La pêche a été bonne pour la société Trustwave qui a découvert 2 millions d'identifiants à plusieurs réseaux sociaux et à des sites web. Elle a averti les sociétés visées. Ainsi, ADP, leader de la gestion de la paie et des ressources humaines, a annoncé qu'il avait procédé à la réinitialisation des mots de passe de 2 400 clients. Mais selon lui, son réseau interne n'a pas été piraté. Facebook, LinkedIn et Twitter ont également réinitialisé les comptes de certains de leurs utilisateurs.

ADP a commencé à réinitialiser certains comptes après avoir été informé de l'existence d'une campagne de phishing visant ses clients. Le phishing ou l'hameçonnage consiste à inciter les gens à divulguer leurs identifiants de connexion ou à installer des logiciels malveillants. Les informations d'identification récoltées sont ensuite transmises à l'attaquant. « À notre connaissance, aucun client d'ADP n'a été affecté par ce vol d'identifiants », a déclaré le fournisseur dans un communiqué.

En début de semaine, Trustwave a déclaré que son groupe de recherche était parvenu à se connecter en mode administrateur à un panneau de contrôle lié au serveur incriminé. Il faisait partie d'un botnet du nom de « Pony ». Le réseau de zombie aurait récolté des informations utilisateurs sensibles dans pas moins de 102 pays.

Une cascade de modification de mot de passe

Facebook dit avoir réinitialisé les mots de passe des comptes affectés. « Même si on ne sait pas encore en détail ce qui s'est passé, nous pensons que les pirates ont ciblé les ordinateurs des utilisateurs à l'aide de logiciels malveillants pour extraire des données directement depuis leur navigateur Internet », a déclaré le réseau social dans un communiqué. Facebook dit que les utilisateurs peuvent activer les deux fonctionnalités « Login Approvals » ou « Approbation de Connexion » et « Login Notifications » ou « Notifications de Connexion » qui leur permettent de savoir si leur compte a été consulté à partir d'un autre navigateur web. La procédure fonctionne avec un mot de passe unique envoyé sur leur téléphone mobile. Il leur permet d'accéder au site.

De son côté, LinkedIn a invalidé les informations d'identification qui correspondaient à celles découvertes par Trustwave. « Nous avons déjà travaillé avec SpiderLabs pour réinitialiser les mots de passe des comptes LinkedIn dont les identifiants apparaissaient sur la liste », a déclaré par courriel un porte-parole du réseau social professionnel. Twitter a fait de même sur certains comptes après la communication de la société de sécurité.