient pas salés. Car, à moins de vouloir faire passer un message subliminal, à quoi d’autre pourrait bien servir un « conseil en matière de sécurité informatique » émis de la part d’une entreprise qui n’a pas su garantir ladite sécurité. Et ce malgré les formules émaillant le début du communiqué telles que « Nous accordons une importance primordiale à la sécurité de notre site ».
Une simple analyse des habitudes d’usage tend à prouver que la majorité des clients des grands sites marchands (eBay parmi tant d’autres) utilisent les mêmes identifiants et mots de passe avec les services de payement en ligne, Paypal notamment. Si l’hypothèse du non-salage des hash stockés par eBay se confirme, les usagers devront en priorité surveiller l’activité de leurs comptes et redoubler de méfiance envers tout email de phishing visant à récupérer les codes CVV.
C’est beaucoup plus inquiétant quand c’est un site d’e-Commerce qui est touché, surtout quand c’est un géant comme eBay. Pour les mots de passes, ça ne m’a pas pris trop de temps car j’utilise Lastpass et il s’en est occupé pour moi. Cet outil dispose d’une fonction anti-phishing mais je ne sais pas si c’est suffisant pour être à l’abri. En tous cas, il faut bien prendre au sérieux la sécurisation de ses coordonnées en ligne avec toutes les failles qu’on est entrain de découvrir, et tous ces géants qui se font attaquer un à un (Sony, Adobe, Apple…).