Ce vidage d'informations d'identification violées contient des millions de mots de passe activement utilisés
Agence web » Actualités du digital » Ce vidage d'informations d'identification violées contient des millions de mots de passe activement utilisés

Ce vidage d'informations d'identification violées contient des millions de mots de passe activement utilisés

ParTremplin Numérique Publié le

Résumé

  • Dump massif : environ 2 milliards d'e-mails et 1,3 milliard de mots de passe uniques compilés à partir de nombreuses violations et journaux.

  • De nombreux mots de passe exposés sont toujours actifs ; des changements immédiats de mot de passe sont essentiels pour éviter le piratage de compte.

  • Vérifiez Have I Been Pwned maintenant et utilisez un gestionnaire de mots de passe ; arrêtez de réutiliser les mots de passe sur tous les sites.

Les violations sont toujours graves, mais nous ne sommes souvent pas informés de la plupart des violations plus petites, qui ne sont pas beaucoup annoncées et peuvent être tout aussi graves, surtout si vous êtes le genre de personne à utiliser le même mot de passe partout. Si vous avez besoin d’un autre rappel qu’il s’agit d’une mauvaise pratique, ce vidage d’informations d’identification violées est exactement ce dont vous avez besoin.

Près de 2 milliards d'adresses e-mail et 1,3 milliard de mots de passe uniques ont été téléchargés sur Have I Been Pwned, une base de données qui permet aux utilisateurs de savoir si leur adresse e-mail est apparue lors d'une fuite de données. Ces données ont été compilées par Synthient et ont d'abord été signalées par erreur comme étant une violation de Gmail. Un article explicatif précise qu'il existe 32 millions de domaines de messagerie uniques dans cette mine de données, et que Gmail est le plus courant car il est le plus grand fournisseur de messagerie. Il ne s’agit pas non plus d’une seule violation. Il s'agit d'une collection massive de paires e-mail/mot de passe provenant de beaucoup différentes sources (journaux des voleurs, autres violations). Ces types de collections sont utilisés par les attaquants pour lancer des attaques de « credential stuffing », en essayant ces mots de passe sur des sites non liés (comme les banques, les e-mails ou les achats) jusqu'à ce qu'ils obtiennent une correspondance.

En théorie, il s’agit de données anciennes, dont certaines remontent aux années 1990. Alors pourquoi est-ce important ? C’est remarquable pour plusieurs raisons. En concordance avec plusieurs utilisateurs HIBP, il a été constaté que certaines personnes utilisaient encore les mots de passe exposés sur leurs comptes actifs. Un utilisateur a dû dresser « immédiatement » une liste de comptes actifs à modifier, illustrant parfaitement que ces identifiants constituent un danger actuel, et pas seulement historique.

Avec près de 2 milliards d’e-mails uniques et 1,3 milliard de mots de passe uniques, il s’agit du « corpus le plus complet » jamais traité par HIBP. Le volume considérable (dont 625 millions de mots de passe que HIBP possédait) jamais vu auparavant) augmente considérablement la probabilité qu’une personne donnée soit exposée.

Vous devriez maintenant vous rendre sur le site Web de HIBP pour voir si vous faites partie de ce dump ou des dumps précédents. Et pendant que vous y êtes, modifiez ces mots de passe et téléchargez un gestionnaire de mots de passe. Je ne saurais trop insister sur l’importance d’un gestionnaire de mots de passe de nos jours.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.