eBay victime d’un piratage ayant entraîné le vol des données des utilisateurs

**Hinault Romaric** · 21/05/2014, 19h36

eBay victime d’un piratage ayant entraîné le vol des données des utilisateurs,
la firme recommande un changement de mot de passe

eBay, le géant de la distribution en ligne, a annoncé ce mercredi 21 mai avoir été victime d’une cyberattaque ayant entrainé l’accès aux données des utilisateurs.

L’attaque aurait été perpétrée entre fin février et début mars. Le site de commerce en ligne affirme que les pirates auraient dérobé les informations contenues dans l’une de ses bases de données. Il s’agirait notamment des informations personnelles des utilisateurs telles que les mots de passe chiffrés, les adresses mails, adresses physiques, numéros de téléphone et date de naissance.

La société, qui tente de rassurer les utilisateurs en minimisant la portée de cette attaque, a affirmé que rien ne prouve que les pirates aient eu également accès à des informations financières ou liées à des cartes bancaires. Ces données seraient stockées séparément et chiffrées.

eBay n’a pas dévoilé le nombre d’utilisateurs touchés par l’attaque et on ne sait pas si l’infraction est liée à la faille Heartbleed d’OpenSSL, qui a exposé de milliers de sites qui utilisent la solution de chiffrement. Des enquêtes sont en cours par les experts en sécurité de la firme pour trouver l’origine de la faille.

Pour l’instant, la firme invite les utilisateurs à changer au plus vite leur mot de passe afin de protéger leurs informations personnelles. Pour ceux qui utilisent le même mot de passe pour accéder à plusieurs services, eBay conseille de le changer également sur ces autres sites.

Cette nouvelle attaque n’est pas sans rappeler l’affaire Target. L’enseigne américaine de grande distribution avait fait parler d’elle lors de la vaste cyberattaque dont elle a été victime il y a 5 mois. Au cours de celle-ci, près de 40 millions de cartes bancaires ont été piratées et quelques 70 millions d'autres données personnelles volées.

Source : eBay

Et vous ?

Êtes-vous un utilisateur d'eBay ? Qu'en pensez-vous ?

**Jarodd** · 21/05/2014, 20h28

Pour l’instant, la firme invite les utilisateurs à changer au plus vite leur mot de passe afin de protéger leurs informations personnelles.

Ah bon ? Je ne dois pas être un utilisateur important alors, je n'ai rien reçu.

**miky55** · 21/05/2014, 21h25

La question est surtout pourquoi demandent ils aux utilisateurs de changer leur mots de passe également sur les autres sites? Les hash sont stockés en md5 ou sha1

? Les hackers ont placé une backdoor qui a récupéré les mdps pendant des semaines?

**Neckara** · 22/05/2014, 07h34

Bonjour,

Envoyé par miky55

Les hash sont stockés en md5 ou sha1

?

D'après l'article, j'ai pas l'impression que les mots de passes aient été hashés...

**grunk** · 22/05/2014, 10h19

Envoyé par Jarodd

Ah bon ? Je ne dois pas être un utilisateur important alors, je n'ai rien reçu.

http://www.ebayinc.com/in_the_news/s...ange-passwords
Les mails ne sont pas encore (tous) partis

Envoyé par miky55

La question est surtout pourquoi demandent ils aux utilisateurs de changer leur mots de passe également sur les autres sites? Les hash sont stockés en md5 ou sha1

? Les hackers ont placé une backdoor qui a récupéré les mdps pendant des semaines?

Parce que quelque soit la méthode utilisé , on est jamais à l'abris que quelqu'un casse une sécurité que ce soit maintenant ou dans 5 ans et que une bonne partie des gens utilise le même mot de passe partout

**tiresias54** · 22/05/2014, 11h52

Pourtant c'est la base de hasher les mdp non?

**xelab** · 22/05/2014, 17h38

Envoyé par Neckara

Bonjour,

D'après l'article, j'ai pas l'impression que les mots de passes aient été hashés...

Il s’agirait notamment des informations personnelles des utilisateurs telles que les mots de passe chiffrés

**Neckara** · 22/05/2014, 18h47

Envoyé par Neckara

Bonjour,

D'après l'article, j'ai pas l'impression que les mots de passes aient été hashés...

Il s’agirait notamment des informations personnelles des utilisateurs telles que les mots de passe chiffrés

Attention, ce n'est pas parce qu'ils disent "chiffré" (ou plutôt encrypted dans la source), qu'ils ne peuvent pas être hashé.
En effet, je ne pense pas que le grand publique sache ce qu'est un "mot de passe hashé".
Il auraient donc pu utiliser "chiffré" comme "raccourcit" afin d'être compris du grand publique.

