Depuis deux jours, les amateurs de titraille sensationnaliste s'en donnent à cœur joie : on assisterait ainsi à la « plus grande fuite de l'histoire » en matière de données personnelles et tous nos comptes en ligne, quel que soit le service, risqueraient d'être compromis. Il faut dire que le chiffre avancé : 16 milliards d'identifiants dans la nature, a de quoi inquiéter ! Si impressionnant qu'il soit, il convient toutefois de profiter des quelques heures qui nous séparent encore de la fin du monde pour prendre un peu de recul.

Une compilation de 16 milliards de lignes

Le média spécialisé Cybernews a publié mercredi les résultats chiffrés d'un travail de surveillance mené depuis le début de l'année, qui a consisté à essayer de référencer les plus importantes bases de données contenant des informations personnelles circulant sur Internet. Sans préciser les outils mis en œuvre ou le périmètre exact de leur surveillance, les auteurs indiquent avoir découvert 30 jeux de données de très grande envergure, non identifiés ou rendus publics jusqu'ici, totalisant quelque 16 milliards de lignes, qui correspondraient à autant d'identifiants sur des services en ligne.

Plus que ce volume total (qui serait probablement révisé à la baisse après déduplication), c'est la taille unitaire des jeux de données qui semble tout particulièrement impressionner les chercheurs. La plus grande base répertoriée par leurs soins compilerait ainsi 3,5 milliards d'enregistrements ciblant particulièrement la population lusophone. Ces méga jeux de données seraient généralement rattachés soit à une population ou une zone géographique, soit à un service en ligne spécifique, à l'image d'un fichier de 60 millions d'enregistrements rattaché spécifiquement à la messagerie Telegram.

Pour les chercheurs, la taille unitaire de ces fichiers traduit un effort de compilation, c'est-à-dire d'agrégation de données éparses, de façon à constituer des bases de données offrant une surface d'attaque beaucoup plus importante. De quoi lancer des campagnes, de phishing par exemple, à très, très grande échelle.

Il faut également faire attention à ce qu’on retrouve dans ce genre de fichiers. Il peut évidemment y avoir des données sensibles, mais aussi d’autres moins intéressantes. C’était le cas de la récente fuite de Steam avec un fichier de 89 millions de lignes… comprenant des SMS pour la double authentification (valable 15 minutes) et des métadonnées.

La montée en puissance des infostealers

Les fichiers sont nouveaux, mais quelle est la fraîcheur des enregistrements qu'ils contiennent ? S'ils estiment que la donnée est « récente », les chercheurs ne la datent pas avec précision, et soulignent par ailleurs qu'une partie a déjà été référencée.

Leurs analyses montrent trois sources principales. D'abord, des données issues de campagnes de credential stuffing (un identifiant volé est testé sur d'autres services, en partant du principe que les internautes utilisent souvent le même couple nom d'utilisateur / mot de passe d'un site à l'autre). Ensuite, des enregistrements issus de précédentes fuites (dans une proportion non déterminée). Enfin, des lignes dont la structure récurrente permet de déduire qu'elles sont issues d'un logiciel de type infostealer (un malware conçu pour collecter les informations personnelles, parmi lesquelles les couples identifiant / mot de passe).

« Bien que la dénomination ne soit pas la meilleure façon de déduire la provenance des données, il semble que certaines informations concernent des services cloud, des données métier et même des fichiers verrouillés. Certains noms d'ensembles de données font probablement référence au type de logiciel malveillant ayant permis de collecter les données », remarque Cybernews.

La structure la plus fréquente serait de type URL / identifiant / mot de passe, avec un séparateur susceptible de varier selon les outils, sur le modèle des logs que produisent les infostealers les plus courants, à l'image de Raccoon Stealer et de ses nombreux clones.

Une industrialisation qui inquiète

En définitive, ces résultats illustrent surtout, pour Cybernews, comment les pirates industrialisent leurs processus, mais aussi la façon dont l'essor des infostealers contribue à augmenter l'offre en matière d'informations personnelles. Sur Telegram, les petits fichiers de données qui auparavant se vendaient s'échangent maintenant gratuitement, remarque ainsi Bleeping Computer, un autre média spécialisé. Et c'est donc dans ces méga fichiers que la valeur marchande se concentrerait désormais.

« Il ne s'agit pas d'une simple fuite, mais d'un plan d'exploitation massive. Avec plus de 16 milliards d'identifiants de connexion exposés, les cybercriminels disposent désormais d'un accès sans précédent aux identifiants personnels, qui peuvent être utilisés pour le piratage de comptes, l'usurpation d'identité et le phishing hautement ciblé », commente Cybernews.

Quelle conduite adopter ?

L'étude de Cybernews montre que le phénomène d'agrégation des données est bien vivace. Il n'est cependant pas nouveau. On se souvient par exemple de la découverte, début 2024, d'une méga base de données, qui réunissait quelque 3 800 dossiers unitaires au sein d'un colossal fichier contenant 26 milliards d'enregistrements. Son envergure était telle que cette combinaison de multiples fuites avait été surnommée MOAB, pour « mother of all breaches » (la mère de toutes les brèches).

Que convient-il de faire pour se prémunir des risques afférents ? La situation ne revêt aucun caractère d'urgence particulier, mais rappelle de façon pressante l'importance des bonnes pratiques en matière de sécurité : le recours à la double authentification, l'utilisation d'un gestionnaire de mots de passe, la déduplication systématique des mots de passe entre des services différents, la sécurisation de ses différentes machines, etc. La CNIL rappelle les bons réflexes à avoir.

• [Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !