Toujours plus de questions semblent se poser à propos de la soi-disant découverte par l’entreprise américaine Hold Security du vol d’1,2 milliard de mots de passe.
L’annonce selon laquelle 1,2 milliard de mots de passe environ auraient été dérobés par un gang de voleurs russes, ‘CyberVor’ (des teenagers ou les autorités russes, le doute est permis), a été accueillie avec méfiance, voire avec scepticisme par plusieurs experts en sécurité, notamment sur le blog du gourou en sécurité Bruce Schneier. Non seulement, Hold Security ne publie pas la liste des mots de passe dérobés, mais elle n’indique pas non plus s’il s’agissait d’informations assurément désuètes. A l’inverse et contrairement à ce qui se fait habituellement, de l’argent est demandé aux personnes pour vérifier s’ils figurent sur cette liste. Un service qui n’aurait du reste pas encore démarré. Schneier en fait la description suivante: “Oui, les entreprises de sécurité aiment monter une menace en épingle, afin de vendre leurs produits et services. Mais cela va aussi plus loin jusqu’à vouloir tenter de créer la panique, puis d’en profiter.” De plus, le gang n’aurait commis cet acte que pour envoyer du spam et non pour accomplir la moindre forme d’infraction, ce qui est considéré également comme étrange. En outre, les quantités changent en fonction de qui les lance.
Fiable?
Alex Holden, le chercheur d’Hold Security, vit et travaille dans la région de Milwaukee (dans l’état du Wisconsin), et un article paru dans le journal local, le Milwaukee-Wisconsin Journal Sentinel , http://www.jsonline.com/business/debate-swirls-around-security-expert-alexander-holden-b99325583z1-270240091.html, signale entre autres des inexactitudes sur le CV d’Holden au niveau de sa formation, dans le but assurément de remettre en question sa fiabilité. Holden y reconnaît le problème et admet en effet avoir suivi des cours à l’université, sans y avoir terminé ses études.
Dans cet article, Holden lui-même affirme par ailleurs qu’il est habilité à demander de l’argent pour des mentions de fuites de données car dans des cas précédents, les entreprises ont bien été informées, après quoi “la plupart ont dit merci et salut, sans même s’informer sur nos services, sans rien faire, ce qui est naturellement leur droit. […] Mais comment alors devons-nous nous comporter dans ce genre d’affaires?”
La conclusion finale (provisoire) ne peut être que de considérer en effet cette annonce avec scepticisme. De plus, cet incident souligne une fois encore la nécessité de la création d’une législation encore plus claire et assurément plus stricte. En Europe, il conviendrait ainsi de savoir quelles procédures doivent être de préférence suivies en cas de fuite de données et de vol de mots de passe, d’identités électroniques, etc.
