Ces dernières années, nous avons pu voir de nombreuses brèches de sécurité de haut vol sur des sites populaires ou des services en ligne, et il est plus que probable que certains de vos comptes en fassent partie. Il est aussi probable que vos identifiants et mots de passe soit listés dans un énorme fichier qui flotte au milieu du Dark Web…

Des chercheurs en sécurité informatique à 4iQ passent leurs journées à surveiller différents sites du Dark Web, des forums de hackers et des marchés noirs en ligne à la recherche de données volées. Leur dernière trouvaille : un fichier de 41 Gb contenant pas moins de 1,4 milliard d’identifiants et mots de passe. Le volume de ces données est assez important pour faire peur, mais ce n’est pas tout.

Toutes ces données sont affichées en simple texte. 4iQ fait remarquer qu’environ 14 % des mots de passe (soit presque 200 millions) circulaient jusqu’à présent de manière chiffrée. Mais sur ce fichier, tout le difficile travail de déchiffrage a déjà été fait. N’importe qui pouvait simplement l’ouvrir, faire une recherche rapide et se rendre sur les comptes de quelqu’un d’autre.

Toutes les données sont présentées au propre, organisées, par ordre alphabétique. Tout est « prêt-à-l’emploi » pour que les hackers téléchargent le fichier dans des applications dédiées.

D’où vient ce 1,4 milliard de données ? Pas d’un seul piratage. Ces identifiants et mots de passe proviennent de différentes sources. Les captures d’écran de 4iQ montrent que certains viennent de Netflix, d’autres de Last.FM, LinkedIn, MySpace, le site de rencontre Zoosk, le site pour adultes YouPorn, ou encore de jeux populaires comme Minecraft ou Runescape.

Certains de ces vols de données ont eu lieu il y a assez longtemps, et les mots de passe volés circulent parfois depuis un certain temps. Mais ça ne rend pas ces données inutiles pour les hackers. En effet, beaucoup de monde a tendance à réutiliser leurs mots de passe (et beaucoup ne se pressent pas non plus de réagir en apprenant qu’il y a eu une brèche de sécurité), ce qui fait que nombre de ces mots de passe sont probablement toujours valides. Même si ce n’est pas le cas sur le site initialement piraté, ce sera le cas sur un autre site où la même personne s’est créé un compte.

Une partie du problème vient du fait qu’on traite souvent nos comptes en lignes comme s’ils étaient à usage unique. On les crée sans réfléchir beaucoup à la façon dont un cyber-agresseur pourrait utiliser l’information sur ce compte (qui n’a pas d’importance) pour accéder à un compte auquel on tient. À notre époque, on ne peut pas se permettre ce genre d’erreurs. On doit se préparer au pire à chaque fois qu’on s’inscrit sur un nouveau site ou pour un nouveau service.