« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements

Des chercheurs ont mis au jour une immense base de données rassemblant des milliards d’informations provenant d’un grand nombre de fuites. Même si ces informations semblent majoritairement datées, d’autres pourraient être nouvelles. Le danger, comme d’habitude, est important.

Plus une année ne passe sans son lot de fuites, depuis bien longtemps. Nous avons déjà assisté à des fuites majeures, avec à chaque fois les mêmes conséquences : le risque de réutilisation des identifiants si ceux-ci n’étaient pas suffisamment protégés, la reprise des adresses email pour des campagnes de phishing et ainsi de suite.

Le risque pourrait être démultiplié avec une nouvelle fuite aux dimensions gargantuesques : 26 milliards d’informations, pour une base de données pesant la bagatelle de 12 To. Excusez du peu.

Il ne s’agit pas de la première compilation de brèches multiples (COMB) observée. Cybernews avait par exemple fait état en 2021 d’une collection de 3,2 milliards d’enregistrements. Mais la nouvelle est bien partie pour être la plus importante jamais découverte.

Un poids hors norme

La fuite a été repérée par Cybernews. Selon les chercheurs, menés par Bob Diachenko, cette base a été trouvée sur une instance de stockage ouverte, dont il sera difficile selon eux de trouver le propriétaire.

Les 26 milliards d’informations sont réparties dans 3 800 dossiers, chacun correspondant à une violation distincte. L’ampleur de la fuite lui a valu le petit sobriquet de MOAB, pour « mother of all breaches » (la mère de toutes les brèches).

La question que l’on se pose devant une telle montagne de données est évidente : ces informations sont-elles toutes nouvelles ?

Non, et tant s'en faut. C’est l’un des premiers points abordés par les chercheurs, pour « rassurer », en quelque sorte. La majeure partie des informations trouvées semble provenir de fuites plus anciennes. Ce qui ne rend pas nécessairement la MOAB moins dangereuse : le recoupement des informations peut permettre une nouvelle vague d’attaques.

Il est possible cependant qu’une partie de ces données soit nouvelle. Cybernews constate en effet que leur moteur de recherche sur les fuites déjà référencées en contient 2 500, pour environ 15 milliards d’enregistrements. Certaines informations pourraient être dupliquées, mais le risque de fuites inconnues n’est pas encore écarté.

« Cet ensemble de données est extrêmement dangereux car les acteurs malveillants pourraient utiliser les données agrégées pour une large gamme d'attaques, y compris l'usurpation d'identité, les systèmes sophistiqués de phishing, les cyberattaques ciblées et l'accès non autorisé à des comptes personnels et sensibles », indiquent les chercheurs.

Qui a constitué cette base ?

C’est le grand mystère pour l’instant. Pour les chercheurs ainsi que d’autres experts interrogés par des médias – notamment Forbes – il y a de bonnes chances pour que le responsable soit un acteur malveillant ou un courtier de données (data broker).

Peu de raisons peuvent expliquer une telle concentration de données, en dehors d’un stockage en vue d’une utilisation plus tard. Plus mystérieuse est l’absence de protection, puisque la base était ouverte aux quatre vents, attendant seulement d’être découverte. Les chercheurs n’ont rien dit en revanche sur le type d’instance. Dans d’autres fuites, il s’agissait souvent d’instances de stockage S3 mal sécurisées chez AWS.

Même avis pour Jake Moore, conseiller en cybersécurité chez ESET, auprès de Techmonitor : « Il est très difficile de dire qui pourrait être à l'origine de cette attaque. Il y a tellement de groupes criminels et de cyberattaquants indépendants qui sont toujours à la recherche de vulnérabilités à exploiter ».

Une vraie caverne aux merveilles

Le plus impressionnant dans la MOAB, en dehors de sa taille colossale, est la variété des informations et des violations qu’elle contient.

Les deux plus grandes fuites proviennent de deux entreprises chinoises, à savoir Tencent (QQ) et Weibo, avec respectivement 1,5 milliard et 504 millions d’enregistrements. Dans la suite du classement, on trouve MySpace (360 millions), X/Twitter (281 millions), Deezer (258 millions), LinkedIn (251 millions), AdultFriendFinder (220 millions), Adobe (153 millions), Canva (143 millions), Badoo (127 millions), VK (101 millions), Daily Motion (86 millions), Dropbox (69 millions) ou encore Telegram (41 millions). Voilà pour les plus connues.

Toujours selon les chercheurs, la fuite contient aussi des documents provenant de diverses organisations gouvernementales aux États-Unis, au Brésil, en Allemagne, aux Philippines, en Turquie et dans d'autres pays. Là encore, Cybernews ne donne pas plus d’informations sur le contenu de ces documents.

Quels risques ?

Bien que difficiles à estimer pour l’instant, les chercheurs et autres personnes interrogées dans les médias partent toutes du même principe : les risques sont certains.

Il y a d’abord celui d’informations provenant de nouvelles fuites. Auquel cas le danger est démultiplié. Mais quand bien même les 26 milliards d’enregistrements seraient tous datés ou constitués de doublons, le risque est loin d’être nul à cause de leur concentration. Pour les chercheurs, c’est comme si une ou plusieurs personnes avaient pris le soin de réunir au même endroit toutes les informations dérobées au cours d’un nombre indéterminé d’années. Ce qui pourrait entrainer une vague d’attaques par credential stuffing au cours des prochains jours.

L’équipe en profite pour rappeler les conseils de base dans ce genre de cas : vérifier que l’on n’utilise que des mots (ou phrases) de passe forts et uniques, activer l’authentification à deux facteurs chaque fois que c’est possible, rester attentif aux tentatives de phishing, etc. Des conseils que nous avons rappelés récemment au sein d’un édito.

• • [Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

« Je m'attends à ce que, dans les jours à venir, les gens soient ciblés par des courriers d'hameçonnage qui utiliseront cette brèche pour masquer leurs intentions. Il s'agira probablement de contraindre les utilisateurs à divulguer leurs informations d'identification pour d'autres applications/sites […]. C'est clairement le moment de rester vigilant face aux signes de compromission et aux menaces opportunistes par courrier électronique », a ainsi indiqué Josh Hickling, consultant chez Pentest People, à Forbes.

Le problème bien sûr avec ces conseils est qu’ils n’atteignent le plus souvent que la population déjà au courant des risques. Le grand public, souvent, ignore que ses données ont été dérobées, même si l’évolution du cadre légal a rendu obligatoire l’information par les entités piratées auprès des victimes. Du moins dans un nombre croissant de pays, dont la France. Il suffit cependant de jeter un œil à la (très) longue liste des entités touchées à la fin du billet de Cybernews pour s’apercevoir que bien peu concernent la France. De nombreuses adresses font en outre références à des sites n’existant plus.