Cette semaine, Troy Hunt, expert en sécurité informatique chez Microsoft a indiqué que des milliers de bases de données comprenant des emails et leurs mots de passe ont été hackées, et sont donc entre les mains de personnes potentiellement malveillantes. La fuite, baptisée « Collection #1 », concernerait 772 millions de comptes.

Bernd Koenig, directeur des produits Sécurité Akamai

Ce qui est intéressant à propos de Collection #1 n’est pas particulièrement le côté massif de la fuite – après tout c’est plus une compilation de fuites de données qui ont eu lieu pendant quelques temps – c’est surtout que c’est probablement la première fois que quelqu’un publie les informations des utilisateurs dans de tels volumes sur un site public. Cela signifie que, même si vous n’êtes pas un expert, vous pouvez vous procurer des millions d’adresses mail et de mots de passe non cryptés.

Les entreprises en ligne essayant de protéger leurs clients devraient savoir que la quantité d’acteurs malveillants ayant la capacité de lancer une attaque de type « credential stuffing » a été multiplié en seulement une nuit. Elles devraient être prêtes à les défendre pas seulement contre les vols d’identité mais aussi contre les incidents accidentels de déni de service causés par un nombre écrasant de nouveaux assaillants.

Ladislav Zezula, Malware Researcher, chez Avast

Collection #1 est le fruit de plusieurs années de collecte de données piratées, provenant de diverses sources sur le darknet, à l’instar de la récente fuite de données qui a récemment affecté des personnalités politiques et publiques, ainsi que des journalistes, en Allemagne.

Le dévoilement de cette Collection #1 devrait servir d’électrochoc pour la population mondiale : il est impératif que chacun réalise la nécessité de changer ses mots de passe actuels en mots de passe forts et uniques, constituant même idéalement une phrase facile à retenir. Une autre solution consisterait à utiliser un gestionnaire de mots de passe : ceux-ci permettent aux utilisateurs de modifier leurs mots de passe en un clic, en d’autres, plus longs et mieux sécurisés. L’utilisateur ne doit alors plus se souvenir que d’un seul mot de passe : celui qui lui permet d’accéder au gestionnaire.

Il est en outre important, dans la mesure du possible, de recourir à l’authentification à deux facteurs. Cette dernière nécessite que les utilisateurs entrent un code, en plus de leur nom d’utilisateur et de leur mot de passe. Ce code est généralement envoyé à un numéro de téléphone mobile ou à une adresse électronique associée au compte. L’authentification à deux facteurs peut en outre jouer le rôle de système d’avertissement pour l’utilisateur, qui est informé lorsqu’une personne malveillante tente de pirater son compte.

Les cybercriminels vont très probablement utiliser les données de la Collection #1 pour élaborer des escroqueries de phishing et recourir au chantage. Ce fut par exemple le cas pour l’arnaque de sextorsion qui s’est répandue dans le monde l’été dernier, et qui a utilisé des mots de passe ayant été divulgués lors de violations de données. L’escroquerie envoyait des emails aux utilisateurs affirmant connaître leur mot de passe de messagerie, et leur faisant croire qu’ils disposaient d’une vidéo compromettante prise via leur webcam tandis qu’ils visionnaient du contenu adulte ou illégal.

Les données piratées telles que celles de la Collection #1, qui comprennent souvent des adresses électroniques, des mots de passe et autres informations personnelles, sont vendues quotidiennement sur le darknet à des cybercriminels qui lancent ensuite des attaques prenant bien souvent la forme du chantage. Une perspective qui devrait inciter les utilisateurs en général à rapidement adopter une gestion de leurs mots de passe plus sécurisée, car 21 millions de mots de passe compromis ne font que confirmer que cela n’arrive pas qu’aux autres !

Sergey Lozkhin, chercheur en cyber sécurité au sein du GReAT chez Kaspersky Lab,  

Cette quantité de données massives, récoltée par le biais d’une faille de données a été produite sur une longue période, ce qui signifie qu’un certain nombre d’informations sont susceptibles d’être obsolètes aujourd’hui. Cependant, il est de notoriété commune que malgré la prise de conscience croissante face au danger, les individus continuent d’utiliser les mêmes mots de passe, et les réutilisent même sur un grand nombre de sites Internet.

De plus, cette collection de données peut facilement être transformée en une simple liste d’emails et de mots de passe, de fait les attaquant n’auraient qu’à écrire une ligne de code sur un programme informatique assez simple pour vérifier la fonctionnalité de ces mots de passe sur d’autres comptes en ligne. Les conséquences d’un accès aux comptes peuvent aller d’un phishing très fructueux, puisque les criminels n’ont qu’à envoyer des emails malveillants à la liste de contacts de la victime, à des attaques ciblées visant à dérober l’intégralité de l’identité digitale de la victime ou de l’argent, ou encore à la compromission des informations envoyées sur tous les réseaux sociaux » explique Sergey Lozhkin.

Il est urgent que toutes les personnes qui utilisent leurs mots de passe de messagerie pour d’autres activités en ligne prennent les mesures suivantes, aussi vite que possible :

– Vérifier si les comptes de messageries ont été exposés en se rendant sur  https://haveibeenpwned.com/
– Changer les mots de passe des comptes les plus importants et sensibles (tels que les banques en ligne, les plateformes de paiement en ligne ou les réseaux sociaux), de préférence en utilisant un gestionnaire de mots de passe
– Implémenter l’authentification multi-facteurs dès que possible.