Cybersécurité : quatre questions sur la diffusion d'un fichier rassemblant plusieurs milliards de mots de passe

Des milliards de mots de passe dans la nature. Mercredi 5 février, le site spécialisé BGR (lien en anglais) a annoncé qu'une "collection de données d'utilisateurs" avait été mise en ligne. Il s'agit peut-être, selon le site, de "la plus grande compilation d'informations d'identification d'utilisateurs piratées jamais publiée en ligne". Elle comprend des accès au réseau social professionnel LinkedIn ou à la plateforme de vidéo Netflix. Voici quatre questions qui se posent devant cette information. 

Que s'est-il passé ? 

La fuite concerne plus de 3,2 milliards de paires email et mot de passe, selon BGR. Ils ont été réunis dans un fichier nommé "Comb" pour "Compilation of Many Breaches", ou "compilation de nombreuses fuites de données". Ce n'est donc pas le résultat d'un nouveau piratage, mais plutôt "une fusion de données existantes qui avaient été volées dans le cadre de fuites précédentes de société comme Netflix et LinkedIn", détaille le site.

Quelles sont les conséquences possibles ?

Le nombre de mots de passe dévoilés est impressionnant, mais la fuite aura sans doute moins d'impact qu'il n'y parait. "C'est assez courant dans le milieu. Sur des forums spécialisés, des hackers publient des messages pour affirmer qu'ils sont en possession d'un certain nombre d'identifiants. En réalité il s'agit souvent d'imposteurs, de gens qui cherchent à se faire de l'argent en revendant d'anciennes fuites regroupées et maquillées pour donner l'impression qu'elles sont neuves", explique un chercheur en cybersécurité à Europe 1.

Il se peut donc qu'une grande partie de ces données soient anciennes et que les mots de passe contenus dans le fichier ne soient plus à jour. Toutefois, il se peut que des hackers tentent d'utiliser des identifiants présents dans ce fichier pour accéder à d'autres comptes, par exemple, en testant les identifiants trouvés lors d'une fuite de Netflix sur des plateformes comme Gmail, Facebook ou Amazon.

Comment savoir si mes identifiants en font partie ?

Le site CyberNews a mis en place un moteur de recherche qui référence les identifiants ayant fuité. Il dénombre actuellement 15 212 645 925 comptes en danger et 2 563 218 607 adresses email. Il vous suffit de vous rendre sur cette page (en anglais) et de taper votre adresse mail pour savoir si vos identifiants ont été dévoilés lors de piratages. 

Que faire maintenant ? 

Peu importe la réponse apportée par le moteur de recherche, CyberNews invite tous ses lecteurs à changer leurs habitudes en matière de mots de passe en ligne. Le site liste deux conseils : l'utilisation d'un gestionnaire de mots de passe, qui génère des combinaisons complexes et les retient, et l'emploi de l'authentification à double facteur, qui vérifie l'identité de l'utilisateur par deux moyens différents, avec un SMS ou un email en complément par exemple. 

Si ces méthodes vous semblent trop complexes à mettre en œuvre, pensez tout de même à intégrer des caractères spéciaux, des majuscules et des chiffres à vous mots de passe, à ne pas utiliser un code unique pour tous vos comptes en ligne et à en changer régulièrement.