Nommée “Collection #1”, les statistiques qui la décrive sont à la fois impressionnantes et inquiétantes : 87 Go de données, 12 000 fichiers et 1,16 milliard de combinaisons uniques d’adresses email et de mots de passe.
Après avoir passé en revue les données piratées, Hunt estime que 773 millions adresses électroniques sont uniques, de même que 21 millions de mots de passe, c’est-à-dire que ces derniers apparaissent sous une forme inchangée, et ce une seule fois dans le cache en question.
Selon Hunt, les données ont été découvertes par “plusieurs personnes” au sein du service cloud MEGA qui est considéré comme étant une collection composée d’au moins 2 000 violations de données individuelles s’étalant dans le temps.
Qui détient les données ?
Étant donné que ces données piratées ont été mentionnées et discutées sur un forum cybercriminel, presque toutes les personnes qui ont visité cette source sont en théorie susceptibles d’y avoir accès.
Quelle est la période de temps concernée ?
Probablement de nombreuses années, comme le souligne lui-même Hunt, qui a découvert dans la collection #1 une adresse électronique et un ancien mot de passe qu’il avait utilisés il y a de nombreuses années.
En conclusion :
Si vous êtes victime de cette violation de données, un ou plusieurs mots de passe que vous avez précédemment utilisés circulent à la portée de tous.
Quelle partie de ces données piratées sont réellement sensibles ?
En priorité, les nouvelles données ne figurant pas déjà dans les bases de données de Have I Been Pwned? (HIBP), à savoir 140 millions adresses email et environ 11 millions parmi les 21 millions de mots de passe uniques.
Hunt a publié une liste incomplète des sites mentionnés (bien que non vérifiés) en tant que sources de la collection #1.
Comment ces données pourraient-elles mal utilisées ?
Hunt suppose que les données piratées ont été commercialisées afin de mener des attaques par stuffing automatique d’identifiants dans lesquelles ces derniers sont entrés sur de nombreux autres sites pour voir s’ils ont été effectivement réutilisés par leurs propriétaires.
Le stuffing d’identifiants n’est pas nouveau, bien sûr, mais il est devenu un problème classique de nos jours. En effet, si les identifiants web sont volés, ils seront testés sur d’autres services à un moment donné. Hunt souligne la chose suivante :
Vous vous êtes inscrit sur un forum il y a de nombreuses années, vous l’avez certainement oublié depuis longtemps, mais comme les identifiants viennent d’être volés et que vous utilisez le même mot de passe un peu partout, vous avez un sérieux problème !
Quoi faire ?
Pour vérifier si vos adresses électroniques se trouvent dans ce cache (ou dans une autre violation de données précédemment découverte), lancez une recherche à l’aide de HIBP. Si votre adresse email fait partie de cette violation de données et dans laquelle des mots de passe ont également été volés, comme la violation massive de LinkedIn en 2012, changez votre mot de passe pour ce site, si vous ne l’avez pas déjà fait !
Bien sûr, plus vous changez votre mot de passe rapidement, mieux vous serez protégé. Si vous changez maintenant votre mot de passe pour une violation qui s’est produite en 2012, vous devez vous attendre à ce que la plupart des dommages aient déjà été causés (mais vous devriez quand même le changer !).
Donnez-vous une chance de réagir plus rapidement en vous inscrivant pour recevoir des alertes email concernant de futurs compromissions ou en utilisant un navigateur ou un gestionnaire de mots de passe intégré à HIBP.
Si vous souhaitez vérifier si vos mots de passe ont été impliqués dans des violations, HIBP dispose également d’un outil de recherche : Pwned Passwords. Vous entrez un mot de passe et le site vous indique s’il est apparu dans des violations connues.
Par exemple, la recherche Pwned Password a révélé qu’un mot de passe incroyablement faible tel que “elvispresley” est apparu 3 800 fois dans sa base de données, signifiant ainsi que toute personne l’ayant utilisé devrait le changer dès que possible !
Ce qu’on ne vous dira pas, c’est où exactement le mot de passe a été découvert. S’il s’avère qu’un mot de passe, que vous avez entré a été compromis, mais que vous ne savez pas sur quels sites vous l’avez utilisé … il ne vous reste plus qu’à le deviner !
NB : à propos, si vous êtes inquiet concernant la sécurité de la saisie des mots de passe actuels sur un site web censé vérifier s’ils ont déjà été volés ou utilisés par quelqu’un d’autre, lisez cette explication sur la façon dont ils sont vérifiés en toute sécurité en utilisant une technique appelée k-anonymat.
Pour empêcher que vos mots de passe n’apparaissent sur Pwned Passwords, utilisez un gestionnaire de mots de passe sécurisé qui créera et stockera des mots de passe eux-mêmes sécurisés.
Billet inspiré de Vast data-berg washes up 1.16 billion pwned records, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.