Cinq questions sur la fuite de 16 milliards d’identifiants et de mots de passe Apple, Google ou encore Telegram
%3Aquality(70)%3Afocal(1627x1150%3A1637x1160)%2Fcloudfront-eu-central-1.images.arcpublishing.com%2Fliberation%2FDKWVDAG6SBG3HDJKGZT3CN4I7U.jpg&w=1920&q=100)
C’est une quantité colossale de données privées qui se retrouve entre les mains indiscrètes de cybercriminels. Depuis le début de l’année, 16 milliards d’identifiants et de mots de passe ont été dérobés et exposés en ligne, révèlent des chercheurs du média spécialisé en cybersécurité Cybernews jeudi 19 juin. Des informations sensibles qui, mal utilisées, pourraient entraîner des conséquences dramatiques pour leurs propriétaires. Libé fait le point, en cinq questions.
Il s’agit principalement d’identifiants de connexion et de mots de passe permettant d’accéder à des comptes Apple, Google, Telegram, des sites d’entreprises… Plus grave, certains seraient utilisés pour se connecter à des services du gouvernement. Ces 16 milliards de données sont réparties dans 30 grands jeux de datas volées, repérés par les chercheurs depuis le début d’année. Chacun des fichiers est à chaque fois composé de dizaines de millions à plusieurs milliards d’informations. Le plus grand en recense 3,5 milliards, essentiellement liées aux populations parlant portugais.
Cybernews précise toutefois qu’il est difficile d’estimer le nombre réel de victimes : dans les informations de connexion listées, des doublons ont été repérés.
Plusieurs cybermalfrats sont-ils derrière cette affaire ? Difficile à dire. On peut en revanche affirmer que la quantité colossale de data n’a pas été amassée en un jour par le biais d’une seule fuite massive. Cette montagne de données dérobées a été érigée au fil du temps, grâce à différents logiciels malveillants œuvrant sur les réseaux sociaux ou sur les plateformes d’entreprise de leur victime.
Ces infostealers - c’est leur nom - sont spécialisés dans le vol de données. Contrairement au tapageur rançongiciel (ce virus qui bloque l’accès d’un utilisateur à ses données en échange d’une somme d’argent), l’infostealer se fait discret. Souvent téléchargé par mégarde par le biais d’une pièce jointe de mail corrompue ou d’un lien trompeur, il enregistre, tapi dans l’ombre, les informations de connexion de sa victime pour les partager à son expéditeur.
On commence par la bonne nouvelle ? Les 16 milliards d’identifiants et de mots de passe collectés n’ont été exposés à la vue de tous sur la toile que très peu de temps. La mauvaise : ils demeurent tout de même entre les mains de leur(s) voleur(s).
Extorsion par rançongiciel, campagne d’hameçonnage très ciblée, prise de contrôles des comptes… A partir de ces infos, un cybercriminel peut orchestrer tout une gamme d’opérations. En accédant à certains comptes, il peut collecter de nouvelles données, encore plus sensibles. Bien utilisées, ces informations peuvent tout à fait lui donner accès à certains comptes bancaires. Ou rendre possible le piratage d’une entreprise. Ce «n’est pas simplement une fuite de données — c’est une base opérationnelle pour une exploitation à grande échelle», alertent les chercheurs de Cybernews.
En ligne, certains outils permettent de savoir si nos données ont été dérobées. A l’image du site «Have I been pwned». Sur ce dernier, il suffit de rentrer son adresse mail. Deux possibilités, dès lors : si c’est vert, tout va bien. Vos données ont été épargnées. Si c’est rouge : votre mail a bien fait l’objet d’une fuite. La plateforme identifie pour vous les événements responsables de cette dernière.
Toutefois, du fait du caractère récent de l’affaire, il est possible que le site «Have I been pwned» n’ait pas encore identifié les comptes concernés.
Du côté des entreprises, il va falloir cimenter la forteresse. «Ces données sont particulièrement dangereuses pour les organisations qui n’ont ni un système d’authentification multifactorielle, ni une bonne hygiène en matière d’authentification», avertissent les spécialistes. Il est donc conseillé à ces dernières de rajouter une étape dans le processus de connexion d’un utilisateur à son compte. A l’ancestral «identifiant + mot de passe», on peut par exemple lui demander de renseigner un code reçu par SMS.
Par défaut, il est recommandé aux particuliers de changer régulièrement leurs mots de passe. Sans utiliser les anciens, même si c’est tentant. Et lorsque c’est possible d’activer la double authentification sur les sites qui la proposent. Quand bien même les secondes d’attente pour recevoir un code par texto semblent une éternité.
Libération
