Depuis quelques semaines, des pirates font circuler une vaste base de données d’identifiants et de mots de passe sur la Toile. Un premier gros bout a été récupéré mi-janvier par le chercheur en sécurité Troy Hunt.
Intitulé « Collection #1 », il comptait 773 millions d’enregistrements uniques. Les parties « Collection #2-#5 » ont récemment été récupérées par Hasso Plattner Institute. Elles portent le volume de la base de données à plus de… 2,2 milliards d’enregistrements uniques.
C’est d’autant plus énorme que cette base de données est quasiment en accès libre. Il suffit de traîner un peu sur le Dark Web pour accéder aux liens de téléchargement. Chris Rouland, un chercheur en sécurité interrogé par Wired, a pu mettre la main dessus au travers de fichiers Torrent. Sur le moment, ces fichiers étaient mis à disposition par plus de 130 personnes et avaient déjà été téléchargés plus de 1000 fois.
Une marchandise avariée
Mais il ne faut pas céder à la panique. Cette liste est en réalité une compilation de fuites de données passées. Les tests effectués par différents chercheurs en sécurité montrent que les mots de passe datent de plusieurs années. Toutes ces données ont déjà été exploitées en long et en large, et ne représentent plus un grand intérêt pour les pirates professionnels. D’une certaine manière, c’est un peu de la marchandise avariée.
Ce n’est pas pour autant que cette base de données n’est pas utilisée à des fins malveillantes. Elle peut toujours servir à créer du spam ou de petites arnaques. Selon Zataz, ces données ont notamment servi pour envoyer des menaces par e-mail à des millions de personnes. Les pirates font mention des mots de passe pour augmenter la crédibilité de leurs messages et faire peur, comme nous avons pu le constater.
L’histoire n’est pas encore terminée. Selon Zataz, il existe encore deux autres parties (« Collection #6-#7 ») qui, elles, ne sont pas (encore) en accès libre, mais sont commercialisées. Selon Zataz, toutes ces fuites découleraient d’une vengeance entre pirates. Pour vérifier si vos identifiants font partie de cette base de données (ou d’une autre fuite), vous pouvez consulter le service de vérification HaveIBeenPwned de Troy Hunt ou celui du Hasso Plattner Institut.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
