Des milliards de données dérobées puis rassemblées. 3,2 milliards d'identifiants et mots de passe associés à des comptes Gmail, Hotmail, LinkedIn ou encore Netflix ont été agglomérés au sein d'une base de données, partagée ensuite sur des forums dédiés au piratage, rapporte le journal en ligne britannique BGR. L'information est toutefois moins alarmante qu'il n'y parait. En effet, ces milliards d'identifiants n'ont pas été récupérés via une seule et unique brèche mais glanés sur différents forums, où les données s'accumulent depuis plusieurs années. "La plupart des données datent en réalité de 2017", explique un chercheur en cybersécurité joint par Europe 1. Il ajoute : "Il n'y a pas lieu de s'alarmer."
Des données en partie obsolètes
La nouvelle base de données a d'ailleurs été baptisée COMB, pour "Compilation of many Breaches". "C'est assez courant dans le milieu. Sur des forums spécialisés, des hackers publient des messages pour affirmer qu'ils sont en possession d'un certain nombre d'identifiants. Mais en réalité il s'agit souvent d'imposteurs, de gens qui cherchent à se faire de l'argent en revendant d'anciennes fuites regroupées et maquillées pour donner l'impression qu'elles sont neuves", poursuit ce chercheur. Une partie de ces données ont par ailleurs de grandes chances d'être obsolètes puisque les utilisateurs, souvent prévenus par les plateformes au moment de la fuite, ont eu tout le temps de modifier leur mot de passe.
Un risque subsiste malgré tout. "En recoupant les archives à la recherche de comptes créés avec la même adresse mail, les hackers derrière ce fichier ont pu déchiffrer une petite partie des mots de passe jusqu'ici non-exploitables." En clair, si une même adresse correspond à un compte Gmail dans un fichier où les mots de passe apparaissent et à un compte Netflix dans un autre, où les mots de passe sont cryptés, les hackers croiseront ces informations en espérant que l'utilisateur utilise deux fois le même.
Attention aux mots de passe uniques
"Cela remet sur le tapis le problème des mots de passe uniques. Si vous utilisez le même mot de passe pour tous vos comptes, vous vous exposez. Trop de gens ne font pas attention et les hackers en profitent", souligne le chercheur. Pour rappel, faire varier un chiffre, transformer une minuscule en majuscule ou ajouter un symbole ne fait pas une grande différence pour les hackers. Un seul compte piraté suffit toujours dans ce cas à être sérieusement exposé.
Pour permettre aux internautes de savoir si l'un de leur compte apparaît dans cette nouvelle base de données, le journal BCR a créé un moteur de recherche dédié. Vous le trouverez ici.