Coup d'effroi le 2 février quand un cybercriminel a publié une base de données contenant 3,2 milliards d'adresses e-mails avec des mots de passe associés, provoquant l'émoi des experts en sécurité et l'inquiétude des internautes. Dans les faits, la menace est moins importante que ce que les chiffres pouvaient laisser envisager.
La nouvelle est arrivée comme une bombe sur les écrans de tous les experts en sécurité de la planète. Le 2 février, un cybercriminel publie une « Comb », une compilation de nombreuses failles, sur l'un des forums de hackers les plus populaires du Net. Son secret espoir : revendre à prix d'or cette immense base de données d'e-mails et de mots de passe piratés !
L'alerte fait le tour du monde et les gros titres des journaux spécialisés. Et pour cause : le volume est inédit. Il s'agit de 3,2 milliards d'identifiants qui sont révélés au grand jour. Ce sont quelque 87,5 gigaoctets de données répartis dans 130 dossiers ! L'ensemble contient un petit script de recherche très simple qui permet même aux novices d'avoir accès facilement aux informations. Chaque ligne est composée de l'e-mail et du mot de passe.
Plus impressionnant que dangereux
La plupart des éléments divulgués sont rattachés à des comptes Gmail et Hotmail. Deux des services les plus utilisés au monde ! Il n'en faut pas plus pour créer un vent de panique. Plus de 3 milliards de comptes Google ou Microsoft dans la nature, avec leurs mots de passe, il y a de quoi faire perler quelques gouttes de sueur. Des personnes mal intentionnées pourraient en effet s'en servir pour essayer de prendre possession d'autres services ayant le même couple d'identifiants.
La frayeur et le sensationnel passés, l'analyse de la menace a néanmoins montré qu'elle n'était pas à la hauteur de l'émoi généré. L'auteur le reconnaît lui-même dans le message posté sur le forum : « la grande majorité du contenu est accessible publiquement ». En d'autres termes, la quasi-totalité des e-mails présents dans son document étaient déjà dans la nature auparavant. Le pirate n'a fait que compiler toutes les données disponibles de manière éparse à travers le côté obscur d'internet. Cela montre à quel point les adresses e-mails sont des éléments d'une extrême fragilité.
La bonne nouvelle c'est donc que les informations révélées ne sont pas récentes et que, logiquement, les mots de passe associés ne sont plus valides. Certaines données datent même d'il y a plus de cinq ans. Les clés de sécurité ont ainsi bel et bien existé et fuité, mais rien ne dit qu'elles sont encore bonnes ou qu'elles correspondent toujours aux courriels en face desquels elles sont rattachées dans le document du pirate.
Il s'agit donc davantage d'un outil pour les pirates en herbe qui voudraient se faire la main sans avoir de compétence particulière, que pour les hackers chevronnés qui, de toute façon, avaient déjà accès à ces informations avant qu'elles ne soient compilées.
Les bons réflexes
Le premier réflexe à avoir quand une telle nouvelle fait les gros titres et d'aller vérifier si son adresse est compromise ou non. Le plus fiable est de se rendre sur le site gratuit qui sert de référence dans le secteur Haveibeenpwned.com. Il s'agit d'un simple moteur de recherche qui vérifie si l'e-mail a fuité. Si c'est le cas, pas de panique. Il convient de changer le mot de passe associé et de vérifier sur quels services on a utilisé ce couple ailleurs afin de changer tous les identifiants.
Il est toutefois vivement conseillé de ne jamais réutiliser le même mot de passe ! Les fuites massives sur les grands sites sont si nombreuses qu'une seule faille aurait des conséquences sur l'ensemble des comptes que vous avez. Un gestionnaire de mots de passe, comme les excellents LastPass ou Dashlane, est très utile pour éviter les doublons sans se perdre dans d'innombrables combinaisons dont on ne se souviendra de toute façon jamais.
Enfin, opter pour l'authentification à deux facteurs (2FA) est gage de sûreté. À chaque fois que vous vous connectez à un site, celui-ci vérifie en effet votre identité via un SMS ou un code envoyé sur un autre de vos appareils. Imparable.
