Pas besoin de piratage d'entreprise, ni de fuite de données chez un service en ligne. Cette fois-ci, c'est l'ordinateur lui-même qui a transmis les données directement aux cybercriminels, mots de passe compris. Le service de vérification en ligne Haveibeenpwned, qui répertorie les données compromises par des fuites, a enrichi sa base de données le 15 juin, y ajoutant 56 millions d'adresses e-mail et 124 millions de mots de passe.
Ces données proviennent de ce qu’on appelle des «stealer logs», c'est-à-dire des logiciels malveillants installés sur un appareil à l'insu de son utilisateur: les identifiants ont donc été récupérés directement sur les ordinateurs infectés. Le service a extrait ces nouvelles entrées parmi des centaines de millions d’enregistrements de ce type. Les exploitants de la plateforme n’expliquent pas précisément quel logiciel malveillant est à l'origine de la fuite de données. L’origine exacte de ces données reste donc inconnue.
17 milliards de données enregistrées
Les «infostealers» comptent parmi les outils préférés des cybercriminels. Ces programmes parcourent les ordinateurs à la recherche de mots de passe enregistrés, de cookies et de données de navigation. Le plus insidieux, c’est que la plupart des victimes ne s'en aperçoivent généralement pas. Le logiciel malveillant peut parfois collecter des données pendant des mois sans être détecté.
Le service HaveIBeenPwned est géré depuis douze ans par l’Australien Troy Hunt. Il suffit de saisir son adresse e-mail pour savoir immédiatement si elle figure dans une fuite de données. La base de données contient des informations issues de piratages connus: par exemple, celui de LinkedIn, où les identifiants de 164 millions d’utilisateurs ont été dérobés en 2012 et n’ont refait surface sur le darknet que des années plus tard, ou encore le piratage d’Adobe en 2013. Au total, cela représente environ 17 milliards d’enregistrements.
En règle générale, un mot de passe robuste doit comporter au moins douze caractères et contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux. Plus important encore, il faut choisir un mot de passe différent pour chaque service et, dans la mesure du possible, activer l’authentification à deux facteurs. Ceux qui ne souhaitent pas mémoriser toutes ces combinaisons peuvent utiliser un gestionnaire de mots de passe. Le compte de messagerie est le plus sensible. Si quelqu'un y accède, il peut utiliser la fonction «mot de passe oublié» et ainsi réinitialiser immédiatement les identifiants de tous les services associés à cette adresse e-mail.
