Piratage : le service de commentaires Disqus révèle avoir été attaqué en 2012

Disqus est un service populaire pour les commentaires. Il est utilisé par de nombreux sites et intègre plusieurs fonctionnalités, dont le fait de se connecter une fois pour pouvoir commenter partout avec le même compte. Le système est fort pratique, mais voilà que Disqus annonce une mauvaise nouvelle : il a été piraté.

Le piratage remonte à 2012, mais Disqus a seulement été alerté de la faille ce jeudi et a décidé d’être transparent à ce sujet en rédigeant un billet sur son blog cette nuit. Le service révèle que les hackers ont réussi à faire un snapshot de la base de données des utilisateurs et ont ainsi pu récupérer les noms utilisés sur Disqus, les adresses email, les dates d’inscriptions et les dernières dates de connexions pour 17,5 millions d’utilisateurs. Par ailleurs, les mots de passe d’un tiers des utilisateurs ont aussi été récupérés, mais ils sont hashés avec SHA1, ce qui signifie qu’ils n’étaient pas écrits noir sur blanc et que les hackers devaient les déchiffrer pour les deviner. Toutes les informations récoltées se situent entre 2007 et 2012.

Selon les dires de Disqus, il n’y a pas eu de connexions non autorisées avec les identifiants récupérés. Mais le service a toutefois décidé de réinitialiser les mots de passe des comptes présents dans la liste par précaution. Les utilisateurs concernés sont ou vont être contactés par Disqus à ce sujet. Il invite par ailleurs les utilisateurs à changer leur mot de passe sur les autres services qui partagent le même que celui utilisé sur Disqus.

Pour tenter de rassurer les utilisateurs, Disqus assure qu’il a fait de nombreux changements depuis 2012 au niveau de la sécurité. L’algorithme utilisé pour hasher les mots de passe a été changé pour bcrypt contre SHA1 auparavant par exemple.