Fuite record de 773 millions d’adresses mail

securite-web

Près de 773 millions d’adresses mail et plus de 21 millions de mots de passe uniques ont été trouvés, hébergés sur internet sur le service de partage de fichiers Mega. Troy Hunt, un spécialiste de la sécurité informatique, a annoncé sur son blog que l’ensemble, rangé en 12.000 fichiers distincts, représentait 87 giga-octets de données.

Le tout, appelé Collection #1, viendrait de nombreuses sources, agrégeant des listes bien plus petites de données dérobées autrefois.

Hunt écrit : »Ce que je peux dire, c’est que mes propres données personnelles y sont et qu’elles sont exactes ; la bonne adresse e-mail et un mot de passe que j’ai utilisé il y a bien des années. »
« En résumé, si vous êtes dans cette fuite de données, un ou plusieurs des mots de passe que vous avez utilisé autrefois se baladent quelque part à la portée d’autres personnes. »

Une partie des mots de passe, dont les siens, étaient convertis en texte simple.

Des mots de passe utilisés pour des piratages ultérieurs

Hunt a été averti par plusieurs personnes le contactant à propos des données sur Mega, l’ensemble Collection #1 étant déjà commenté sur un forum de hackers. Cet énorme paquet de données a depuis été enlevé… mais il est évident qu’il en existe des copies ailleurs.

On peut vérifier si son adresse mail figurait dans des fuites de ce type, sur le site haveibeenpwned.com.

Selon Wired, cette liste de listes à la taille record semble destinée à des tentatives de piratage dans lesquelles les attaquants tentent des combinaisons de mots de passe et d’adresses mail trouvés pour un site, sur un autre service. Beaucoup de gens utilisent en effet plusieurs fois le même mot de passe – même Mark Zuckerberg, piraté en 2016 parce qu’il utilisait le même mot de passe (dangereusement simple de plus) sur LinkedIn, Twitter et Pinterest.

L’énormité de cette fuite la met au niveau des plus grandes de l’histoire de l’informatique, celles de Yahoo et d’Equifax.

En décembre 2016, Yahoo avait annoncé que les données personnelles du tiers de ses 3 milliards d’utilisateurs avaient été dérobées : nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, les mots de passe hachés, et dans certains cas les questions de sécurité et leurs réponses. Un an plus tard, Yahoo avait dû admettre qu’en fait, la totalité de ses utilisateurs avaient été touchés. Ces données n’ont, à ce jour, pas figuré sur une liste telle que Collection #1 (mais rien ne dit qu’elles ne referont pas surface un jour).
En 2017, c’est au moins 145 millions d’Américains dont les données personnelles ont été dérobées lors du piratage d’Equifax, une agence américaine de crédit. L’entreprise n’avait pas corrigé une faille informatique, pourtant connue.

Thierry Noisette – L’Obs – vendredi 18 janvier 2019