Depuis quelques jours, le sujet agite et divise : 1,2 milliard de mots de passe auraient été dérobés par des pirates russes. Que l'information soit vraie ou non, elle a des conséquences, et pas uniquement pour les particuliers. En effet, des experts de tout bord en profitent pour surfer sur cette vague, en commençant par Hold Security à l'origine de cette annonce. Nous avons décidé de faire le point sur cette affaire.

1,2 milliard de mots de passe volés : vraie ou fausse information ?

Il y a quelques jours, Hold Security publiait un rapport qui a de quoi faire froid dans le dos à n'importe quel internaute : 1,2 milliard de mots de passe auraient été dérobés par des pirates russes, avec plus de 500 millions d'adresses mail correspondantes (voir notre analyse). Nous avions alors déjà posé la question de la véracité de l'information et nous n'étions pas les seuls. En effet, le New York Times indiquait également avoir mandaté un expert indépendant afin de procéder à une vérification.

Depuis, un autre expert s'est penché sur la question et pas n'importe lequel : Brian Krebs. Ce dernier jouit d'une certaine réputation dans le domaine de la sécurité informatique et il intervient par exemple lors de la Black Hat ou de la RSA Conference. Dans ce billet publié sur son blog, il indique avoir reçu de nombreuses demandes concernant le vol des données de 1,2 milliard de mots de passe.

Il y explique qu'il connaît personnellement la personne à l'origine de cette révélation, Alex Holden (de Hold Security), et précise que « Alex ne tient pas à divulguer ses méthodes, mais j'ai vu ses recherches ainsi que les données récoltées et je peux dire que c'est absolument vrai ».

Néanmoins, son discours est quelque peu ébranlé par cette page du site de Hold Security. On peut en effet y voir Brian Krebs dans la liste des conseillers spéciaux qui aident l'entreprise. Suite à la découverte de cette liaison dangereuse, Krebs a mis à jour son billet initial afin de préciser que cela avait été fait à la demande de M. Holden lors du lancement du site (février 2013 d'après le Whois). Il ajoute, « cependant, je n'ai, et ne recevrai aucune rémunération sous quelque forme que ce soit pour mes avis ».

Toujours dans la même veine, Hold Security et Brian Krebs ont collaboré dans la découverte de la faille d'Adobe en octobre de l'année dernière, un point clairement énoncé dans ce billet. Mais finalement, que l'on croit ou non la déclaration de Krebs, un autre point rend de nombreuses personnes sceptiques.

Quid de la quantité de données dérobées ? Ce nombre est-il plausible ?

Il s'agit de la quantité de données amassées : 1,2 milliard de mots de passe, ce qui semble beaucoup trop gros pour certains. Le nombre a en effet de quoi faire tourner la tête, mais pas tant que cela finalement. Certains services comme Facebook et Google disposent certainement d'une base d'utilisateurs plus importante à eux seuls et un service comme Twitter en compte déjà 271 millions, tandis que WhatsApp (récemment racheté par Facebook) doit certainement dépasser le demi-milliard.

Avec une faille sur un site de ce genre, le compteur peut rapidement grimper, mais aucun vol de données d'envergure n'a récemment été annoncé. Ce n'est pas le cas de tout le monde, loin de là. On peut par exemple citer Target qui s'est fait voler la bagatelle de 110 millions de données personnelles. Dans d'autres proportions, Sony a laissé fuiter des données de plusieurs dizaines de millions de comptes, contre 4 millions pour Snapchat et près de 3 millions pour Adobe. D'autres sites importants sont concernés comme eBay et LaCie pour ne citer qu'eux. Dans le même genre, on peut également citer d'importantes failles de sécurités découvertes ces derniers temps : Heartbleed, OAuth et Open ID, mais aussi les navigateurs qui font parfois les gros titres.

Dans un récent communiqué de presse, Gemalto (qui vient de racheter SafeNet), avance le chiffre de 400 millions de données perdues ou volées depuis le début de l'année.

Mais tout cela n'a finalement qu'une importance relative

Finalement, ces deux points sont-ils les plus importants de cette histoire ? La réponse est non, car cela ne changera plus grand-chose désormais. En effet, comme nous l'avions déjà évoqué, cette annonce a déjà des conséquences pour certains utilisateurs, qui ne savent pas trop s'ils doivent changer ou non leur mot de passe. Un sentiment renforcé par l'absence de précision de la part d'Alex Holden qui ne donne volontairement aucun détail sur la liste des sites concernés. La cause principale étant que certains seraient toujours vulnérables.

Vrai ou non, le vol de 1,2 milliard de mots de passe donne des ailes aux experts de tout bords qui essayent de tirer à eux la couverture médiatique... à commencer par Hold Security. Comme nous l'avions également indiqué dans notre précédente actualité, une partie non négligeable de la communication de la société servait en fait à mettre en avant ses propres services, en surfant sur la peur engendrée par leur propre information. Un cercle vicieux... et rentable ?

La troublante proposition (payante) de Hold Security

Car plus troublant encore, Hold Security a mis en place une page dédiée vous permettant de vérifier si votre mot de passe fait partie de la fameuse liste, mais en vous demandant de... saisir votre mot de passe ! S'il est besoin de le préciser, rappelons qu'il ne faut jamais donner son mot de passe, même dans ce genre de situation. Pire encore, puisque ce service est payant : 120 dollars tout de même.

