Près de 773 millions d'adresses e-mail et plus de 21,2 millions de mots de passe ont été rendues récemment publiques dans une diffusion massive de données qui a été baptisé Collection #1.
Cette information provient du chercheur en sécurité Troy Hunt, qui gère le site Have I Been Pwned (HIBP), qui permet aux gens de vérifier et de recevoir des alertes si l'un de leurs comptes en ligne peut avoir été victime d'une violation connue.
La liste de données a été publiée sur le service de partage de fichiers MEGA, ainsi que plus tard aussi sur un « forum de piratage populaire anonyme », déclare Hunt. Elle comprend plus de 12 000 fichiers qui pèsent au total 87 gigaoctets.
« Collection #1 est un ensemble d'adresses email et de mots de passe totalisant 2 692 818 238 lignes. Il se compose de nombreuses atteintes à la protection des données provenant de milliers de sources différentes, » précise M. Hunt. Cette figure se réfère aux données brutes, avant que le nettoyage ne supprime les doublons et les éléments inutiles.
Également dans le cadre du nettoyage, 1 160 253 228 combinaisons uniques d'adresses électroniques et de mots de passe ont été « distillées » en 772 904 991 adresses électroniques uniques, ainsi que 21 222 975 mots de passe uniques disponibles en texte clair. Par conséquent, ce décompte ne comprend pas les mots de passe qui ont été trouvés encore sous leur forme hachée.
Il est important de noter que toute personne qui a mis la main sur le cache peut facilement tester les mots de passe en texte clair par rapport aux comptes réels. Environ 140 millions de comptes de courriel et quelque 10,6 millions de mots de passe n'étaient pas connus à la suite de violations antérieures.
New breach: The "Collection #1" credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://t.co/BAa3rbgZo4
— Have I Been Pwned (@haveibeenpwned) January 16, 2019
De plus, M. Hunt souligne qu'il a observé de nombreuses violations réelles dans la liste du répertoire, mais il note qu’ « il est tout à fait possible que certains d'entre eux fassent référence à des services qui n'ont pas été impliqués du tout dans une violation de données »
Quoi qu'il en soit, il a ajouté que ses propres identifiants plus anciens apparaissaient également dans le cache, et que cette ancienne combinaison courrier électronique/mot de passe était en effet exacte.
Il ajoute : « Bref, si vous êtes atteints par cette brèche, un ou plusieurs mots de passe que vous avez déjà utilisés circulent pour que les autres puissent les voir. »
Des leçons à tirer?
Maintenant que Hunt a chargé les données de la collection #1 dans HIBP, vous êtes très bien avisé de voir par vous-même si l'un de vos comptes de courriel, ou un compte en ligne associé à vos courriels, peut avoir fait partie d'une violation connue (les mots de passe peuvent être vérifiés ici). Si c'est le cas, pensez à changer votre mot de passe et assurez-vous de ne pas le réutiliser ailleurs, car c'est là qu'un gestionnaire de mots de passe fiable peut également vous aider.
En outre, vous devriez également envisager d'utiliser l'authentification à deux facteurs (2FA) dans la mesure du possible, car il s'agit d'une mesure très simple pour repousser les tentatives de reprise de compte. En fait, vous devriez déjà avoir mis cette mesure en place!
