773 millions d’adresses e-mail et de mots de passe ont été postés sur un forum de piratage, selon le chercheur en sécurité Troy Hunt, dont 140 millions d’adresses jamais vues.
Cette semaine, Troy Hunt, expert en sécurité informatique chez Microsoft, a indiqué que des milliers de bases de données comprenant des emails et leurs mots de passe ont été hackées, et sont donc entre les mains de personnes potentiellement malveillantes. La fuite, baptisée « Collection #1 », concernerait 773 millions de comptes.
140 millions d’adresses e-mail jamais été vues auparavant
Bien que la plupart des adresses soient apparues dans des compromissions de données précédentes, « il existe environ 140 millions d’adresses e-mail […] qui n’ont jamais été vues auparavant », ce qui indique soit une violation majeure encore non signalée, soit une combinaison de plus petites. Ce qui fait dire à Pierre-Louis Lussan, Country Manager France de Netwrix : « Malgré des avancées importantes, tant au sein du secteur de la sécurité qu’en raison de l’entrée en vigueur de réglementations, un nombre trop important de violations de données ne sont toujours pas connues – et ne sont donc pas divulguées au public – pendant des mois, voire des années. Ce qui peut expliquer les 140 millions d’adresses postées sur le forum de piratage, et dont la compromission était jusque-là inconnue. »
Pour Sergey Lozkhin, chercheur en cyber sécurité au sein du GReAT chez Kaspersky Lab, même si la majorité des données ont un certain temps, elle restent néanmoins intéressantes pour les pirates. « Cette quantité de données massives, récoltée par le biais d’une faille de données a été produite sur une longue période, ce qui signifie qu’un certain nombre d’informations sont susceptibles d’être obsolètes aujourd’hui. Cependant, il est de notoriété commune que malgré la prise de conscience croissante face au danger, les individus continuent d’utiliser les mêmes mots de passe, et les réutilisent même sur un grand nombre de sites Internet. »
Quelles conséquences ?
« Cette collection de données peut facilement être transformée en une simple liste d’emails et de mots de passe, de fait les attaquants n’auraient qu’à écrire une ligne de code sur un programme informatique assez simple pour vérifier la fonctionnalité de ces mots de passe sur d’autres comptes en ligne. Les conséquences d’un accès aux comptes peuvent aller d’un phishing très fructueux, puisque les criminels n’ont qu’à envoyer des emails malveillants à la liste de contacts de la victime, à des attaques ciblées visant à dérober l’intégralité de l’identité digitale de la victime ou de l’argent, ou encore à la compromission des informations envoyées sur tous les réseaux sociaux » explique Sergey Lozhkin.
Ladislav Zezula, malware researcher chez Avast renchérit : « Les cybercriminels vont très probablement utiliser les données de la Collection #1 pour élaborer des escroqueries de phishing et recourir au chantage. Ce fut par exemple le cas pour l’arnaque de sextorsion qui s’est répandue dans le monde l’été dernier, et qui a utilisé des mots de passe ayant été divulgués lors de violations de données. L’escroquerie envoyait des emails aux utilisateurs affirmant connaître leur mot de passe de messagerie, et leur faisant croire qu’ils disposaient d’une vidéo compromettante prise via leur webcam tandis qu’ils visionnaient du contenu adulte ou illégal. »
Les précautions à prendre
- Vérifier si les comptes de messageries ont été exposés en se rendant sur https://haveibeenpwned.com/ comme l’indique Troy Hunt
- Changer les mots de passe des comptes les plus importants et sensibles les banques en ligne, les plateformes de paiement en ligne ou les réseaux sociaux…). « Il est impératif que chacun réalise la nécessité de changer ses mots de passe actuels en mots de passe forts et uniques, constituant même idéalement une phrase facile à retenir. de préférence en utilisant un gestionnaire de mots de passe », indique Ladislav Zezula. De préférence, utiliser un gestionnaire de mots de passe, souligne de concert Sergey Lozhkin et Ladislav Zezula
- Implémenter l’authentification multi-facteurs dès que possible, indique Sergey Lozhkin