Mais Hold Security n'est pas la seule société à surfer sur ce vol de données, qu'il soit ou non avéré. De nombreux experts se relaient ainsi pour donner des conseils aux utilisateurs, des estimations de prix concernant la revente de ces informations, et bien d'autres choses encore. Le tout, sans avoir le plus souvent la moindre information concrète sur le fond du sujet. 

La pratique est d'ailleurs assez courante. Les emails des rédactions font ainsi souvent l'objet d'envoi de tribunes libres et autres conseils d'experts, envoyés par les agences de communication de sociétés spécialisées qui espèrent profiter de l'annonce d'une faille importante pour gagner en exposition et apparaître dans les médias.

Quand les experts s'en mêlent et en profitent pour placer leurs produits

Voici quelques exemples triés sur le volet : « très actif dans le formatage et la revente de données à des fins criminels, le groupe CyberVor devrait rapidement mettre la totalité ou une partie de ces données en vente sur les marchés parallèles. La valeur marchande de ces données dépend de leur qualité. Après un état des lieux du marché sur les forums spécialisés underground, les experts du G DATA SecurityLabs évaluent la valeur des données volées à environ 12 millions d’euros ». Le calcul est basique : 1 dollar pour les mots de passe d'une centaine de comptes.

Du côté de Dashlane, on joue sur le sentiment de peur pour mieux faire passer son message : « l’inquiétude grandit au sein de la communauté de la sécurité informatique, certains estimant que la bataille sur la protection des informations personnelles est de plus en plus une bataille perdue d'avance ». Après quelques conseils concernant la gestion de son mot de passe, la solution maison est bien entendu mise en avant.

Rebelote avec Prim’X Technologies : « le groupe de pirates Russe CyberVor aurait en sa possession 1,2 milliard d’identifiants et mots de passe. Si l’information est vraie, changer de mots de passe n’est peut-être pas une mauvaise idée ». Comme nous l'avons déjà expliqué, changer ses mots de passe sans en savoir plus n'est pas forcément très utile puisqu'on ne sait pas quels sites sont touchés, et surtout s'ils sont encore vulnérables, une situation qui n'est pas sans rappeler Heartbleed. Là encore, la société en profite pour placer son application maison (et payante) de gestion de mot de passe.

Tous ne partent pas dans cette direction et certains mettent simplement en garde. C'est le cas de Geoff Webb de chez NetIQ par exemple, qui affirme par contre que le vol est bien réel, mais sans pour autant en apporter la preuve : « des pirates informatiques Russes viennent de réaliser « le casse du siècle » en récoltant 1,2 milliard de comptes utilisateurs (identifiants et mots de passe associés) et plus de 500 millions d’adresses e-mail, provenant de 420 000 sites Internet d’entreprises de toute taille. NetIQ, fournisseur de solutions de sécurité informatique, ne s’étonne pas de la multiplication de ce type de hack [...] Dans ce type de cas, la faute ne repose pas uniquement sur les hackers. Il faut aussi prendre en compte le comportement des entreprises et celui des utilisateurs finaux face à la sécurisation des accès ».

Faut-il avoir peur et changer tous ses mots de passe ? 

Difficile d'apporter une réponse universelle à ce genre de question, mais une chose est sûre, il ne faut pas spécialement avoir plus peur que d'habitude, du moins pour le moment. En effet, on ne se retrouve pas dans le même cas que Heartbleed qui laissait fuiter des données diverses et parfois très sensibles sur de très nombreux sites, qui étaient de plus facilement identifiables. Cette fois-ci, même en partant du postulat que le vol est avéré, on ne sait pas d'où viennent les données et il faudra donc changer tous ses mots de passe pour espérer un minimum de sécurité, et encore : en espérant que les failles soient bouchées. 

Si l'on a déjà adopté une certaine hygiène dans la gestion de ses mots de passe, il ne devrait pas y avoir grand-chose à faire de plus. Pour cela, il est important de mélanger tant que possible majuscules, minuscules et caractères spéciaux, de ne pas réutiliser le même mot de passe à plusieurs endroits pour éviter les croisements en cas de fuite et de les modifier à intervalle régulier. Le tableau que nous venons de dépeindre est une solution saine, mais pas toujours simple à mettre en place, il faut bien l'avouer. Quoi qu'il en soit, si vous n'avez jamais changé vos mots de passe, ou bien pas récemment, peut-être est-il temps de le faire, mais cette action est finalement indépendante du vol dont il est question aujourd'hui.

Si l'annonce du vol de 1,2 milliard de mots de passe s'avère fausse, cela aura au moins l'intérêt de remettre en question les pratiques face à ce genre d'annonce, que ce soit dans les médias ou pour les sociétés expertes en sécurité, qui en profitent allégrement pour mettre en avant leur service en capitalisant sur la peur des internautes. Dans tous les cas, on regrettera le manque de transparence dans ce domaine, les sociétés ne communiquant que trop peu ouvertement sur leurs fuites de données. Si la CNIL oblige les opérateurs et FAI français, ce sont les seuls soumis à ce régime. Une situation qui pourrait changer, puisque cela s'active du côté du G29.