Les données internet sont aujourd’hui, plus que jamais, exposées au danger de piratage. En cause, une gigantesque fuite de mots de passe. Plusieurs milliards de clés d’accès à des comptes viennent d’être divulguées par un site spécialisé dans le piratage.
Près de dix milliards de mots de passe, 9 948 575 739 plus précisément, sont désormais publiquement accessibles depuis jeudi 4 juillet après avoir été postés par des pirates. Découvert par le site Cybernews, ce fichier appelé Rockyou2024.txt. et posté dans le forum spécialisé dans le piratage ObamaCare représente la plus importante compilation de mots de passe mettant en danger les données en ligne.
Les pirates à l’origine de cette fuite mentionnent par ailleurs que ce fichier est la version actualisée de « rockyou 2021 », un autre fichier posté en 2021 contenant 8,4 milliards de mots de passe. Aussi, au vu du contenu de Rockyou2024.txt., il paraît que le volume de « rockyou 2021 » a augmenté de 15 %. Il faut savoir aussi que les pirates derrière cette grosse fuite ont pu réunir ce volume grâce à un travail mené depuis 2009 sur les données piratées issues de plus de 4 000 bases de données différentes.
L’ampleur de cette fuite représente un réel danger sur les données présentes sur le Net du fait que celles-ci peuvent désormais être utilisées par les pirates pour mener des attaques par un procédé appelé force brute consistant à tester l’une après l'autre chaque combinaison d’un mot de passe ou clé pour un identifiant donné afin d’accéder au service ciblé, explique, sur son site, la Commission nationale de l’Informatique et des Libertés (CNIL). Des chercheurs expliquent, en effet, que « les acteurs de cette menace pourraient exploiter Rockyou2024.txt pour mener des attaques par force brute et obtenir des accès non autorisés à divers comptes en ligne utilisés par des personnes qui utilisent des mots de passe inclus dans cette liste ».
Comment se protéger face au vol des mots de passe ?
Malgré l’importante quantité de mots de passe actuellement en fuite et le danger que cela peut représenter sur les données, il existe toutefois des moyens simples de protéger ses informations. Bien qu’un pirate puisse tester des millions de mots de passe en un petit instant via l’automatisation du processus, des méthodes pour se défendre existent toujours en vérifiant, d’abord et avant tout, si les adresse mails ne sont pas concernées par cette gigantesque opération de publication de mots de passe. Plusieurs outils sont proposés pour cet objectif, à savoir le site haveIBeenPwned ou l’outil de cybernews.
Il faut savoir aussi que les mots de passe faits uniquement d’une suite de chiffres ou de lettres, quelle que soit leur longueur, sont les plus faciles à pirater, selon Hive Systems, boîte spécialisée dans les systèmes de sécurité informatique, qui recommande des clés composées de neuf caractères au moins et comprenant des majuscules et des minuscules combinées, des chiffres, des lettres et des symboles.
D’autres moyens permettent de se protéger en évitant, par exemple, d’utiliser les mêmes mots de passe sur plusieurs comptes. Il faut également utiliser le système d'authentification à deux facteurs (2FA) ou encore faire appel à un gestionnaire de mots de passe.