Magazine High tech

Piratage: 2,7 milliards d’identifiants dans la nature

Publié le 22 janvier 2019 par _nicolas @BranchezVous
Des milliards d'identifiants et de mots de passe ont été victime de piratage

Avez-vous été la proie de hackers?

Votre courriel et votre mot de passe pourraient être dans la nature en ce moment. En effet, c’est tout à fait possible si on en juge par la quantité impressionnante d’identifiants qu’a récemment découvert Troy Hunt, le fondateur du site Have I been Pwned?. Le spécialiste en cybersécurité a mis la main sur une archive qui contenait près de 2,7 milliards d’identifiants sur un forum de hacking, de quoi se donner quelques frayeurs!

La plus grande base de mots de passe volés

Les chiffres sont impressionnants, c’est le moins qu’on puisse dire! Après sa petite quête, Troy Hunt est tombé sur un fichier pesant pas moins de 87 Go. Incroyable! Le fichier était stocké sur MEGA, le service de cloud de Kim Dotcom, mais il a depuis disparu et on peut imaginer que le ou les pirates derrière l’opération d’envergure l’ont supprimé dès que les médias s’y sont intéressés. Quoi qu’il en soit, dans l’archive se trouvaient 2 692 818 238 lignes, représentant chacune un identifiant différent. Sans attendre, l’expert en cybersécurité a commencé à analyser les données, ce qui lui a permis de déterminer qu’il y avait 1,16 milliard de paires uniques dans ladite archive. Chaque paire est constituée d’une adresse courriel et d’un mot de passe. Au total, il y avait 773 millions d’adresses différentes. Pour les mots de passe, on en compte en revanche 21 millions qui sont tous différents, ce qui est assez surprenant en soi, puisque cela signifie que de nombreux utilisateurs ont le même mot de passe pour plusieurs plateformes, sans utiliser de gestionnaire de mot de passe. Inutile de dire que ce n’est pas un choix très sécuritaire.

Un piratage qui aurait commencé en 2008

Toujours selon Troy Hunt, le plus ancien piratage qui apparaît dans cette archive date de 2008, mais pas tous; d’autres sont plus récents. Vous l’aurez compris, cette archive n’a pas été constituée avec un seul piratage. Il y a eu plusieurs vagues silencieuses, bien qu’aucun détail n’ait été révélé jusqu’à ce jour. Par ailleurs, l’archive se décompose en un peu plus de 12 000 fichiers. Les données sont réparties dans chacun d’entre eux avec le nom des sites (probablement ceux qui ont été piratés) comme titre de fichier. Le gérant de Have I been Pwned? tient à préciser que sur les 773 millions d’adresses, 140 millions n’intègrent pas encore sa base de données. Autrement dit, ces adresses n’ont pas encore fait l’objet d’un piratage, du moins pas à sa connaissance. Même constat pour les 21 millions de mots de passe. Près de la moitié n’ont jamais été retracés dans des actes de piratage découvert auparavant, mais, bien sûr, Troy Hunt les a déjà intégrés dans la base de données de son service.

Comment savoir si votre compte a été piraté

Il n’est pas impossible que vous soyez concerné par cet acte de piratage d’une envergure immense. Pour vérifier, vous pouvez vous rendre sur le site Have I been pwned? et y insérer votre adresse courriel. Si votre compte y figure, alors il vous sera nécessaire de changer rapidement de mot de passe. Il vous est aussi possible de vérifier si votre mot de passe se trouve dans la base de données piratée en allant à cette adresse.

Mes identifiants ont été piratés, que faire?

Pas de panique! Comme expliqué plus haut, il y a relativement peu de chances que vos identifiants aient été utilisés par les hackers. Dans tous les cas, il est impératif de reconsidérer vos choix en matière de mots de passe. Oubliez les «password123», «p4ssw0rd», ainsi que la date de naissance de votre joueur préféré du CH. Il faut impérativement utiliser un mot de passe unique, long, compliqué et, si possible, avec des caractères spéciaux. Impossible de les retenir tous de tête? Des gestionnaires de mots de passe comme 1password, un outil parmi tant d’autres, font très bien le travail pour un prix raisonnable. Nous utilisons 1password en particulier parce que c’est celui qui nous semble le plus fiable, en plus d’être développé au Canada. Le gestionnaire va générer et stocker tous vos noms d’utilisateur et mots de passe dans un «coffre-fort» numérique, lui-même sécurisé par double authentification. Cela ne vous garantira jamais une sécurité à 100%, mais ce sera toujours mieux que d’utiliser le même mot de passe faible.

S’il y a une chose à retenir de cette découverte de Troy Hunt, c’est qu’il est très important de bien sécuriser nos comptes avec des mots de passe forts, les diversifier et, surtout, les conserver dans un endroit des plus sûrs.


Retour à La Une de Logo Paperblog

A propos de l’auteur


_nicolas 159485 partages Voir son profil
Voir son blog

Magazine