C’est un record absolu. Des chercheurs en cybersécurité de Cybernews ont découvert un total de 16 milliards de mots de passe, ce qui constitue la plus grande fuite de données de l’histoire. Il s’agit d’une compilation de 30 ensembles de données, et tous sont complètement nouveaux. Tous sauf un, dévoilé en mai et contenant 184 millions de mots de passe.
Habituellement, ce genre de découvertes contient de nombreuses bases de données recyclées, mais ce n’est pas le cas ici. L’année dernière, Cybernews avait aussi découvert la plus grande base de données volées de l’histoire, avec 26 milliards d’entrées, mais il s’agissait de précédentes fuites qui avaient recompilées.
Rien à voir avec les 16 milliards d’entrées presque entièrement nouvelles. La structure des informations indique que la plupart proviennent d’infostealers, un genre de malware conçu pour voler les données, et le plus souvent loués par leurs développeurs à des cybercriminels ayant moins de connaissances techniques. Il ne s’agit donc pas de fuites de sites Web, mais de données volées sur les ordinateurs, principalement ceux de particuliers.
En plus de mots de passe, les données contiennent cookies et identifiants de sessions
Les données concernent un grand nombre de services en ligne différents, dont AppleApple, FacebookFacebook, GoogleGoogle, GitHub, et TelegramTelegram. Les ensembles de données sont très variés, l’un contenant 455 enregistrements provient de la Russie, et le plus grand, avec 3,5 milliards d’enregistrements, a visé la population lusophone, tandis qu’un autre, plus petit, était spécifique à Telegram.
Les chercheurs conseillent d’utiliser un gestionnaire de mots de passe afin de créer des mots de passe longs, complexes et différents pour chaque compte. Il faut aussi activer l’authentification à deux facteurs lorsque c’est possible, ce qui empêchera les criminels d’accéder à vos comptes en utilisant uniquement votre identifiant et mot de passe.
Toutefois, ce ne sera pas suffisant. Certaines des données incluent des cookies et identifiants de session, ce qui permet de se connecter à un compte en contournant l’authentification à deux facteurs. Une autre solution est d’opter pour les passkeys, ou clés d’accès, à la place des mots de passe. Mais ils peuvent également être contournés avec les identifiants de session volés.
Idéalement, il est conseillé de passer un antivirusantivirus sur tous ses appareils pour détecter la présence de l’infostealer, puis changer tous ses mots de passe. Mais même en cas de changement de mot de passe, certains services ne révoquent pas les cookies. Il faudra donc aussi vérifier l’activité de ses comptes pour s’assurer qu’il n’y a pas d’intrusion.