Cybernews a repéré une nouvelle collection de mots de passe dérobés contenant dix milliards d’enregistrements. Elle a été publiée dans un forum par un compte nommé « ObamaCare », au sein de fichier « rockyou2024.txt ».
Il ne s’agit pas de nouvelles fuites à proprement parler. Le ou les auteurs ont simplement ajouté des données rassemblées durant les dernières années à la précédente collection RockYou2021. Celle-ci comptait déjà 8,4 milliards d’identifiants.
Cependant, Troy Hunt, créateur de la base Have I Been Pwned, relativisait déjà à l’époque l’importance de ces informations, indiquait que RockYou2021 ne contenant déjà « que » 615 millions de mots de passe, souvent vieux.
Cybernews met cependant en garde : « Combinée à d'autres bases de données ayant fait l'objet de fuites sur des forums de pirates et des places de marché, qui contiennent par exemple des adresses électroniques d'utilisateurs et d'autres informations d'identification, RockYou2024 peut contribuer à une cascade de violations de données, de fraudes financières et d'usurpations d'identité ».
On pense notamment à MOAB (Mother Of All Breaches), qui détient toujours le record du nombre d’identifiants volés, avec 26 milliards d’enregistrements.
Cybernews va inclure les données du nouveau fichier texte dans son Leaked Password Checker. On imagine que Have I Been Pawned va faire de même. Le conseil est toujours le même dans ce genre de cas : vérifier les identifiants faisant partie des fuites et les changer si besoin, avec de nouveaux mots de passe (ou phrases de passe) forts et uniques.
Commentaires (8)
#1
#1.1
En parlant de fuite :
https://www.letelegramme.fr/finistere/brest-29200/a-brest-la-billetterie-en-ligne-du-quartz-victime-dune-attaque-informatique-6620198.php
Quand on voit l'illustration de l'article, on se dit que le chemin est encore très long…
Je n'ai pas encore eu de message concernant cette fuite…
Historique des modifications :
Posté le 05/07/2024 à 14h54
Je fais parfois ça quand je réponds (volontairement) à des phishing ;)
Posté le 05/07/2024 à 14h58
Je fais parfois ça quand je réponds (volontairement) à des phishing ;)
En parlant de fuite :
https://www.letelegramme.fr/finistere/brest-29200/a-brest-la-billetterie-en-ligne-du-quartz-victime-dune-attaque-informatique-6620198.php
Quand on voit l'illustration de l'article, on se dit que le chemin est encore très long…
Je n'ai pas encore eu de message concernant cette fuite…
#1.2
Pour ne pas divulguer les mots de passe, il les hache et envoie les 5 premiers caractères du hash à HIBP pour vérification.
#1.3
* Création locale d’un hash.
* Troncature du hash.
* Envoi du hash tronqué au site.
* La réponse du site contient la liste des hash complets ayant le même début.
* Vérification locale du hash complet.
J’avais aussi vu des versions avec plusieurs itérations (troncature de plus en plus longue jusqu’à liste vide ou avec un unique élément).
En passant, je crois que c’est aussi valable pour vérifier si une adresse mail est dans la base, pas uniquement le mot de passe.
Historique des modifications :
Posté le 05/07/2024 à 15h39
Pour compléter (et de mémoire, n’hésitez pas à corriger, ceux qui savent), le protocole est le suivant (y compris sur le site web via javascript):
* Création locale d’un hash.
* Troncature du hash.
* Envoi du hash tronqué au site.
* La réponse du site contient la liste des hash complets ayant le même début.
* Vérification locale du hash complet.
J’avais aussi vu des versions avec plusieurs itérations (troncature de plus en plus longue jusqu’à liste vide ou avec un unique élément).
#1.7
#1.6
Par contre, les données personnelles ne sont pas elles uniques…
Je viens de recevoir le message concernant la fuite de « sirius », j’avais déjà changé le mot de passe.
#1.4
#1.5
{password: "test"}