Cybersécurité : L’inquiétante fuite de 10 milliards de mots de passe
La récente découverte par des chercheurs en cybersécurité d'une gigantesque liste de près de 10 milliards de mots de passe en clair sur le dark web soulève de vives inquiétudes. Cette fuite de données sans précédent pourrait entraîner une recrudescence d'attaques informatiques visant aussi bien les particuliers que les entreprises.
Une compilation de fuites sur 20 ans
Le fichier incriminé, baptisé « rockyou2024.txt », a été publié début juillet par un hacker se faisant appeler « ObamaCare » sur un forum de revente de données volées. En recoupant ces mots de passe avec d'autres bases piratées, les experts de Cybernews ont pu établir que cette liste est une compilation de codes d'accès dérobés au cours des 20 dernières années, provenant de multiples brèches de sécurité.
En substance, rockyou2024 est une compilation de mots de passe réels utilisés par des individus du monde entier.
Cybernews
Des attaques facilitées
Cette liste constitue un véritable trésor pour les cybercriminels. En testant les combinaisons identifiants/mots de passe sur de multiples sites et services, une technique appelée « bourrage d'identifiants » (credential stuffing), ils peuvent s'introduire dans les comptes des victimes réutilisant les mêmes accès. Les systèmes peu protégés sont aussi à la merci d'attaques par force brute, où chaque mot de passe est essayé un à un.
Des antécédents inquiétants
Ce type de cyberattaques a déjà fait des dégâts par le passé. L'an dernier, des pirates ont ainsi pu accéder à des comptes du service d'analyse ADN 23andMe ou encore aux clients des banques Santander et Ticketmaster, suite au piratage de leur fournisseur Snowflake. Les chercheurs craignent que cette nouvelle fuite massive ne déclenche une vague d'attaques similaires à grande échelle.
Comment se protéger ?
Face à cette menace, quelques bonnes pratiques s'imposent :
- Utiliser des mots de passe uniques et robustes pour chaque compte
- Activer l'authentification multi-facteurs partout où c'est possible
- Surveiller toute activité suspecte sur ses comptes
Cybernews propose aussi un outil pour vérifier si vos identifiants ont fuité à partir d'une adresse email ou un numéro de téléphone.
Un hacker prolifique
Le pirate informatique à l'origine de cette publication, « ObamaCare », semble déterminé à alimenter le marché noir des données volées. Inscrit depuis fin mai sur BreachForums, il a déjà divulgué les bases de plusieurs sociétés comme le cabinet d'avocats Simmons & Simmons.
Cette fuite historique de 9,9 milliards de mots de passe est un nouveau signal d'alarme pour la cybersécurité mondiale. Alors que les attaques se multiplient et se perfectionnent, renforcer ses défenses devient plus que jamais un impératif pour tous, particuliers comme entreprises. La vigilance est de mise pour ne pas voir ses données personnelles et professionnelles tomber entre de mauvaises mains.