Connexion
Abonnez-vous

« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements

Un mot que l'on n'entend pas tous les jours

« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements

Des chercheurs ont mis au jour une immense base de données rassemblant des milliards d’informations provenant d’un grand nombre de fuites. Même si ces informations semblent majoritairement datées, d’autres pourraient être nouvelles. Le danger, comme d’habitude, est important.

Le 25 janvier à 09h20

Plus une année ne passe sans son lot de fuites, depuis bien longtemps. Nous avons déjà assisté à des fuites majeures, avec à chaque fois les mêmes conséquences : le risque de réutilisation des identifiants si ceux-ci n’étaient pas suffisamment protégés, la reprise des adresses email pour des campagnes de phishing et ainsi de suite.

Le risque pourrait être démultiplié avec une nouvelle fuite aux dimensions gargantuesques : 26 milliards d’informations, pour une base de données pesant la bagatelle de 12 To. Excusez du peu.

Il ne s’agit pas de la première compilation de brèches multiples (COMB) observée. Cybernews avait par exemple fait état en 2021 d’une collection de 3,2 milliards d’enregistrements. Mais la nouvelle est bien partie pour être la plus importante jamais découverte.

Un poids hors norme

La fuite a été repérée par Cybernews. Selon les chercheurs, menés par Bob Diachenko, cette base a été trouvée sur une instance de stockage ouverte, dont il sera difficile selon eux de trouver le propriétaire.

Les 26 milliards d’informations sont réparties dans 3 800 dossiers, chacun correspondant à une violation distincte. L’ampleur de la fuite lui a valu le petit sobriquet de MOAB, pour « mother of all breaches » (la mère de toutes les brèches).

La question que l’on se pose devant une telle montagne de données est évidente : ces informations sont-elles toutes nouvelles ?

Non, et tant s'en faut. C’est l’un des premiers points abordés par les chercheurs, pour « rassurer », en quelque sorte. La majeure partie des informations trouvées semble provenir de fuites plus anciennes. Ce qui ne rend pas nécessairement la MOAB moins dangereuse : le recoupement des informations peut permettre une nouvelle vague d’attaques.

Il est possible cependant qu’une partie de ces données soit nouvelle. Cybernews constate en effet que leur moteur de recherche sur les fuites déjà référencées en contient 2 500, pour environ 15 milliards d’enregistrements. Certaines informations pourraient être dupliquées, mais le risque de fuites inconnues n’est pas encore écarté.

« Cet ensemble de données est extrêmement dangereux car les acteurs malveillants pourraient utiliser les données agrégées pour une large gamme d'attaques, y compris l'usurpation d'identité, les systèmes sophistiqués de phishing, les cyberattaques ciblées et l'accès non autorisé à des comptes personnels et sensibles », indiquent les chercheurs.

Qui a constitué cette base ?

C’est le grand mystère pour l’instant. Pour les chercheurs ainsi que d’autres experts interrogés par des médias – notamment Forbes – il y a de bonnes chances pour que le responsable soit un acteur malveillant ou un courtier de données (data broker).

Peu de raisons peuvent expliquer une telle concentration de données, en dehors d’un stockage en vue d’une utilisation plus tard. Plus mystérieuse est l’absence de protection, puisque la base était ouverte aux quatre vents, attendant seulement d’être découverte. Les chercheurs n’ont rien dit en revanche sur le type d’instance. Dans d’autres fuites, il s’agissait souvent d’instances de stockage S3 mal sécurisées chez AWS.

Même avis pour Jake Moore, conseiller en cybersécurité chez ESET, auprès de Techmonitor : « Il est très difficile de dire qui pourrait être à l'origine de cette attaque. Il y a tellement de groupes criminels et de cyberattaquants indépendants qui sont toujours à la recherche de vulnérabilités à exploiter ».

Une vraie caverne aux merveilles

Le plus impressionnant dans la MOAB, en dehors de sa taille colossale, est la variété des informations et des violations qu’elle contient.

