Un hacker publie 100 millions de mots de passe volés : pour savoir si vos identifiants ont été divulgués sur Internet

Nous vivons dans un monde numérisé où nous possédons de nombreux comptes. Nous sommes enregistrés sur des plateformes de messagerie, des boutiques en ligne, des services de streaming, des applications mobiles, entre autres. Et, au fil des années, nous accumulons de plus en plus de noms d’utilisateur et de mots de passe.

Même si nous nous sentons souvent en sécurité, il existe un certain risque que certaines de nos informations d'identification finissent par être divulguées. De manière générale, cela peut être dû à un incident de notre part, de celui des utilisateurs ou impliquant des entreprises en qui nous avons confiance.

Des millions de mots de passe sur un forum

Les violations de données sont une réalité inconfortable. Au fil des années, nous avons vu circuler des compilations de millions de mots de passe, ce qui a conduit Google et Microsoft à ajouter des outils pour vérifier si les mots de passe stockés dans le navigateur ont été compromis.

Cette semaine, une nouvelle compilation massive de données divulguées a été révélée et circule gratuitement sur des forums fréquemment fréquentés par les cybercriminels. Cela représente 71 millions d'adresses e-mail et 100 millions de mots de passe stockés en texte brut.

La fuite a été révélée par Troy Hunt, un analyste renommé en cybersécurité qui a créé il y a des années la page Have I Been Pwned pour aider à identifier les données divulguées. Hunt explique qu'il a échantillonné l'énorme fichier de 104 Go pour obtenir quelques détails à ce sujet.

Après des tests approfondis, dont certains impliquaient la collaboration des victimes, il a conclu que la compilation contenait de véritables adresses e-mail et mots de passe, avec toutefois un détail : il semble y avoir de nombreux anciens mots de passe.

Hunt a également découvert que 67 % des données avaient déjà été incluses dans Have I Been Pwned, mais que les 33 % restants étaient complètement nouveaux. Dans tous les cas, ce sont des millions de mots de passe qui sont à la portée des cybercriminels, un problème qui peut se compliquer dans certains scénarios.

Alors que certains services invitent les utilisateurs à modifier leur mot de passe après un certain temps, d’autres ne font rien. En ce sens, il est probable qu’il existe des affects dont la clé est vieille de bon nombre d’années. Mais ce n’est pas le seul problème.

La réutilisation des mots de passe entre également en jeu, une pratique très courante dont les acteurs malveillants peuvent profiter. Étant donné que des adresses e-mail ont également été divulguées, un mot de passe réutilisé divulgué peut ouvrir la porte à une compromission de sécurité dans d’autres services.

Comme nous le disons, tous les mots de passe divulgués ont été ajoutés à un service appelé Pwned Passwords, qui permet aux utilisateurs d'identifier s'ils ont été divulgués. Il s'agit d'un outil open source des créateurs de Have I Been Pwned qui promet de protéger la vie privée.

Bien que Pwned Passwords soit développé par des acteurs renommés du monde de la cybersécurité et que les détails du projet soient accessibles au public, les utilisateurs doivent utiliser l'outil à leurs propres risques.

Images : Mika Baumeister | Chasse à Troie

À : quelqu'un a obtenu 1,8 million d'euros en crypto-monnaies grâce au « cryptojacking » : il a fini par être arrêté par Europol