Troy Hunt déteste les titres racoleurs. Mais cette fois-ci, l'expert en sécurité n'a pas le choix. «Deux milliards d'adresses e-mail se retrouvent sur le net», écrit-il sur son blog. En temps normal, de tels chiffres pourraient paraître exagérés. Mais pas cette fois-ci. 1'957'476'021 adresses e-mail, 1,3 milliard de mots de passe, dont 625 millions encore inconnus, lui ont été transmis. Sa conclusion: «C'est de loin le plus grand ensemble de données de connexion que nous ayons jamais traité.»
Troy Hunt sait de quoi il parle. Depuis 2013, l'Australien exploite «Have I Been Pwned», un moteur de recherche gratuit dédié aux fuites de données. Tout le monde peut y saisir son adresse e-mail et voir s'il a été victime de piratage. Les mots de passe eux-mêmes ne sont pas visibles, seule l'information indiquant s'ils ont été craqués est accessible. L'expert a déjà recensé plus de 15 milliards de comptes. Mais cette nouvelle faille dépasse tout ce qui avait été vu jusqu'à présent.
Des logiciels espions
D'où proviennent ces nouvelles données? Les collaborateurs de la société de sécurité informatique Synthient ont passé au peigne fin les recoins d'Internet pendant plusieurs mois. Des groupes Telegram où les pirates vendent leur butin, aux espaces de stockage accessibles au public – utilisés par les malfrats pour échanger des données –, en passant par des forums sur le darknet. Au total, 3,5 téraoctets de données ont été rassemblés.
Une partie des données d'accès proviennent d'une fuite qui était déjà connue. Mais elles sont aussi issues directement des appareils des victimes. Des logiciels appelés «infostealers» s'installent discrètement sur les ordinateurs et téléphones portables. Ils sont souvent dissimulés sous l'apparence de programmes apparemment inoffensifs. Opérant en arrière-plan, ils transmettent des données sensibles aux cybercriminels.
«J'ai tout changé immédiatement»
Synthient a transmis ces informations sur les données de connexion volées à Troy Hunt afin qu'ils les rendent accessibles. La raison? Plus les gens sont nombreux à savoir que leurs données ont été volées, plus vite ils changent leurs mots de passe. Et plus cela se produit rapidement, moins les données deviennent utilisables pour les cybercriminels.
De manière aléatoire, l'expert en sécurité a contacté des personnes concernées afin de vérifier si les données volées étaient authentiques. La première réponse ne s'est pas fait attendre. «Le mot de passe 1 est ancien et n'est plus utilisé. Le mot de passe 2 est plus récent. Merci pour l'avertissement, j'ai immédiatement modifié tous mes accès.» Une autre personne ajoute: c'était un mot de passe que j'utilisais il y a dix ans.» De quoi être un peu moins inquiet?
Viser l'authentification à deux facteurs
Pas forcément. Les cybercriminels ont recours au «credential stuffing», des attaques automatisées qui consistent à tester des millions de fois si les données de connexion volées fonctionnent également sur d'autres plateformes. Cela aboutit souvent car beaucoup de gens utilisent ou réutilisent les mêmes mots de passe, même les plus anciens.
Que faire maintenant? Il est recommandé de se rendre sur haveibeenpwned.com et de saisir son adresse e-mail. Le site vous indiquera de manière anonyme si vos données ont fuité. Si c'est le cas, il faut modifier les mots de passe concernés. Et activer l'authentification à deux facteurs partout où cela est possible. Même si le mot de passe est trouvé, les pirates auront besoin d'un deuxième code. Et surtout, utilisez un mot de passe unique et varié (majuscules, minuscules, chiffres, caractères spéciaux) pour chaque compte. Les gestionnaires de mots de passe aident à garder une vue d'ensemble.
