Ok, voici une de ces nouvelles inattendues : Kromtech, la société qui développe MacKeeper, un logiciel d’optimisation et de sécurité pour OS X, a laissé sa base de données ouverte à tous malveillante pour y accéder par une IP non protégée. La base de données, qui contient des informations telles que les adresses électroniques et les hachages de mots de passe, stocke les données de 13 millions d’utilisateurs.
MacKeeper apparaît fréquemment sur les bannières, les pop-ups, les vidéos YouTube, les recherches Google, les pages Facebook et les sous-vêtements de tout utilisateur de Mac. Le logiciel promet d’éliminer les fichiers inutiles, d’améliorer les performances de la machine, de récupérer les informations supprimées et de crypter les données importantes. Il dispose également d’un antivirus intégré pour la recherche de logiciels malveillants sur les partitions Windows et les machines virtuelles.
Mais apparemment, la société ne suivait pas les recommandations de sécurité de base. Le chercheur Chris Vickery dit à Forbes qu’il a pu accéder directement à la base de données MongoDB du propriétaire du MacKeeper, en obtenant des informations telles que des noms d’utilisateur, des courriels, des hachages de mots de passe, des numéros de téléphone, des adresses IP, des licences de logiciels et des codes d’activation.
Le simple fait de laisser la base de données exposée sur Internet serait un problème très sérieux, encore plus pour une entreprise qui vend des logiciels de sécurité. Mais il existe une autre vulnérabilité : les hachages de mots de passe étaient enregistrés dans MD5, un algorithme connu pour être faible ; son utilisation n’est plus recommandée pour stocker les mots de passe. Et il n’y avait pas de technique pour renforcer la sécurité, comme le salage.
Kromtech a signalé qu’elle migre du MD5 au SHA?512 et que la vulnérabilité a été corrigée. Dans le blog officiel, l’entreprise révèle qu’une seule personne a pu accéder indûment à la base de données (le chercheur en sécurité lui-même) et que les informations de paiement des clients, comme les numéros de carte de crédit, n’étaient pas menacées car elles étaient traitées par un tiers.
Utilisent-ils MacKeeper ?