Passer au contenu

24,6 milliards d’identifiants et mots de passe volés circulent sur la Toile… les vôtres aussi ?

Dans un rapport, l’entreprise de sécurité Digital Shadows fait un constat édifiant : ses chercheurs ont découvert des milliards et des milliards de combinaisons d’identifiants et de mots de passe dérobés accessibles sur le web ou le dark web. Un chiffre en hausse vertigineuse.

C’est un chiffre qui donne le tournis. Dans le cadre d’un rapport sur le piratage de comptes, l’entreprise de sécurité Digital Shadows révèle que ses chercheurs ont découvert 24.649.096.027 combinaisons d’identifiants et de mots de passe (oui, c’est précis) mis en vente par des cybercriminels sur des forums ou des places de marché du web… ou du dark web.

Dans ces plus de 24 milliards de mots de passe, il y a évidemment des doublons. Certains pirates se sont fait spécialité de la revente de « packs » issus de vieilles fuites. Mais il y a tout de même de fortes chances qu’au moins un de vos mots de passe, peut-être même récent, soit concerné par ce gigantesque trafic de données personnelles. Car Digital Shadows précise par ailleurs avoir découvert 6,7 milliards de combinaisons uniques d’identifiant et de mot de passe, autrement dit des informations qui n’existaient pas dans des fuites précédentes.

Encore plus inquiétant, peut-être : les chiffres explosent. Digital Shadows explique avoir constaté une hausse de 65 % des mots de passe dérobés par rapport à sa précédente étude, qui date de 2020. Et plus d’1,7 milliards de combinaisons uniques supplémentaires, soit une augmentation de 34 %

Un problème qui s’amplifie d’année en année

Les limiers de Digital Shadows se désespèrent : le rapport indique que les mots de passe faibles sont encore légion, ce qui facilite grandement la tâche des pirates. Ils ont par exemple découvert par moins de 30 millions d’occurrence du pire mot de passe au monde : « 123456 » !

mots de passe les plus faibles
Les mots de passe les plus fréquents… ne sont pas très étonnants // Crédit : Digital Shadows

C’est d’autant plus problématique que récupérer et exploiter vos mots de passe n’a jamais été aussi facile, par le biais d’e-mail de phishing, de kits prêts à l’emploi pour d’infecter des milliers de PC ou d’applications vérolées pour smartphone. Les pirates disposent d’outils perfectionnés, faciles à employer et constamment mis à jour, qui leur permettent non seulement de siphonner vos sésames, mais aussi de les échanger, de les acheter ou de les vendre… Puis de les tester rapidement sur des milliers de sites populaires. Une véritable industrie du cybercrime, qui peut vous couter très cher si vous ne faites pas attention.

Alors, on ne le répétera jamais assez : privilégiez les mots de passe forts, comme nous vous l’expliquions dans un article récent. Mais cela peut ne pas suffire, en cas de phishing, par exemple. C’est pourquoi il faut, dès que c’est possible, utiliser la double authentification, même si elle est un peu contraignante au quotidien. Autre rappel utile : vous pouvez vous rendre sur l’excellent site Have I Been Pawned et tester vos différents mails pour savoir s’il fait partie d’une série d’identifiants et mots de passe qui ont fuité en ligne.

On peut toutefois espérer que, dans quelques années, ces vols massifs soient de l’histoire ancienne. Car les géants du numérique se bougent enfin pour mieux nous protéger et se débarrasser des mots de passe. Google, Apple, Microsoft se sont ainsi accordés pour respecter la norme Multi-device FIDO. Celle-ci remplace les mots de passe par des clés cryptographiques, qui vont compliquer énormément la vie des cybercriminels en interdisant notamment toute possibilité de phishing. Il est grand temps.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Digital Shadows


Eric LE BOURLOUT