Les deux plus grandes fuites proviennent de deux entreprises chinoises, à savoir Tencent (QQ) et Weibo, avec respectivement 1,5 milliard et 504 millions d’enregistrements. Dans la suite du classement, on trouve MySpace (360 millions), X/Twitter (281 millions), Deezer (258 millions), LinkedIn (251 millions), AdultFriendFinder (220 millions), Adobe (153 millions), Canva (143 millions), Badoo (127 millions), VK (101 millions), Daily Motion (86 millions), Dropbox (69 millions) ou encore Telegram (41 millions). Voilà pour les plus connues.

Toujours selon les chercheurs, la fuite contient aussi des documents provenant de diverses organisations gouvernementales aux États-Unis, au Brésil, en Allemagne, aux Philippines, en Turquie et dans d'autres pays. Là encore, Cybernews ne donne pas plus d’informations sur le contenu de ces documents.

Quels risques ?

Bien que difficiles à estimer pour l’instant, les chercheurs et autres personnes interrogées dans les médias partent toutes du même principe : les risques sont certains.

Il y a d’abord celui d’informations provenant de nouvelles fuites. Auquel cas le danger est démultiplié. Mais quand bien même les 26 milliards d’enregistrements seraient tous datés ou constitués de doublons, le risque est loin d’être nul à cause de leur concentration. Pour les chercheurs, c’est comme si une ou plusieurs personnes avaient pris le soin de réunir au même endroit toutes les informations dérobées au cours d’un nombre indéterminé d’années. Ce qui pourrait entrainer une vague d’attaques par credential stuffing au cours des prochains jours.

L’équipe en profite pour rappeler les conseils de base dans ce genre de cas : vérifier que l’on n’utilise que des mots (ou phrases) de passe forts et uniques, activer l’authentification à deux facteurs chaque fois que c’est possible, rester attentif aux tentatives de phishing, etc. Des conseils que nous avons rappelés récemment au sein d’un édito.

« Je m'attends à ce que, dans les jours à venir, les gens soient ciblés par des courriers d'hameçonnage qui utiliseront cette brèche pour masquer leurs intentions. Il s'agira probablement de contraindre les utilisateurs à divulguer leurs informations d'identification pour d'autres applications/sites […]. C'est clairement le moment de rester vigilant face aux signes de compromission et aux menaces opportunistes par courrier électronique », a ainsi indiqué Josh Hickling, consultant chez Pentest People, à Forbes.

Le problème bien sûr avec ces conseils est qu’ils n’atteignent le plus souvent que la population déjà au courant des risques. Le grand public, souvent, ignore que ses données ont été dérobées, même si l’évolution du cadre légal a rendu obligatoire l’information par les entités piratées auprès des victimes. Du moins dans un nombre croissant de pays, dont la France. Il suffit cependant de jeter un œil à la (très) longue liste des entités touchées à la fin du billet de Cybernews pour s’apercevoir que bien peu concernent la France. De nombreuses adresses font en outre références à des sites n’existant plus.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Merci beaucoup pour les informations. C'est très impressionnant 12 To de donnees juste avec des fichiers txt 😂
Par contre, je n'arrive pas à trouver l'information (ici ou ailleurs) si cette compilation est disponible uniquement sur le serveur où il a été trouvé ou alors d'autres personnes l'ont mises en ligne sur des sites qui hébergent ce genre de choses ? (Auquel cas c'est encore plus grave car un nombre + important de gens peuvent y avoir accès + facilement :cartonrouge:)
votre avatar
"une instance de stockage ouverte" : où est-ce qu'on peut stocker (gratos ?) 12 To en ligne ??
votre avatar
Ce n'est pas "gratuit", quelqu'un paye pour stocker ces 12 To. C'est juste que tout le monde peut y accéder librement (en lecture uniquement je suppose).
votre avatar
C'est impressionnant cette quantité de données.
J'ai checké une de mes adresses mail (vi cybernews cité dans l'article) et elle a leaker une 12aine de fois via des sites pourtant mainstream dont : Deezer, Adobe et Linkedin...