**miky55** · 23/05/2014, 11h57

Envoyé par grunk

Parce que quelque soit la méthode utilisé , on est jamais à l'abris que quelqu'un casse une sécurité que ce soit maintenant ou dans 5 ans et que une bonne partie des gens utilise le même mot de passe partout

Ebay affirme que les mdps sont "chiffrés" mais refuse d'en dire plus, c'est plutôt inquiétant et complètement injustifié. Les hackers connaissent fort probablement l'algo utilisé, en communiquant mieux les utilisateurs avertis pourraient juger par eux meme les chances que leurs mdp soient déjà cassé... Et non sha1 et bcrypt ne se valent pas du tout, très peu de chance que ce dernier soit cassé dans les 5 années à venir.

L'autre point important est quelle méthode de salage utilisent-ils? Pour la petite histoire linkedin utilisait sha1 sans aucun salage, 60% des mdp ont été cassés en 2 jours...

Invité · 23/05/2014, 12h51

Salut,

Envoyé par miky55

La question est surtout pourquoi demandent ils aux utilisateurs de changer leur mots de passe également sur les autres sites?

La raison est assez simple car un bonne partie des utilisateurs peuvent avoir tendance à utiliser le même mot passe pour leurs autres comptes à commencer par celui de leur boite mail.

Donc si le mot passe est récupéré et découvert, il peut être facile d'accéder à d'autres services souscrits par l'utilisateur si ce dernier utilise le même mot de passe partout.

**Stéphane le calme** · 02/06/2014, 14h18

eBay : des informations sur des noms d'utilisateurs et les mots de passe associés en vente en ligne,
avez-vous changé votre mot de passe ?

Il y a quelques semaines, l’Américain eBay expliquait avoir été la victime d’une cyber attaque qui a entraîné l’accès aux données de ses utilisateurs. Il s’agissait notamment d’informations personnelles telles que les mots de passe chiffrés, les adresses mail et physiques, des numéros de téléphone ainsi que des dates de naissance. Le spécialiste de courtage en ligne a tout de même tenu à rassurer les 233 millions d’utilisateurs concernés par ce vol en affirmant que rien ne prouve que les pirates aient eu accès aux informations financières ou liées à des comptes bancaires, ces données étant stockées séparément en plus d’être chiffrées.

Cependant, une enquête initialisée par le quotidien Anglais The Sun of Sunday révèle qu’un hacker a entrepris de vendre en ligne des détails de mille comptes britanniques eBay avec des retours positifs de la part de clients satisfaits. Parmi les détails vendus figurent les noms d’utilisateur et les mots de passe qui sont livrés à 24,93 livres Sterling l’unité. Un autre ne réclamait pas moins de 2 100 livres Sterling pour un package comprenant des noms illimités d’utilisateurs ainsi que les mots de passe correspondants. Pour rappel, parmi les comptes utilisateurs concernés, 18 millions sont enregistrés au Royaume-Uni.

Les comptes avec de bonnes notations peuvent, par exemple, être utilisés par des escrocs pour écouler une marchandise en douce sans attirer l’attention ou pour ruiner la réputation du propriétaire du compte. D’ailleurs Peter Ous, un client de 47 ans habitant à Peacehaven (East Sussex ) affirme avoir payé 1 800 livres pour un scooter Vespa à un utilisateur ayant des retours de positifs après des transactions effectuées avec des centaines de clients durant plusieurs années. Il pense désormais avoir été la victime d’une escroquerie et a confié à The Sun of Sunday : « je ne vais pas être remboursé. J’espère que les gens vont le réaliser avant qu’il ne soit trop tard », faisant sans doute allusion au conseil prodigué par eBay de changer de mots de passe sur sa plateforme par mesure de précaution.

EBay va mener une enquête de concert avec les autorités de protection des données des deux côtés de l’Atlantique sur les attaques qui ont entraîné le vol des données de ses clients et espère par la suite améliorer sa stratégie en matière de sécurité. Pour l’instant, les révélations du quotidien Britannique ont pour vocation de montrer à ceux qui ont ignoré jusque-là les recommandations de l’entreprise de courtage en ligne des dangers auxquels ils s’exposent dans le cas où les informations relatives à leurs comptes tombent dans de mauvaises mains.

Source : The Sun of Sunday

Et vous ?

Utilisez-vous eBay ? Avez-vous changé votre mot de passe ?

**Gugelhupf** · 02/06/2014, 15h03

En vente en ligne... sur eBay ?

**dolu02** · 02/06/2014, 15h41

Je veux bien changer de mdp, mais j'ai passé 10 minutes à chercher la page sur eBay et je n'ai pas trouvé!

**Zefling** · 02/06/2014, 18h12

Envoyé par dolu02

Je veux bien changer de mdp, mais j'ai passé 10 minutes à chercher la page sur eBay et je n'ai pas trouvé!

Je l'ai changé la semaine dernière et franchement, j'ai pas plus galérer à trouver un nouveau mot de passe à chercher où le changer. Dès que tu veux te connecter avec l'ancien compte il t'impose de changer.