La plateforme d’hébergement d’images annonce avoir été victime d’une fuite de données en 2014. Mots de passe et adresses mail ont été subtilisés. A l’époque, la société utilisait l’algorithme SHA-256 pour chiffrer les mots de passe de ses utilisateurs.
Vendredi, Imgur a averti ses utilisateurs que leurs données étaient possiblement dans la nature. La veille, le site, célèbre plateforme d’hébergement d’images, a été notifié par Troy Hunt, non moins célèbre chasseur de fuites de données, que les adresses mails et mots de passe de 1,7 million d’utilisateurs étaient compromis.
« Le 24 au matin, nous avons confirmé qu’environ 1,7 million de comptes ont été compromis en 2014 » écrit Roy Sehgal, le COO d’Imgur. Selon lui, les informations fuitées ne concernent que les adresses email et les mots de passe des comptes affectés, Imgur ne demandant au moment de l’inscription aucune information susceptible d’identifier les utilisateurs, qu’il s’agisse de leur nom ou de leur numéro de téléphone.
SHA-256 en cause
La société explique continuer son enquête : elle n’est pas encore en mesure de donner les raisons de cette fuite. Toutefois Roy Sehgal suppute que les mots de passe stockés dans les bases de données d’Imgur étaient hachés en utilisant l’algorithme SHA-256, considéré comme obsolète. Si Imgur utilise bcrypt depuis l’an dernier, l’attaque a eu lieu en 2014, avant l’implémentation du nouvel algorithme. Il est donc possible que le chiffrement ait été cassé simplement par force brute.
Les utilisateurs touchés ont été notifiés de la brèche et de la fuite de leurs données ce week-end, Imgur les invitant à réinitialiser leur mot de passe. L’entreprise s’excuse platement et annonce la tenue prochaine d’un audit de sécurité interne de ses systèmes et procédures.