Les Suisses sont concernés par le dernier vol massif de données

C’est l’avertissement le plus récent pour utiliser absolument un mot de passe unique par service web. La semaine passée, un set comprenant des combinaisons de plus de 770 millions d’adresses e-mails et mots de passe a été découvert sur internet. Cette énorme base de données, appelée «Collection #1», est une véritable mine d’or pour des hackers. Une mine d’or qui concerne de près de très nombreux internautes suisses.

C’est l’expert en sécurité Troy Hunt qui a découvert ce set de données, d’une taille exceptionnelle. Il était présent en ligne chez l’hébergeur Mega. Supprimé depuis, il circule très certainement ailleurs via des copies. La taille de cette base de données est de pas moins de 87 Go et se répartit en 12 000 fichiers. Troy Hunt, qui est responsable du site Haveibeenpwned.com, qui permet justement de savoir si son adresse e-mail a été compromise, a repéré près de 2,7 milliards de lignes dans cette base de données. Sur ce total, il a identifié quelque 1,16 milliard de paires uniques composées d’une adresse e-mail et d’un mot de passe. De manière plus fine, il a détecté près de 773 millions d’adresses distinctes et plus de 21 millions de mots de passe différents.

Une grande valeur

Pour des individus malveillants, cette base de données possède une grande valeur. Il est facile, pour des pirates, de prendre ainsi le contrôle de comptes e-mails, mais aussi de profils d’utilisateurs dans Facebook, LinkedIn, Google Docs ou encore Spotify. Indirectement, cela leur permet de dérober des informations personnelles précieuses sur leurs victimes, pour in fine s’emparer par exemple de données liées à des cartes de crédit. L’affaire est donc sérieuse.

Elle l’est d’autant plus que de très nombreux mots de passe sont disponibles en clair, non chiffrés, ce qui rend les attaques encore plus faciles. Ces informations n’étaient pas en vente: elles étaient simplement disponibles. Cette super-base de données semble comprendre en partie des adresses e-mails et mots de passe dérobés lors d’anciennes attaques, certaines remontant jusqu’à 2008. Collection #1 serait ainsi l’agrégation de 2000 vols de données… Et quelque 140 millions d’adresses e-mails seraient nouvelles. Cette affaire rappelle le vol de données, en deux étapes, ayant affecté trois, puis un milliard d’utilisateurs de Yahoo! Mais heureusement pour ces derniers, ces données, rappelle le site spécialisé Wired, n’ont pas (encore) fait surface.

Vérification en ligne

Troy Hunt est en train de mettre à jour son site Haveibeenpwned.com. L’auteur de ces lignes s’est amusé à vérifier son adresse e-mail. Résultat: elle figure dans pas moins de neuf sets de données volées, via des attaques ayant affecté Adobe, LinkedIn, Last.fm, Dropbox ou encore (souvenirs, souvenirs…) Myspace. L’adresse e-mail figure aussi dans Collection #1. Ce dimanche, la SonntagsZeitung écrivait que des dizaines de parlementaires étaient touchés par cette fuite de données: 78 parlementaires helvétiques sur 278, soit plus d’un quart. Parmi eux figurent la conseillère nationale libérale-radicale bernoise Christa Markwalder ainsi que la socialiste zurichoise Priska Seiler Graf. Tout comme le PDC fribourgeois Dominique de Buman, qui présidait encore récemment le Conseil national.

Pour les internautes, les conseils sont toujours les mêmes pour minimiser les risques de se faire attaquer. D’abord, il faut absolument n’utiliser un mot de passe que pour un seul service web ou une adresse e-mail. Donc ne pas être paresseux et ne pas employer un mot de passe pour plusieurs services. Ensuite, il est conseillé, lorsque c’est possible – et c’est de plus en plus le cas –, d’utiliser une authentification à deux facteurs: en plus du mot de passe normal, un second mot de passe est envoyé, par exemple par SMS, pour la connexion. Enfin, un gestionnaire de mots de passe peut être utile – même si certains, comme Blur, peuvent avoir des soucis de sécurité. Rappelons que le site Haveibeenpwned.com possède un lien commercial avec le gestionnaire de mots de passe 1Password.