•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

772 millions d’adresses courriel piratées découvertes en ligne

Des mains tapent sur un clavier d'ordinateur.
Tous ces identifiants volés peuvent servir à s'infiltrer dans les comptes de millions d'internautes partout sur la planète. Photo: iStock

Une banque de données contenant 772 904 991 adresses courriel et plus de 21 millions de mots de passe piratés a été découverte sur un forum public par un expert en cybersécurité. Il s'agit de l'un des plus importants répertoires d'identifiants compromis de l'histoire.

L’auteur de cette découverte est Troy Hunt (Nouvelle fenêtre), un spécialiste de la sécurité informatique connu pour avoir créé le site Have I Been Pwned (Nouvelle fenêtre) (HIBP), qui sert à vérifier si une adresse courriel a été compromise dans un piratage.

Cet expert affirme qu’environ 140 millions des adresses courriel contenues dans la banque de données n’avaient jamais été rapportées à HIBP. Quant aux mots de passe, environ 10,5 millions n’étaient pas dans Pwned Passwords, un outil similaire pour les mots de passe piratés.

La quantité de données à analyser étant trop importante, M. Hunt n’a pas pu déterminer avec certitude à quelle période remontent les piratages desquels proviennent les courriels et les mots de passe. Le fichier le plus ancien qu’il a pu retrouver semble dater de 2008. D’autres seraient beaucoup plus récents.

Troy Hunt lui-même affirme avoir trouvé des identifiants lui appartenant qui étaient exacts, mais qui dataient d’il y a un certain temps. Comme M. Hunt a l’habitude de changer régulièrement de mot de passe, celui qui se retrouvait dans la banque de données n’était plus valide.

Un piratage important

Selon Luc Lefebvre, expert en cybersécurité et cofondateur de Crypto.Québec, la gravité de cette fuite de données est comparable avec d’autres importants piratages, tels que ceux d’Equifax, de Marriott, de Yahoo et de LinkedIn. Il ajoute toutefois qu’il est difficile de mettre en parallèle des fuites de ce genre.

D’après M. Lefebvre, le répertoire piraté, nommé « Collection 1 », peut représenter un danger aussi grand que le piratage d’Equifax pour les personnes qui reçoivent toutes leurs factures par courriel, qui réutilisent leurs mots de passe sur plusieurs services ou qui se servent de l’adresse courriel compromise comme point de récupération pour d’autres comptes en ligne.

Bien connu des pirates

Collection 1 était disponible sur le site d’hébergement de fichiers MEGA, et son existence semblait être bien connue dans le milieu du piratage, souligne Troy Hunt.

M. Hunt dit avoir été alerté de la circulation de Collection 1 sur un « populaire forum de piratage » par de multiples individus. Cela semble indiquer qu’il s’agissait d’une banque de données connue dans les milieux interlopes et que de nombreuses personnes ont pu y avoir accès.

Des répertoires d’identifiants piratés comme Collection 1 sont des mines d’or pour les pirates, qui peuvent ensuite s’en servir pour mener des attaques par bourrage d’identifiants.

Ce type d’attaque consiste à utiliser un programme informatique pour tenter de se connecter à de multiples sites en se servant d’identifiants volés ailleurs sur le web. Cette méthode s’appuie sur le fait que de nombreuses personnes utilisent le même mot de passe sur plusieurs services.

Des pirates peuvent ainsi avoir accès à énormément de données sur une personne, ce qui peut permettre de la menacer avec du chantage en échange d’argent. Dans certains cas, les attaquants pourraient même parvenir à accéder au compte bancaire d’une victime et lui dérober de l’argent.

Comment se protéger?

Luc Lefebvre recommande fortement d’activer la validation en deux étapes sur tous ses comptes en ligne, lorsque ce service est offert. Les sites qui l’utilisent vous demanderont alors d’entrer votre mot de passe pour vous connecter ainsi qu’un code unique envoyé par le biais d’une application ou par message texte. Cela minimise les risques qu’une personne autre que vous puisse se connecter à votre compte.

Il est également conseillé d’utiliser des mots de passe différents pour chaque service web et de les changer régulièrement pour se protéger contre des attaques par bourrage d’identifiants. M. Lefebvre recommande d’utiliser des gestionnaires de mots de passe comme 1Password ou LastPass pour faciliter cette pratique.

Enfin, Luc Lefebvre suggère de se rendre sur Have I Been Pwned (Nouvelle fenêtre) et d’entrer son adresse courriel pour voir si elle a déjà été compromise et s’inscrire aux alertes pour être averti de futurs piratages.

Cybersécurité

Techno