Un chercheur en cybersécurité a découvert qu’une importante base de données en ligne divulguait 184 millions d’identifiants de comptes uniques.
Jeremiah Fowler révèle dans sa publication que ce ne sont pas moins de 7,42 Go de données d’identification brutes qui ont été exposées. Microsoft, Google, Snapchat, Instagram, Facebook ou encore Apple sont concernés. Des noms d’utilisateurs, des mots de passe, des adresses électroniques, des URL d’applications et de sites web, mais aussi des données de comptes bancaires et financiers, des plateformes de santé, et même des portails de gouvernement… Toutes ces données très sensibles se retrouvent dans un simple fichier dénué de toute sécurité, sans aucun chiffrement.
Ces données ont certainement été volées par un logiciel malveillant du genre infostealer, un spécialiste dans la récupération de données des sites et serveurs subissant un piratage. Le chercheur a contacté l’hébergeur qui a tout de suite retiré du public la base. Mais celui-ci a refusé de communiquer qui en était le propriétaire. Le chercheur n’a donc pas pu vérifier s’il s’agissait d’une création tout à fait légale, mais dont la publication aux yeux de tous était un accident, ou si nous avions à faire à un acte de malveillance.
Dans son billet, l’expert en cybersécurité rappelle les risques et les différentes vulnérabilités auxquels sont exposés les utilisateurs.
- Réutilisation d’identifiants : de nombreux utilisateurs emploient encore les mêmes mots de passe sur plusieurs services. Une fois ces informations exposées, des scripts automatisés peuvent les tester à grande échelle, facilitant les accès non autorisés.
- Prise de contrôle de comptes (PTO) : lorsqu’un compte ne bénéficie pas de l’authentification à deux facteurs, un simple identifiant et mot de passe suffisent pour en prendre le contrôle. Cela expose les données personnelles et facilite les usurpations d’identité, fraudes ou escroqueries ciblées.
- Risques pour les entreprises : la présence d’identifiants professionnels dans des fuites expose les organisations à des intrusions dans leurs systèmes internes, au vol de données sensibles, voire à des attaques par rançongiciel.
- Comptes gouvernementaux : des comptes associés à des domaines .gov figurent également dans certaines violations. Leur compromission pourrait permettre l’accès à des systèmes critiques ou à des informations confidentielles.
- Phishing et ingénierie sociale : même un mot de passe obsolète peut renforcer la crédibilité d’une attaque. Les cybercriminels peuvent s’en servir pour concevoir des campagnes de phishing ciblées, en s’appuyant sur les données collectées dans les boîtes mail compromises.
Après enquête, il s’est avéré que les victimes ont bel et bien confirmé la validité de certaines de ces informations sensibles. Même si la faute revient bien évidemment aux auteurs de cette fuite de données, Jeremiah Fowler précise que les utilisateurs ont une part de responsabilité dans cette affaire : « Du point de vue de la cybersécurité, je recommande vivement de connaître les informations sensibles stockées dans votre compte de messagerie et de supprimer régulièrement les anciens e-mails contenant des informations personnelles, des documents financiers ou tout autre fichier important. Si des fichiers sensibles doivent être partagés, je recommande d’utiliser une solution de stockage cloud chiffré plutôt qu’une messagerie électronique. »
Pour se protéger, le chercheur rappelle également une suite de bons principes et astuces :
- Mots de passe modifiés chaque année
- Mots de passe uniques et difficiles à deviner pour chaque compte
- Activer l’authentification à deux facteurs (2FA)
- Vérifier si les identifiants ont été exposés
- L’utilisation des gestionnaires de mots de passe
- Le choix d’un bon antivirus
