Près de 150 millions d’identifiants et de mots de passe ont été piratés par des malwares. Laissés en libre-service sur Internet, ils permettent d’accéder à des comptes Gmail, Facebook, Apple, Netflix ou encore Binance. Des coordonnées bancaires sont également concernées.
Le chercheur Jeremiah Fowler vient de faire une nouvelle découverte alarmante. L’expert vient en effet de mettre la main sur « une base de données exposée publiquement » sur Internet. Celle-ci n’était pas protégée par un mot de passe. Pire, les données contenues dans le répertoire n’étaient pas chiffrées par un algorithme. En d’autres termes, n’importe qui peut se rendre sur le répertoire et consulter les données.
Au sein du répertoire, le chercheur a déniché 149 404 754 millions d’identifiants compromis, accompagnés de leur mot de passe. Avec les identifiants et les mots de passe, il est possible de se connecter au compte concerné, pour peu que la double authentification n’ait pas été configurée par le propriétaire en amont.
48 millions de comptes Gmail vulnérables
Une grande variété de services en ligne est touchée. Le chercheur a débusqué des identifiants de comptes Gmail (48 millions), Yahoo (4 millions), Outlook (1,5 million), iCloud (900 000), Facebook (17 millions), Instagram (6,5 millions), TikTok (780 000), Netflix (3,4 millions), OnlyFans (100 000), et Binance (420 000). HBO Max, Disney+, Roblox font aussi partie des services évoqués dans le répertoire.
Les identifiants appartiennent à des internautes en provenance du monde entier. Par ailleurs, la base de données contient également des identifiants bancaires, ainsi que des données donnant accès aux services en ligne de plusieurs administrations publiques. La « base de données étant accessible à tous, quiconque la découvrait pouvait potentiellement accéder aux identifiants de millions de personnes », regrette le chercheur à l’origine de l’enquête.
L’œuvre des virus voleurs de données
Selon les investigations menées par Jeremiah Fowler, les identifiants ont vraisemblablement été volés par des malwares de type « infostealer ». Spécialistes du vol de données, ces logiciels malveillants sont responsables du piratage de six milliards de mots de passe par an. Les virus capables d’enregistrer tout ce qui est tapé sur votre clavier sont notamment pointés du doigt dans le rapport.
Une fois que les données ont été collectées par les virus, elles « doivent être stockées quelque part ». Les cybercriminels choisissent bien souvent un serveur sur le cloud. Il arrive que les pirates ne prennent pas les mesures nécessaires pour sécuriser leur butin. Même « les cybercriminels ne sont pas à l’abri des violations de données ». En fait, il est même fréquent que les hackers négligent de protéger les données en leur possession. Les opérations criminelles « privilégient généralement la rapidité et l’ampleur au détriment de la sécurité opérationnelle ». La priorité des pirates est d’aller vite et de voler un maximum de données, quitte à les stocker sur des serveurs mal sécurisés et faciles à repérer. Une fois ces informations exposées, elles sont copiées et repartagées un peu partout sur Internet, y compris sur le dark web.
Des données mises hors ligne
Bien décidé à protéger les internautes, Fowler a contacté l’hébergeur du serveur cloud. Celui-ci a suspendu l’hébergement. Les identifiants ne sont plus accessibles sur le serveur. Il est toutefois possible que les informations circulent également sur le dark web. Pour le moment, on ne sait pas si cette base a servi dans le cadre d’activités criminelles ou si les données ont été collectées uniquement pour de la recherche, ni pourquoi ni comment elles se sont retrouvées exposées sur Internet par la suite.
Ce n’est pas la première fois que Jeremiah Fowler met la main sur des bases de données exposées sur Internet. L’an dernier, le chercheur a découvert 2,7 milliards de mots de passe Wi-Fi et d’adresses IP, suivis par 184 millions de mots de passe piratés quelques mois plus tard.
Les risques d’une attaque de « credential stuffing »
Comme l’explique le chercheur, les identifiants volés pourraient aboutir à une attaque de « credential stuffing », ou « bourrage d’identifiants » en français. Cette tactique criminelle de plus en plus répandue consiste à employer des paires d’identifiants (noms d’utilisateur et mots de passe) volées lors de violations de données antérieures pour tenter d’accéder frauduleusement à des comptes sur des services en ligne. Le procédé est à l’origine d’une partie des fuites de données enregistrées en France ces dernières années. Avec des identifiants relatifs à Facebook ou iCloud, des pirates pourraient tenter de se connecter à un compte Binance, PayPal ou Gmail. Les cybercriminels sont bien conscients que de nombreux internautes continuent de recycler leurs mots de passe, au grand dam des chercheurs en sécurité. Pour commencer, cessez donc de réutiliser les mots de passe d’un compte sur un autre.
Pour vous protéger contre l’exploitation de ces identifiants compromis, on vous recommande aussi chaudement d’activer la double authentification sur tous vos comptes. L’authentification multifactorielle est susceptible de bloquer un pirate qui tenterait de pénétrer dans votre compte avec vos identifiants.
Source: 01 net
