Les fuites de données sont inévitables. Il est tout simplement impossible d’avoir des comptes en ligne sans perdre certains de vos mots de passe à cause de ce genre d’attaques. Savoir que certains de ces mots de passe sont dans la nature est une chose, savoir qu’il y en a des milliards qui n’attendent que d’être exploités en est une autre. Et c’est précisément ce que suggère une nouvelle étude : des chercheurs indiquent avoir trouvé un fichier texte, intitulé rockyou2024.txt, qui contient environ 10 milliards de mots passe uniques, tous en plein texte. Cela signifie qui quiconque a accès à ce fichier peut connaître ces mots de passe.
Ces mots de passe ont été collectés avec le temps, en récoltant les données de nombreuses attaques et fuites sur les 20 dernières années. Les hackers ont ajouté 1,5 milliard de mots de passe au fichier entre 2021 et cette année. Le fait que ceux-ci soient tous uniques, aussi, signifie qu’il n’y a aucune répétition. Difficile de se représenter une telle quantité.
Quel est le danger de ces leaks de mots de passe ?
Si n’importe qui ou presque peut faire un Ctrl+F ou Cmd+F pour retrouver n’importe quel mot de passe, ce n’est pas vraiment là que réside le danger principal. Il faudrait trop de temps pour rechercher des mots de passe particuliers.
Mais des personnes mal intentionnées peuvent utiliser un tel fichier pour faire de la force brute, notamment. Il s’agit d’essayer une grande quantité de mots de passe très rapidement pour parvenir à se connecter. Le bourrage d’identifiant (« credential stuffing »), de son côté, est similaire, mais implique d’utiliser des identifiants – comme des couples nom d’utilisateur / mot de passe – avec d’autres comptes, en profitant du fait que les gens ont l’habitude d’utiliser le même mot de passe pour plusieurs comptes.
Ces attaques ne sont pas effectuées manuellement, évidemment. Avec des scripts informatiques, il est possible d’essayer des millions de mots de passe très rapidement pour forcer des comptes. Avec une base de 10 milliards de mots de passe uniques, les hackers pourront renforcer énormément leurs capacités en brute force et en credential stuffing, que ce soit contre des particuliers ou des institutions.
Comment se protéger de cette base de mots de passe
Vous pouvez tout d’abord utiliser un utilitaire de vérification de leaks de mots de passe pour vérifier si vos mots de passe ont fuité. Le cas échéant, changez-le ou les mots de passe concernés immédiatement.
Assurez-vous aussi d’utiliser un mot de passe fort et unique pour chacun de vos comptes. Dans l’éventualité où les identifiants d’un compte fuiteraient, des personnes malintentionnées ne pourraient alors pas pénétrer sur d’autres de vos comptes, puisque ceux-ci utilisent d’autres identifiants.
Si un service prend en charge les passkeys, utilisez cette méthode, cela permet de n’utiliser aucun identifiant. Dans le cas contraire, préférez l’authentification double facteur dès que c’est possible. Si une personne malintentionnée connait vos identifiants, elle ne pourra accéder à votre compte sans avoir accès à votre appareil de confiance, qu’il s’agisse d’un smartphone ou d’une app authenticator quelconques.
Pour gérer tous ces identifiants, utilisez un gestionnaire de mots de passe. Ce genre d’utilitaire propose souvent en sus des fonctions de sécurité très utiles, comme un générateur de mots de passe, de codes 2FA et des alertes en cas de leaks.
