De nombreux sites web se sont fait l'écho de la mise en ligne d'un gigantesque fichier baptisé RockYou2021, pesant près de 100 Go, présenté comme « la plus grosse compilation de mots de passe de tous les temps », regroupant 8,4 milliards d'entrées. Ce n'est pas la première fois, de telles publications apparaissant régulièrement dans la presse.
Or, et comme l'expliquent Troy Hunt, le créateur d'HaveIBeenPwned, et Chris Partridge, en charge de la sécurité du cloud chez Amazon, le fichier en question n'est qu'un nouvel agrégat de vieux mots de passe piratés par le passé, mais aussi et surtout de bases de données de simples « mots » (i.e. pas « de passe ») répertoriés par Wikipédia ou encore l'encyclopédie de livres du Projet Gutenberg, ou qui en ont été dérivés par permutations... Inutile, donc, de paniquer.
Alors qu'on dénombre environ 4,7 milliards d'internautes, que nombreux sont ceux à utiliser les mêmes mots de passe, et que ces derniers sont de plus en plus stockés sous forme de hashs, HaveIBeenPwned ne répertorie d'ailleurs qu'un peu plus de 615 millions (soit 14 fois moins) de mots de passe.
« Toujours vraiment surpris que cela ait fait les gros titres et ait été autant partagé, c'est comme si les gens ne lisaient pas les histoires avant de les partager », déplore de son côté Troy Hunt.
Commentaires (9)
#1
Merci à la rédaction ! J’ai cherché hier et j’étais surpris de ne voir ni vous, ni Troy Hunt en parler (mais je pensais que c’était probablement parce que vous prépareriez un article approfondi). On est trop pressé d’avoir l’instantanéité de l’info malheureusement, pour preuve, j’étais un peu frustré de ne pas lire un article ici.
Finalement, il est bon de rappeler qu’il faut toujours vérifier les infos, et leurs sources. Et patienter !
#2
Yep, le sensationnalisme concernant les fuites de données comme des vulnérabilités a transformé la moindre trouvaille en nouvelle majeure. Il est anormal que ce nouveau fichier soit nommé d’une manière similaire à l’original : Ce dernier était un vrai dump original de valeurs utilisées.
#3
Panique: la quasi-totalité du contenu des rapports top-secrets de la CIA est librement accessible dans un dictionnaire Harrap’s.
#4
#4.1
Justement, quand des fakes news sont partagées on se rend compte qu’elles n’ont pas été vraiment lues avant, c’est un problèmes car ça augmente leur crédibilité, et incite à ne pas les lire du tout.
#5
#6
Je comprends mieux la vague récente de tentatives (échouées) de connexion à mes comptes (Amazon, GMail, etc)…
#7
Tout ces mots de passes, les futurs, les anciens, sont également disponibles sur le système de fichier πfs.
#8
On peut faire un ‘pass the hash’ sur Fessebouc ?
