Fuite de données FriendFinder Networks

Le 13 novembre 2016, des chercheurs en sécurité ont révélé que FriendFinder Networks (FFN) — exploitant d'AdultFriendFinder, Cams.com, Penthouse.com et de sites pour adultes et de rencontres associés — avait été victime d'une fuite exposant 412 millions de comptes. Elle s'est classée comme la plus grande fuite divulguée de 2016 et l'une des plus sensibles jamais survenues, compte tenu de la nature explicitement pour adultes des services concernés.

Ce qui s'est passé

L'intrusion provenait d'une vulnérabilité d'inclusion de fichier local (LFI), une faille qui permet à un attaquant d'amener un serveur web à exécuter ou à exposer des fichiers qu'il ne devrait pas. Un chercheur opérant sous le pseudonyme « Revolver » avait rendu la vulnérabilité publique en octobre 2016 ; les attaquants l'ont utilisée pour atteindre les bases de données de FFN et exfiltrer le contenu de six bases de données réparties sur les réseaux de l'entreprise, y compris des enregistrements d'utilisateurs actuels et historiques.

Les pratiques de gestion des données derrière ces bases ont aggravé les dégâts. Selon l'analyse du vidage, les mots de passe étaient stockés soit en clair, soit sous forme de hachages SHA-1 non salés, les valeurs SHA-1 étant calculées sur des mots de passe mis en minuscules. Les chercheurs ont indiqué qu'environ 99 % de tous les mots de passe du jeu de données étaient finalement cassables. La fuite a également révélé qu'environ 15 millions de comptes « supprimés » par les utilisateurs n'avaient jamais été réellement effacés et demeuraient dans les systèmes de FFN.

Impact

• 412 214 295 comptes ont été exposés sur l'ensemble des propriétés de FFN, dont environ 339 millions liés à AdultFriendFinder seul — le plus gros site du butin.
• Les champs exposés comprenaient noms d'utilisateurs, adresses e-mail, mots de passe (en clair ou en SHA-1 faible), adresses IP et détails d'adhésion aux sites susceptibles de révéler la participation à des services pour adultes.
• Parmi les mots de passe d'AdultFriendFinder, plus de 103 millions étaient stockés en clair et environ 232 millions en SHA-1 non salé.
• La présence de comptes prétendument supprimés signifiait que d'anciens utilisateurs convaincus d'avoir effacé leurs données restaient exposés — une préoccupation particulière pour une plateforme dont la simple association comportait un risque réputationnel et de chantage.
• Il s'agissait de la deuxième fuite majeure de FriendFinder Networks en un peu plus d'un an, après un incident de 2015 ayant exposé plusieurs millions de comptes AdultFriendFinder.

Pourquoi c'est important

La fuite FriendFinder est l'exemple canonique d'une exposition de données sensibles aggravée par un stockage négligent. Des mots de passe en clair et du SHA-1 non salé en 2016 — des années après que LinkedIn et MySpace en avaient démontré les conséquences — traduisaient un échec fondamental à adopter les normes de base du hachage de mots de passe. La conservation des comptes « supprimés » violait une attente fondamentale des utilisateurs et a mis en évidence l'écart entre la suppression en tant qu'action d'interface et l'effacement réel des données.

Parce que les sites concernés traitaient de contenus intimes et pour adultes, la fuite comportait un risque d'extorsion et de réputation démesuré pour les victimes, au-delà du danger de bourrage d'identifiants commun à toutes les fuites. Elle demeure un cas de référence illustrant pourquoi les plateformes manipulant des données personnelles sensibles doivent combiner stockage cryptographique moderne, correction rapide des failles applicatives web et pratiques réelles de suppression de données — et le préjudice accru lorsque l'une de ces conditions fait défaut.