Un recueil d’environ 773 millions d’adresses email uniques et 22 millions de mots de passe sont exposés
Un recueil d’environ 773 millions d’adresses email uniques et 22 millions de mots de passe exposés
sur le service cloud populaire MEGA
Ce mercredi, Troy Hunt a publié dans un billet de blog que des données d’une taille d’au moins 87 Go, comprenant adresses électroniques et mots de passe, circulent librement sur internet depuis un moment. Troy Hunt est un expert australien de la sécurité Web reconnu pour ses activités de sensibilisation sur des sujets liés à la sécurité. Il a également créé HIBP (Have I Been Pwned ? Ou ai-je été pwned ? en français), un site Web de recherche de données confidentielles qui permet aux utilisateurs non techniques de voir si leurs informations personnelles ont été compromises. Les données dont on parle ici portent le nom de “Collection n°1” et constituent un ensemble d’adresses électroniques et de mots de passe totalisant 2,5 milliards de lignes, une quantité de données jugée considérable par Troy Hunt.
Cette collection, dit-il, est un regroupement de nombreuses violations de données personnelles provenant de sources différentes. Dans son argumentaire, il précise que même si les fichiers ont été supprimés de Mega ; il s’agit de plus d'un milliard de combinaisons uniques d’adresses email et mots de passe avec au total plus de 700 millions d'adresses électroniques et plus de 21 millions de mots de passe. Une autre information qu’il apporte est que la collection tire ses informations de près de 2000 bases de données et contient une liste de répertoires de 2880 fichiers distincts occupant plus de 87 Go d’espace disque. MEGA est site d'hébergement de fichiers qui propose un stockage en cloud chiffré contrôlé par l'utilisateur et des discussions en direct via des navigateurs Web standard, ainsi que des applications dédiées pour les appareils mobiles.
Pour lui, ces nombres représentent la plus grande violation de données jamais signalée par son outil HIBP. Il dit avoir trouvé ses propres informations au sein de cette collection. « Ce que je peux dire, c’est que mes données personnelles sont là et qu’elles sont exactes. Mon adresse e-mail et un mot de passe que j'ai utilisé il y a de nombreuses années. Comme beaucoup d’entre vous qui lisez ceci, j’ai déjà été victime de multiples violations de données qui ont eu pour conséquence que mes adresses de messagerie et mes mots de passe effectifs circulent en public. Heureusement qu’il s’agit des mots de passe qui ne sont plus utilisés », a écrit Hunt.
Il explique aussi que les gens pourraient recevoir des notifications ou retrouveront leurs informations en naviguant sur un site. Ce sera un petit rappel de plus sur l'utilisation abusive de nos données personnelles. « Si, comme moi, vous êtes dans cette liste, des personnes qui ont l’intention de s’immiscer dans vos comptes en ligne le font circuler entre elles et cherchent à tirer parti de tous les raccourcis que vous prenez avec votre sécurité en ligne. J'espère que pour beaucoup, ce sera le prompt dont ils ont besoin pour apporter un changement important à leur posture de sécurité en ligne », insista-t-il.
Selon Hunt, si vous êtes dans cette brèche, un ou plusieurs des mots de passe que vous avez utilisés précédemment flottent à la vue des autres et qu’il faut procéder à une vérification de son adresse électronique et de son mot de passe par le biais de HIBP. Après quoi, il faut penser à le sécuriser ou à le modifier. Hunt indique que vérifier son adresse électronique sur HIBP est aussi simple que d'aller sur le site, saisir l’adresse puis consulter les résultats (faire défiler plus bas la liste des violations de données spécifiques dans lesquelles l'adresse a été trouvée).
Il estime que, ce que les gens voudront savoir c'est lequel de leurs mots de passe a été exposé. HIBP ne stocke jamais les mots de passe à côté des adresses électroniques et pour une bonne raison, précise-t-il. Faire cela, selon lui, pose un risque trop grand pour les individus, un risque trop grand pour sa personne et qu’il existe un autre moyen à savoir utiliser les mots de passe Pwned. « C’est une fonction de recherche de mot de passe que j’ai intégrée à HIBP il y a environ 18 mois. L’intention initiale était de fournir un ensemble de données aux utilisateurs des systèmes de construction afin qu’ils puissent se référer à une liste de mots de passe violés afin d’empêcher les utilisateurs de les utiliser à nouveau. Cela fournissait un moyen de mettre en œuvre les orientations, données par le gouvernement et les organisations, mais également aux particuliers, un référentiel dans lequel ils pouvaient vérifier leurs propres mots de passe », a-t-il expliqué.
Pour tester cela ou savoir comment fonctionne l’outil, vous pouvez vous référer à HIBP. La chose la plus efficace que les gens puissent faire pour sécuriser leurs comptes en ligne est de s’assurer que chacun d’entre eux est protégé par un mot de passe long, généré aléatoirement et unique pour chaque compte. Il finit son exposé en donnant d’autres idées pour sécuriser son compte et ses mots de passe. Il propose de commencer dès maintenant à utiliser un gestionnaire de mots de passe ou s’il y a lieu d’utiliser une authentification multifactorielle sur chaque site qui le permet.
Selon un internaute, pour éviter d’être surpris par ce genre de chose, il vous faut juste utiliser un service de mot de passe sécurisé tel que DashLane. Il vous avertit, dit-il, si un mot de passe a été compromis et signale les comptes correspondants. Pour lui, cela facilite également la définition d'un mot de passe unique pour chaque service, ce qui réduit l'impact de la compromission de l'un d'entre eux.
Source : Billet de blog
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Répondre avec citation
Partager