RockYou2021 : pourquoi il ne faut pas avoir peur de la prétendue fuite de mots de passe
Le 11 juin 2021 à 07h43
2 min
Internet
Internet
De nombreux sites web se sont fait l'écho de la mise en ligne d'un gigantesque fichier baptisé RockYou2021, pesant près de 100 Go, présenté comme « la plus grosse compilation de mots de passe de tous les temps », regroupant 8,4 milliards d'entrées. Ce n'est pas la première fois, de telles publications apparaissant régulièrement dans la presse.
Or, et comme l'expliquent Troy Hunt, le créateur d'HaveIBeenPwned, et Chris Partridge, en charge de la sécurité du cloud chez Amazon, le fichier en question n'est qu'un nouvel agrégat de vieux mots de passe piratés par le passé, mais aussi et surtout de bases de données de simples « mots » (i.e. pas « de passe ») répertoriés par Wikipédia ou encore l'encyclopédie de livres du Projet Gutenberg, ou qui en ont été dérivés par permutations... Inutile, donc, de paniquer.
Alors qu'on dénombre environ 4,7 milliards d'internautes, que nombreux sont ceux à utiliser les mêmes mots de passe, et que ces derniers sont de plus en plus stockés sous forme de hashs, HaveIBeenPwned ne répertorie d'ailleurs qu'un peu plus de 615 millions (soit 14 fois moins) de mots de passe.
« Toujours vraiment surpris que cela ait fait les gros titres et ait été autant partagé, c'est comme si les gens ne lisaient pas les histoires avant de les partager », déplore de son côté Troy Hunt.
Le 11 juin 2021 à 07h43
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/06/2021 à 09h46
Merci à la rédaction ! J’ai cherché hier et j’étais surpris de ne voir ni vous, ni Troy Hunt en parler (mais je pensais que c’était probablement parce que vous prépareriez un article approfondi). On est trop pressé d’avoir l’instantanéité de l’info malheureusement, pour preuve, j’étais un peu frustré de ne pas lire un article ici.
Finalement, il est bon de rappeler qu’il faut toujours vérifier les infos, et leurs sources. Et patienter !
Le 11/06/2021 à 10h28
Yep, le sensationnalisme concernant les fuites de données comme des vulnérabilités a transformé la moindre trouvaille en nouvelle majeure. Il est anormal que ce nouveau fichier soit nommé d’une manière similaire à l’original : Ce dernier était un vrai dump original de valeurs utilisées.
Le 11/06/2021 à 12h46
Panique: la quasi-totalité du contenu des rapports top-secrets de la CIA est librement accessible dans un dictionnaire Harrap’s.
Le 11/06/2021 à 14h03
Le 11/06/2021 à 14h19
Justement, quand des fakes news sont partagées on se rend compte qu’elles n’ont pas été vraiment lues avant, c’est un problèmes car ça augmente leur crédibilité, et incite à ne pas les lire du tout.
Le 11/06/2021 à 14h09
Le 11/06/2021 à 15h01
Je comprends mieux la vague récente de tentatives (échouées) de connexion à mes comptes (Amazon, GMail, etc)…
Le 11/06/2021 à 17h21
Tout ces mots de passes, les futurs, les anciens, sont également disponibles sur le système de fichier πfs.
Le 11/06/2021 à 17h32
On peut faire un ‘pass the hash’ sur Fessebouc ?