Ca m'as couté l'année dernière un hack sur un de mes jeux, j'ai depuis pris un coffre-fort de mot de passe et activé la double authentification partout ou j'ai pu.
C'est assez lourd à gérer mais le coup du hack m'as rendu légèrement parano sur ces questions...
votre avatar
"bien peu concernent la France"
"Daily Motion (86 millions)"
:transpi:
votre avatar
Certaines de ces bases sont anciennes, Dailymotion en 2016, Adobe en 2013, Linkedin en 2012 mais base de données seulement mise à en vente en 2016.

Il n'empêche que j'utilise encore des adresses email exposées sur d'autres sites. Le processus de migration de tous ces comptes vers des alias d'email est long à faire, et parfois même impossible puisque je connais 1 site sur lequel il n'est pas possible de changer son adresse email. :frown:
votre avatar
C'est clair... et le moteur de recherche de cybernews est vastement inutile car il ne te dis pas la date du dernier leak... ça ne m'intéresse pas de savoir que je suis dans des leaks, je veux savoir au moins la date du dernier pour savoir l'urgence de prendre des contremesures.
votre avatar
Étrangement la recherche cybernews me dit que je suis safe sur mes 5 adresses là où haveIbeenPowned me dis que m'a plus vieille est bien dans le leek de 2016 de dailymotion..

Bon j'ai beau avoir compartimenté les choses, il va vraiment falloir que je prenne quelques jours pour me configurer un KeePass autohebergé parce qu'après tout on ne sait jamais.
votre avatar
Sur le site où il est impossible de changer son adresse mail ça tombe sous le coup du RGPD puisque l'adresse mail est une donnée personnelle et que tu as le droit de rectification de tes données personnelles.
À la limite, ils modifient l'adresse à la mai eux-même, mais ils ne peuvent refuser cette modification.
votre avatar
J'en avais parlé dans l'édito sur les mots de passe, mais j'ai migré tous mes comptes l'année dernière vers des alias. (Simple Login, avec un domaine custom ; Simple Login étant intégré dans l'offre Proton Mail maintenant). J'aurais dû faire ça depuis looooongtemps. Ca change la vie :fumer: certes, ça demande un peu de taff, mais après ça on a vraiment le contrôle sur ses mails. Une fuite de données ? un spam ? je bloque et change.

J'ai été confronté à un jeu (Escape From Tarkov) qui refuse de changer le mail, malgré une demande au support. J'ai refait un ticket en faisant jouer le RGPD et mon droit de rectification. J'ai dû fournir plusieurs preuves d'achat, mais ils ont fini par accepter :fumer:
votre avatar
Et de que ce j'ai pu lire sur le blog de SimpleLogin et comprendre des échanges sur leur compte Github, les alias créés avec SimpleLogin sont testés sur le site de Haveibeenpwned pour vérifier s'ils ne sont pas dans une base de données du site.

Je n'ai pas encore eu un cas comme celui-là pour confirmer que ça fonctionne.
votre avatar
Ah je ne savais pas, merci. Encore mieux :D
votre avatar
Oh putain j'avais un compte chez amoureux.com... mon compte date de plus de 20 ans :roule:

La fuite est pourtant récente de 2021.
votre avatar
Mouais, c’est bizarre quand même, j’ai moi aussi un compte sur ce site mais j’avais aucune idée que ça existait. Du coup, j’ai la mémoire qui me fait défaut ou c’est des comptes créés depuis une base de mails?
votre avatar
Est-ce que vérifier son adresse email sur Cybernews est 'safe'? Est-ce que ce n'est pas nourrir une nouvelle base de donnée d'emails ?
votre avatar
C'est aussi la question que je me suis posée : du coup je n'ai jamais testé aucune adresse e-mail sur ce genre de sites.

« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements

  • Un poids hors norme

  • Qui a constitué cette base ?

  • Une vraie caverne aux merveilles

  • Quels risques ?

Fermer