66
Selon le spécialiste de la cybersécurité CyberNews, plus de huit milliards de mots de passe auraient été collectés ces dernières années et partagés sur un forum de hackers.
C’est une gigantesque fuite de mots de passe. La plus grosse fuite de l’histoire. Selon le spécialiste de la cybersécurité CyberNews, plus de huit milliards de mots de passe auraient été collectés ces dernières années et partagés sur un forum fréquenté par des hackers.
Un utilisateur a publié un fichier texte de 100 gigaoctets contenant, selon lui, 82 milliards d’entrées. Après analyse, CyberNews a dénombré 8 459 060 239 mots de passe uniques, de 6 à 20 caractères, sans les espaces.
*Un fichier baptisé « RockYou2021 »
Cette nouvelle fuite a été baptisée « RockYou2021 », une référence à RockYou, une base de données contenant 32 millions de mots de passe publiée en 2009. « RockYou2021 », un fichier .txt est une compilation de plusieurs fuites de données, y compris COMB (Compilation of Many Breaches), une précédente compilation découverte en février dernier contenant 3,2 milliards d’identifiants, issus de services, réseaux ou messageries comme Gmail, Hotmail ou LinkedIn.
*L’ensemble de la population potentiellement concernée
Comme on dénombre 4,7 milliards d’internautes à travers le monde, « RockYou2021 » inclurait potentiellement les mots de passe de l’ensemble de la population mondiale en ligne. « En combinant 8,4 milliards de variations uniques de mots de passe avec d’autres compilations de brèches qui incluent des noms d’utilisateur et des adresses électroniques, les acteurs de la menace peuvent utiliser la collection ‘RockYou2021’ pour monter des attaques contre un nombre incalculable de comptes en ligne », avertit CyberNews.
*Des comptes pas compromis dans l’immédiat
Mais bonne nouvelle, toutefois : ces mots de passe ne sont pas liés à des identifiants. Les comptes qui les utilisent ne sont donc pas compromis dans l’immédiat. Toutefois, les hackers pourront utiliser une attaque par dictionnaire, comme le précise le site Futura Sciences. Cette technique consiste à essayer l’ensemble des mots de passe pour accéder à un compte, une opération bien plus rapide qu’une attaque par force brute qui teste toutes les combinaisons de caractères possibles. Cette compilation permet également une technique nommée « password spraying », consistant à tester le même mot de passe sur de nombreux comptes simultanément dans l’espoir d’en déverrouiller quelques-uns.
*Un site pour vérifier mots de passe, adresse mail et téléphone
Il existe un moyen de vérifier si son mot de passe est inclus dans « RockYou2021 ». Pour cela, il faut le saisir dans l’outil de vérification de CyberNews. Sur CyberNews, il est également possible de vérifier si son adresse mail ou son numéro de téléphone et les informations personnelles associées pourraient tomber entre de mauvaises mains.
En plus de conseiller de changer ses mots de passe, le site rappelle les bonnes pratiques pour protéger ses comptes : ne jamais utiliser le même mot de passe pour plusieurs comptes, opter pour un gestionnaire de mots de passe qui peut générer des codes complexes, et activez l’authentification à deux facteurs lorsque cela est possible.
(L’Express)
