Have I Been Pwned s’enrichit d’un trésor de guerre d’infostealers

Un total de 122 Go. C’est l’impressionnant volume de données reçues la semaine dernière par Troy Hunt, créateur de Have I Been Pwned. Il s’agit d’environ 1 700 fichiers contenant plus de 2 milliards de lignes de combinaisons d’identifiant et mot de passe, parfois complétées des URL des services en ligne où ont été créés les comptes correspondants.

Au total, il y a environ 361 millions d’adresses e-mail uniques, dont près de la moitié était jusque-là inconnue de Have I Been Pwned.

D’où viennent ces données ? Elles ont été collectées par un chercheur anonyme sur des chaînes Telegram – près de 520 – où elles étaient partagées gratuitement, explique Troy Hunt.

Il s’agit de combolists vraisemblablement constituées en tout ou partie à partir des innombrables logs d’infostealers partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées.

Pour mémoire, Recorded Future a compté plus de 43 638 000 identifiants compromis en France en 2023, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023.

Récemment, à l’occasion de la présentation de son rapport d’activité pour l’année écoulée, le CERT Santé a indiqué constater « de plus en plus que des attaquants accèdent initialement aux systèmes avec des identifiants valides récupérés [par force brute, phishing ou infostealer] dans les cas de compromissions, principalement sur les passerelles VPN et applicatifs exposés ».

Chaque semaine, le CERT Renater recense des détections de compromission par infostealer de dizaines, voire centaines, de PC connectés à son réseau, pour un total de près de 4 500 occurrences depuis le début de l’année.

De son côté, Mandiant vient d’indiquer que, pour près de 40 % des cyberattaques sur lesquelles ses équipes sont intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par infostealers.