Skip to main content

19 Jan, 2024

Une publication massive de mots de passe frauduleux inclut probablement les vôtres

Une publication massive de mots de passe frauduleux inclut probablement les vôtres

Voici comment vérifier.

Ne passez pas votre chemin. Un gigantesque trésor de mots de passe a été publié par des acteurs malveillants, et il y a de fortes chances que le vôtre s’y trouve.

Selon Troy Hunt, l’homme à l’origine de l’excellent site de notification des violations « Have I Been Pwned » – qui permet aux utilisateurs de consulter leur courrier électronique et de voir si et où leurs mots de passe et autres informations d’utilisateur ont été compromis – il s’agit de l’une des plus grandes collections de données violées qu’il ait jamais vues apparaître en ligne.

Pour un défenseur des données comme Troy Hunt, le terme « vaste » n’est pas un euphémisme. Le cache de fichiers, baptisé « Naz.API », contient plus de 71 millions d’adresses électroniques et 100 millions de mots de passe. Jusqu’à présent, plus de 400 000 abonnés au programme Have I Been Pwned (HIBP) ont été touchés.

https://twitter.com/haveibeenpwned/status/1747621747073970679

Tout n’est pas neuf. Le chercheur a indiqué dans son billet de blog que plus de 65 % des adresses électroniques de la brèche avaient déjà été vues auparavant dans d’autres ensembles de données HIBP. Cela suggère, explique Troy Hunt, que bien que la majorité des données volées aient déjà circulé, plus d’un tiers d’entre elles semblent avoir été nouvellement récoltées.

« Lorsqu’un tiers des adresses électroniques n’ont jamais été vues auparavant, c’est statistiquement significatif », écrit-il. « Il ne s’agit pas simplement d’une collection habituelle de listes réutilisées, enveloppées d’un tout nouveau nœud et présentées comme la prochaine grande nouveauté ; il s’agit d’un volume important de nouvelles données.

Comme l’explique Troy Hunt, une grande partie des données provient de ce que l’on appelle les « stealer logs », c’est-à-dire des logiciels malveillants installés sur l’appareil d’une personne et qui capturent ses informations de connexion. Dans le cas de Naz.API, ces listes auraient été glanées sur illicit.services, un site aujourd’hui disparu qui permettait à des acteurs malveillants de rechercher facilement des données à partir du nom ou de l’adresse électronique d’une personne.

En fouillant dans les données compromises pour trouver les siennes, Troy Hunt a découvert un mot de passe qu’il avait utilisé avant 2011, ce qui semble indiquer que certaines de ces informations sont vraiment très anciennes.

L’enseignement le plus important, surtout si l’on considère le mot de passe vieux de plus de dix ans que Troy Hunt a trouvé dans l’ensemble de données, est que la réutilisation des mots de passe au fil des ans et des sites est une pratique très peu sûre en ce qui concerne les données. Citant la récente faille de 23andme, le chercheur a souligné que tant que « la réutilisation des mots de passe restera répandue », les retombées de ce type de piratage le seront également.

Son conseil ?

« Il faut absolument prendre les devants le plus tôt possible en remplaçant les informations d’identification recyclées par un gestionnaire de mots de passe. »

https://futurism.com/the-byte/giant-password-data-breach