Le célèbre site communautaire Reddit a informé ses 234 millions d’utilisateurs qu’il a subi une attaque informatique en juin dernier.
L’information a sans doute fait grincer des dents chez les utilisateurs de Reddit. Ce 1er août, un administrateur du célèbre forum aux 234 millions d’utilisateurs a annoncé, dans un message posté directement sur Reddit, que les comptes de certains employés de l’entreprise ont été piratés, entre le 14 et le 18 juin dernier. “Nous avons eu un problème de sécurité. Voilà ce que vous avez besoin de savoir”, annonce le communiqué de manière lapidaire dans son intitulé.
Sauvegardes, code, historiques…
Comme le rapporte Le Monde, l’administrateur explique que le ou les pirates “ont eu accès à des fichiers en lecture seule, qui contenaient des sauvegardes, du code et des historiques”. Et il détaille les personnes susceptibles d’être concernées par ce piratage : celles qui avaient un compte Reddit avant mai 2007, et les abonnés à la newsletter qui ont reçu un mail signé “noreply@redditmail.com” entre le 3 et le 17 juin.
If you've been on Reddit since 2007 and haven't change your password, do it right now. The company has announced hackers gained access to "all Reddit data from 2007 and before" https://t.co/j7lSLZOrcf
— WIRED (@WIRED) August 1, 2018
De quelles informations sensibles disposent les pirates ? D’après l’administrateur de Reddit, ils peuvent connaître les pseudonymes des utilisateurs, et les adresses mails associées. Or l’anonymat est une règle d’or de Reddit, à laquelle ses utilisateurs sont particulièrement attachés. C’est d’ailleurs ce qui a fait la réputation du forum – c’est ainsi que des photos de célébrités nues piratées sont apparues sur le site en 2014, divisant les redditeurs.
Il est conseillé aux utilisateurs de changer de mot de passe
Dans certains cas, les pirates peuvent aussi savoir à quelles sous-sections de Reddit les utilisateurs sont abonnés, et avoir leurs mots de passe chiffrés. Conséquences : l’administrateur conseille aux utilisateurs de changer leurs mots de passe, et de supprimer les données (messages, historiques de navigation) qui leurs sembleraient gênantes si elles étaient associées à leur adresse mail.
Ce qui attire le plus l’attention des Redditeurs dans cette affaire est le moyen utilisé par le pirate informatique. Il aurait en effet contourné l’authentification forte par SMS.
https://twitter.com/aeris22/status/1024958186758045696