beebright - stock.adobe.com
Mots de passe : une énorme compilation d’identifiants souligne à nouveau les mauvaises pratiques
Près de 1,2 milliard de couples adresse e-mail/mot de passe uniques sont dans la nature, regroupés dans une compilation intitulée Collection #1 et pesant rien moins que 87 Go. L’incident met en lumière les mauvaises habitudes.
C’est un vaste ensemble de plus de 12 000 fichiers représentant plus de 87 Go de données. Et pas n’importe lesquelles : des identifiants de comptes de services et sites Web. Troy Hunt, créateur du service Have I been pwned, a mis la main sur cette compilation intitulée Collection #1, un temps diffusée via Mega.
Ces données constituent une menace considérable car des cyber-délinquants peuvent utiliser les combinaisons de courriels et de mots de passe pour les tester sur de multiples comptes en ligne suivant la technique dite de bourrage d’identifiants – ou credentials stuffing. Si la technique fonctionne, c’est en raison de la réutilisation massive des mots de passe. Et le manque de créativité.
Les chiffres établis par Troy Hunt soulignent ces deux travers. Ainsi, sur un total de 1,16 milliard de combinaisons uniques d’adresses e-mail et de mots de passe, il ne faut compter en fait que 772 904 991 adresses e-mails uniques. La réutilisation saute aux yeux.
Mais ce n’est pas tout : dans toutes ces données, il n’y a en fait que 21,2 millions de mots de passe différents ! Là, c’est l’absence de créativité qui frappe. L’intégration de ces mots de passe dans outil d’attaque en force brute par dictionnaire pourrait de toute évidence s’avérer redoutable.
Et Troy Hunt l’a bien compris. Son service Have I been pwned se concentrait initialement sur les adresses e-mails. De quoi permettre à un internaute de savoir si son compte avait été compromis dans une brèche connue. Mais le service va aujourd’hui plus loin et permet de savoir si un mot de passe a déjà été compromis dans le cadre d’un tel incident. De quoi inciter à surtout le bannir.
Achevez-moi directement en fait… pic.twitter.com/ABuOtm8af3
— aeris (@aeris22) January 17, 2019
Certains feraient d’ailleurs bien de réagir rapidement. Parmi les sites présentés comme sources de données par les auteurs de la compilation – si tant est que leurs allégations sont là exactes –, celui dédié aux exposants du salon du Bourget est mentionné, ou encore Le Guide du Militaire.
Et puis il y a ces mots de passe d’une fragilité ahurissante qui figurent dans certains fichiers de la compilation et attribués à des fonctionnaires… du ministère de l’Intérieur, des Affaires Etrangères, ou encore des Finances, et de la Défense, entre autres. Des mots de passe dont l’utilisation, si l’on en croît Have I been pwned, n’a hélas rien d’isolé.