Cette page Facebook donne des conseils sur la façon de créer un mot de passe plus sûr. Mais il semble que le PDG du réseau social lui-même, Mark Zuckerberg, ne les ait pas suivis sur Twitter, Pinterest et LinkedIn. Ce week-end, Zuckerberg a fait détourner ces comptes pour avoir utilisé le mot de passe “dadada”.
L’accès a été effectué par le groupe de hackers OurMine, qui a obtenu le mot de passe de l’exécutif pour la fuite de LinkedIn en juillet 2012. Dès lors, ils ont testé la même combinaison sur d’autres réseaux sociaux de Zuckerberg, dont Twitter et Pinterest. Engadget a réussi à capturer l’événement :
Juste au-dessus, Zuckerberg a refusé l’accès. Quelques minutes plus tard, le groupe a pu prouver par un tweet (et des changements dans Pinterest) que les comptes avaient été envahis. Au départ, ils ont affirmé que le compte d’Instagram avait également été compromis, mais la société a déclaré dans une note adressée à VentureBeat qu’aucun système lié à Facebook n’avait été consulté. “Les comptes concernés sont à nouveau en sécurité”, a-t-il ajouté.
Selon o Quartz, le groupe est connu pour le piratage informatique à des fins d’autopromotion, comme il l’a fait avec le youtuber Mark Fischbach (compte Markiplier), qui compte 13 millions de membres. Ils s’en sont vantés et ont rapporté que Fischbach a gagné 656 000 euros US en un mois, selon la page Analyse de YouTube. Ce type d’action est différent de celle d’Anonymous, par exemple, qui prétend faire de l'”activisme de hacker”.
En ce qui concerne Zuckerberg, cependant, OurMine a déclaré avoir accédé aux comptes juste pour “tester la sécurité” du PDG. Le compte Twitter original du groupe (qui apparaît dans les images ci-dessus) a été suspendu. Dans un nouveau profil, ils se sont plaints que la punition n’était donnée que par essayant de “rendre les comptes de Zuckerberg plus sûrs”.
Bien que le mot de passe ait été obtenu par une fuite et non par la force brute, de simples combinaisons comme celles-ci ne sont pas difficiles à casser. Il ne faudrait que 2 minutes et 41 secondes à un ordinateur pour définir le mot de passe à 6 caractères en utilisant uniquement l’alphabet, soit environ 20 heures en tenant compte des lettres, des chiffres et des symboles.
Plusieurs erreurs sont en jeu ici. L’un d’eux, comme l’indique Facebook lui-même, ne réutilise pas le même mot de passe sur plusieurs sites différents. Une autre est la combinaison facile, qui ne serait pas acceptée comme mot de passe pour un compte sur le réseau social lui-même. Dans cet article, o PerlmOl a fait valoir que la meilleure façon de rester en sécurité sur le web est d’utiliser un gestionnaire de mots de passe (qui crée également des combinaisons très fortes).
Il est possible que Zuckerberg se soit très peu soucié de ces comptes (celui de Twitter n’avait que 19 tweets) et qu’il n’ait donc pas appelé le mot de passe choisi. Mais c’est un autre exemple de la façon dont les gens continuent à utiliser des mots de passe ridiculement faciles.