Hacker par Brian Klug

Alibaba: près de 21 millions de comptes piratés

D’après le rapport du média officiel chinois The Paper cité par Reuters, 20,59 millions de comptes de clients de Taobao, la filiale d’Alibaba, ont été piratés en octobre 2015.

Taobao est un site de commerce en ligne direct de vendeur à acheteur, comme eBay.

Alibaba s’en serait aperçu un mois après, et aurait prévenu les autorités. Les auteurs du délit auraient été arrêtés. Aujourd’hui, un porte-parole de la firme publie le communiqué suivant* :

« Le système d’Alibaba n’a jamais été piraté. Cet incident concernait des suspects utilisant des comptes utilisateurs volés sur d’autres sites, et ayant tenté de les faire correspondre à des comptes Taobao. Notre équipe de sécurité, de classe mondiale, a détecté ces tentatives criminelles et a réduit leurs conséquences en rappelant aux utilisateurs de changer de mot de passe, et de ne pas utiliser les mêmes pour tous les services. »

D’après un rapport du Ministère de la Sécurité Publique, les pirates auraient eu à disposition une liste de 100 millions de noms d’utilisateur et de mots de passe volés sur différents sites Web.

Ils auraient utilisé le propre service cloud d’Alibaba pour tenter de se connecter avec ces informations sur Taobao.

Dans ce type de marché de client à client, la réputation est primordiale pour décider le client à prendre le risque de passer commande à un inconnu.

Il est impossible de se contenter de créer des comptes frauduleux pour tenter d’escroquer des acheteurs potentiels : encore faut-il que ces comptes aient bonne réputation.

C’est exactement ce pourquoi les comptes piratés ont été utilisés : donner des retours positifs sur des transactions factices effectuées avec les comptes escrocs, pour asseoir leur réputation.

Pour le propriétaire d’un compte piraté, la situation peut empirer si le compte a gagné une enchère, à sa charge.

 

Pour les utilisateurs, la morale est simple et déjà connue : il faut utiliser des mots de passe non triviaux, et il faut utiliser un mot de passe par service, au lieu de réutiliser un même mot de passe-partout. Et si possible utiliser une authentification à facteur multiple.

On pourrait reprocher à l’équipe de sécurité ‘de classe mondiale’ d’Alibaba de ne pas avoir découvert plus vite cette attaque par force brute. Au minimum, il a fallu des dizaines, et probablement des centaines de millions de tentatives de connexion aux pirates. Suite à la publication du rapport, le cours de l’action Alibaba a perdu près de 4 %.

Enfin, on peut se demander où donc les pirates ont bien pu acheter une liste de 100 millions de comptes piratés, avec les mots de passe correspondants…

 

* Traduction: Le Diligent