Plus tôt ce mois-ci, le site Have I Been Pwned? (HIBP) a donné une réponse partielle à cette question en uploadant un élément appelé Collection #1, à savoir une base de données de 773 millions d’adresses électroniques uniques découvertes en train de circuler sur un forum cybercriminel.
Des chercheurs du Hasso-Plattner Institute (HPI) allemand ont apparemment analysé un deuxième cache faisant partie de cette même découverte. Ce cache est constitué de quatre Collections nommées, Collections # 2-5, qui à leur avis, contient un total de 2,2 milliards de paires uniques d’adresses email et de mots de passe.
La Collection #1 comprend 87 Go de données issues de plus de 2 000 violations de données individuelles remontant aux années précédentes.
À titre de comparaison, les Collections #2-5 représentent 845 Go, soit 25 milliards d’enregistrements !
C’est un volume de données vertigineux qui, malgré les centaines de millions de personnes qu’il doit représenter, reste suffisamment petit pour tenir sur le disque dur d’un ordinateur Windows récent.
Le point important concernant ces violations de données est la quantité de nouvelles données qu’elles contiennent, celles qui n’ont pas déjà été ajoutées aux bases de données telles que HIBP ou HPI.
Have I Been Pwned? a estimé les données uniques de la Collection #1 à environ 140 millions d’adresses électroniques et à au moins 11 millions de mots de passe uniques.
HPI estime, quant à lui, à 750 millions le nombre de nouveaux identifiants (le nombre de nouveaux mots de passe inclus n’est pas encore précisé).
L’enfer de la réutilisation
Face à ce genre de chiffres, il est tentant de hausser les épaules et de passer à autre chose, la plupart de ces violations de données sont anciennes, alors quel préjudice pourraient-elles causer aujourd’hui ?
Initialement, les identifiants volés sont probablement vendus pour permettre aux attaquants d’accéder au compte à partir du service sur lequel ils ont été dérobés.
Ensuite, ils sont rapidement vendus à nouveau pour être utilisés comme carburant pour des campagnes d’attaques de type “credential stuffing”. Le credential stuffing profite de notre habitude à réutiliser les mots de passe : en effet, les identifiants d’un service en particulier donnent souvent à un cybercriminel l’accès à d’autres sites web.
N’oubliez pas que, même si les mots de passe en clair sont une source de revenus pour les cybercriminels, les noms d’utilisateur et les adresses électroniques ont également de la valeur, car ils leur permettent de lancer une attaque par force brute.
Mais le point important dans notre cas est peut-être moins le volume de données que le fait que les criminels soient capables de créer des bases de données à partir de nombreuses petites violations de données.
C’est là que vont toutes les identifiants volés, à savoir dans des bases de données plus grandes, où ces derniers peuvent être plus facilement exploités.
Pourquoi les Collections #1-5 n’apparaissent que maintenant ?
Soit parce que les données ont déjà été exploitées et sont si anciennes qu’elles n’ont plus beaucoup de valeur commerciale (la Collection #1 était proposée à la vente à 45$, environ 40€), soit parce que de nombreux cybercriminels y ont accès et qu’elles sont donc à présent en accès libre et ouvert.
Quoi faire ?
Il est possible de vérifier votre adresse email et votre mot de passe par rapport au niveau d’HIPB, bien que le site ne semble pas encore avoir uploadé les Collections #2-5. Vous pouvez également vérifier votre adresse électronique au niveau des données de HPI.
Aucune entreprise n’est à l’abri d’une violation de données. C’est pourquoi les individus doivent faire davantage d’efforts pour se protéger eux-mêmes, plutôt que de faire confiance aux autres pour le faire à leur place.
Commencez avec des principes simples comme ceux listés ci-dessous :
- Utilisez un gestionnaire de mots de passe, non seulement pour stocker les mots de passe, mais pour choisir des mots de passe forts dès le départ.
- Ces derniers doivent être uniques, utilisez un mot de passe aléatoire différent pour chaque site.
- Si possible, activez l’authentification à deux facteurs (2FA). Certaines versions de l’authentification sont supérieures aux autres, mais n’importe quelle version est bien mieux que de ne rien utiliser du tout.
- Si vous pensez avoir déjà réutilisé des identifiants, modifiez-les dès que possible ou supprimez le compte s’il n’est plus important.
Billet inspiré de Credential dump contains another 2.2 billion pwned accounts, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.