LinkedIn, 164 millions d’identifiants de comptes. Myspace, 360 millions d’identifiants. Fling, 40 millions d’identifiants. Et maintenant Tumblr, 65 millions d’identifiants. Depuis quelques semaines, d’énormes bases de données sont apparues sur The Real Web, une place de marché sur le Darkweb. Toutes ces données ont plusieurs choses en commun : elles sont toutes proposées par le même pirate (« peace_of_mind »), elles datent de plusieurs années et les mots de passe sont aisément récupérables. Sauf pour Tumblr qui, semble-t-il, a correctement chiffré les mots de passe dans sa base de données.
Même si ces données volées ne sont pas « fraiches », elles peuvent causer beaucoup de dégâts. Car de nombreux d’utilisateurs ne changent jamais leur mot de passe. Pire : ils utilisent toujours le même mot de passe sur plusieurs sites. Or, c’est exactement cela que cherchent les pirates. Les acheteurs potentiels ne sont pas forcément intéressés par LinkedIn, MySpace, Tumblr ou Fling. Pour eux, ces bases ne sont qu’une espèce de matière brute qui, une fois raffinée, permettra de générer encore plus profit. Ainsi, ils vont essayer les identifiants sur plein d’autres sites. Leur espoir est de pouvoir rentrer ainsi sur un compte email pour diffuser du spam ou des malwares. Ou d’accéder à des comptes bancaires. Ou encore de constituer des identités complètes à des fins d’usurpation.
Il suffit de renseigner son adresse email
Pour savoir si vous figurez dans les bases volées, il suffit d’aller sur haveibeenpwned.com ou leakedsource.com. Ces sites sont gérés par des chercheurs en sécurité qui récupèrent une copie des bases volées et les rendent interrogeables. Sur haveibeenpwned.com, il suffit d’entrer un nom d’utilisateur ou une adresse email pour savoir si l’on figure dans une des bases volées. Sur leakedsource.com, on peut également effectuer une recherche à partir du numéro de téléphone ou d’une adresse IP.
Si le résultat est positif, vous devez immédiatement changer votre mot de passe sur le site concerné, ainsi que sur tous les autres sites où vous avez utilisé le même mot de passe.
Pour choisir un bon mot de passe, évitez les noms communs, même s’ils sont séparés par des chiffres ou des caractères spéciaux (exemple : mon45toutou$). Ils ne sont pas assez forts et peuvent être cassés par force brute.
Le mieux est de choisir un mot de passe totalement aléatoire de 10 caractères ou plus, combinant des lettres, des chiffres et des caractères spéciaux. Evidemment, il est très compliqué de retenir un tel mot de passe. C’est pourquoi nous recommandons l’usage d’un gestionnaire de mot de passe. Il en existe des gratuits (KeePass) et des payants (LastPass, Dashlane, OnePass), et ils proposent tous des outils de génération de mots de passe aléatoires.
Sources:
Note de blog de Troy Hunt, Motherboard
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
