Fuite de 16 milliards d'identifiants et mots de passe : faut-il s'inquiéter ?

Des chercheurs en cybersécurité ont recensé 30 bases de données volées depuis le début de l'année, cumulant près de 16 milliards d'identifiants de connexion qui seraient désormais exposés sur la toile. Une menace à prendre au sérieux qu'il convient aussi de relativiser.

Des lignes de code sur un ordinateur

Crédit : Pexels (Creative Commons)

LA RÈGLE D'OR NUMÉRIQUE - Comment savoir si vos données circulent sur le dark Web

00:05:17

Fuites de données : le pire reste à venir mais il est possible d'y faire face

00:05:05

Fuite de données, piratage : les premiers réflexes à avoir

00:04:00

ÉCONOMIE - Fuites de données : nos informations personnelles sont-elles assez protégées ?

00:27:03

LA RÈGLE D'OR NUMÉRIQUE - Pourquoi les entreprises touchées par une fuite de données sont rarement poursuivies

00:05:30

Je m'abonne à la newsletter « Infos »

"Il ne s'agit pas d'une simple fuite de données, mais d'un plan d'exploitation à grande échelle". Le média spécialisé en cybersécurité Cybernews n'y va pas de main morte pour alerter sur l'ampleur de la dernière découverte de ses chercheurs. En enquêtant sur la toile, les experts ont mis la main sur plus de 16 milliards d'identifiants de connexions issus de différents services en ligne, d'Apple à Facebook en passant par Google, Telegram et des services gouvernementaux. Avec ces informations, "les cybercriminels disposent désormais d'un accès sans précédent aux identifiants personnels qui peuvent être utilisés pour le piratage de comptes, l'usurpation d'identité et le phishing hautement ciblé", prévient le site d'actualité.

Dans le détail, ces renseignements sont répartis dans 30 grands jeux de données volées, contenant entre 90 millions et 3,5 milliards d'enregistrements chacun. Chaque fichier contient des noms d'utilisateurs, des adresses mail, des mots de passe mais aussi des "tokens" (jetons d'accès), des cookies et des métadonnées. En utilisant des techniques comme le "credential stuffing" (bourrage d'identifiants), qui consiste à faire des tentatives de connexion sur de multiples plateformes à l'aide de ces identifiants compromis, ces informations seraient susceptibles d'ouvrir la porte de nombreux profils non protégés par la double authentification sur presque tous les services en ligne.

Les chercheurs ne sont pas parvenus à remonter la trace des cybercriminels qui détiennent ces informations. Selon eux, ces données ont essentiellement été amassées à l'aide d'infostealers, des logiciels malveillants spécialisés dans le vol d'identifiants. "Ces logiciels sont souvent téléchargés par mégarde via des sites internet frauduleux, des publicités malveillantes ou une pièce-jointe vérolée. Ils sont conçus pour siphonner dans l'ombre tous les identifiants et mots de passe stockés ou tapés sur les ordinateurs et les navigateurs Web. Ils sont très difficiles à repérer car les internautes les installent inconsciemment mais volontairement ce qui leur permet de passer outre les restrictions des systèmes d'exploitation", souligne Benoît Grunemwald, expert cybersécurité chez ESET.

Les experts se demandent si ces données sont récentes

Un certain nombre de questions reste en suspens. Dont une inconnue de taille : la fraîcheur des données. Sur quelle période sont basées ces fuites ? Quel est l'âge du plus vieux fichier ? S'agit-il d'une compilation de vols d'identifiants passés, comme le suggèrent plusieurs spécialistes ? Cybernews évoque "des données récentes et pas simplement recyclées à partir d'anciennes violations" sans apporter plus de précision. Un doute subsiste encore sur le nombre réel d'identifiants compromis. Le site spécialisé a en effet précisé que des doublons ont été repérés parmi les 16 milliards d'informations de connexions recensées. L'identité des plateformes touchées et la ventilation des accès dérobés reste également à élucider. Les interrogations s'étendent enfin à l'origine du logiciel utilisé pour dérober ces renseignements. "Est-ce le fruit d'un infostealer connu comme Lumma, Redline, Vidar, RaccoonStealer ou d'un tout nouveau apparu dans l'écosystème", se demande le chercheur en cybersécurité Clément Dominguo sur X. Il faudra attendre que d'autres experts accèdent à ces bases de données pour en avoir le coeur net.

À ce stade, les internautes ne peuvent pas savoir si leurs données sont spécifiquement concernées car les sites spécialisés comme Have I Been Pwnd et les gestionnaires de mots de passe n'ont pas encore indexé la base de données. Cette alerte mondiale a néanmoins le mérite de sensibiliser le public sur l'importance de respecter une stricte hygiène numérique - en utilisant des mots de passe complexes et uniques, via un gestionnaire de mots de passe, notamment - pour se prémunir des dommages causés par ces logiciels malveillants. "Mais il faut aussi être raisonnable et s'interroger sur ses pratiques. Il est inutile de changer tous ses mots de passe s'ils respectent les règles de sécurité, sont protégés par la double authentification et n'ont pas été recensés dans une fuite de données. Changer trop souvent peut être contreproductif car les internautes finissent par se tourner vers des combinaisons faciles à deviner par facilité", souligne Benoît Grunemwald.

La rédaction vous recommande