HIBP
Produits et Services PRODUITS & SERVICES

HIBP (Have I Been Pwned ?) : êtes-vous sur la liste des 711 millions emails piratés ?

"Have I Been Pwned ?" (HIBP) une base de données de comptes de messagerie volés, piratés ou corrompus d’une quelconque manière, qui permet à quiconque de vérifier si ses propres comptes sont répertoriés et circulent chez les cybercriminels. Voici un nouveau récit d'une violation de 711 millions de données personnelles. Etes vous concernés ?

Ce n’est jamais une bonne nouvelle lorsque l’on reçoit une alerte de la part de “Have I Been Pwned ?” (HIBP), mais il est tout de même préférable d’être informé que le contraire.

Fondée par Troy Hunt, après la faille de sécurité historique et embarrassante d’Adobe en 2013, HIBP est une base de données de comptes de messagerie volés, piratés ou corrompus d’une quelconque manière, qui permet à quiconque de vérifier si ses propres comptes sont répertoriés et circulent dans les mains de cybercriminels.

Les chiffres annoncés sont énormes, et à ce total, nous pouvons ajouter 711 millions de données, qui est la quantité récemment découvertes par un chercheur appelé Benkow, dans un état non sécurisé à l’intérieur de fichiers texte, sur un serveur basé aux Pays-Bas, et qui ont été utilisées pour alimenter le spambot “Onliner”.

HIBP m’informe que cela comprend une adresse email enregistrée avec un domaine que j’utilise depuis des années, et qu’il s’agit de la troisième fois que le site le signale au niveau d’une faille de sécurité, au cours des quatre dernières années.

Dois-je, ou n’importe qui d’autre ayant reçu cette même alerte email de la part de  HIBP au sujet de cette liste de spams, m’inquiéter ?

Hunt résume la taille pharaonique de ce cache ainsi :

Juste pour donner une idée de l’échelle, cela correspond à une adresse email pour chaque homme, femme et enfant dans toute l’Europe.  

Il est vrai que ce coup de filet, comprenant 711 millions d’entrées, est le plus important jamais signalé par le site, mais certaines de ces failles antérieures auraient pu être mentionnées, dans mon cas Adobe (152 millions) et Dropbox en 2012 (68 millions). Rassemblés à partir de différentes sources, les chiffres ne sont pas cumulatifs.

HIBP décrit également mon adresse email comme ayant été “pwned” durant la dernière vague de divulgation bien que, à proprement parler, ce sont les sites qui ont permis une violation de données qui mériteraient d’être punis. Ma faiblesse a résidé dans le fait de faire confiance à une adresse email fournie par des entreprises qui n’ont pas su la sécuriser.

Le plus inquiétant est l’utilisation qui sera faite de ces adresses email. Une grande partie de ce nouveau cache semble se composer uniquement d’adresses email, ce qui signifie que toute personne dont l’adresse apparaît dans la liste sera ciblée par des spams, y compris, dans le cas d’Onliner, par le malware bancaire d’Ursnif.

Comme mon adresse email est apparue dans de précédentes failles, j’ai déjà subi ces campagnes de spams auparavant. Du coup , cela ne peut pas vraiment être pire que par le passé. Au moins je suis en bonne compagnie, Hunt mentionne alors une adresse email qu’il utilise, et qui a été signalée à deux reprises dans ce dernier cache.

Encore plus préoccupant est le groupe dont les mots de passe sont inclus, y compris ceux apparemment extraits des hashs SHA-1 non salés, qui faisaient partie de la faille de sécurité de LinkedIn en 2012, et dont l’ampleur troublante n’a pourtant pas été révélée au public avant 2016.

D’autres fichiers contiennent des dizaines de milliers d’identifiants sur des serveurs de messagerie, y compris le serveur SMTP et la configuration des ports.

Hunt déclare :

Des milliers de comptes SMTP valides donnent au spammeur une belle gamme de serveurs de messagerie pour envoyer leurs messages.  

Séparément, Benkow, le chercheur qui a découvert le cache, estime un volume total de 80 millions d’identifiants de différentes sortes.

Hunt et Benkow tentent maintenant de retirer les données de cache du site sur lequel elles ont été trouvées, car elles restent toujours accessibles à tous ceux qui savent où regarder bien sûr. Ironiquement, la personne qui s’occupait de ces données n’a pas vraiment consacré beaucoup d’énergie à les garder pour lui.

Quiconque pense qu’il pourrait être affecté peut vérifier manuellement sur HIBP, avec ses adresses email ou le nom de son compte. Toute personne anxieuse au sujet de ses identifiants au niveau du serveur de messagerie devrait changer le mot de passe, au minimum, avant de pouvoir espérer dormir tranquille, sur ses deux oreilles.

Parfois, il vaut mieux savoir ce qui s’est réellement passé, même si cette réalité est déprimante ou troublante. Dans le cas de ce cache, les adresses, les identifiants et les données personnelles sont depuis longtemps devenues des produits convoitées par les cybercriminels. Cette tendance ne peut pas être arrêtée ou inversée, éventuellement tout juste contenue.

Mais au moins les adresses email et les identifiants peuvent être modifiés, ce qui semble plus difficile pour les utilisateurs dont les noms, les adresses, les dates de naissance et les numéros de sécurité sociale ont été dérobés. Ce cache de données volées est un nouveau coup dur, mais cela aurait pu être bien pire !


Billet inspiré de Is your email in the latest cache of 711 million pwnd addresses ?, sur Sophos nakedsecurity.