« 184 millions d’enregistrements » : une BDD avec des mots de passe était en accès libre – Next

Hier, sur Website Planet, le chercheur en cybersécurité Jeremiah Fowler expliquait avoir découvert une base de données de 47,42 Go en accès libre. Elle n’était pas chiffrée et « contenait 184 162 718 identifiants et mots de passe uniques ». De quoi reléguer en deuxième division la récente fuite des SMS de double authentification de Steam.

Il y en a pour tous les gouts et tous les .gov

Il explique avoir analysé un échantillon et découvert « des milliers de fichiers qui comprenaient des e-mails, des noms d’utilisateur, des mots de passe et des liens vers la page de connexion ou d’autorisation des comptes ». Les comptes en question étaient aussi divers que variés : Amazon, Apple, Facebook, Instagram, Microsoft, Roblox, Spotify, Snapchat, etc.

Comme si ce n’était pas déjà pas assez, il rajoute une couche : « J’ai également vu des informations d’identification pour des comptes bancaires et financiers, des plateformes de santé et des portails gouvernementaux de nombreux pays, ce qui pourrait mettre les personnes exposées en danger ».

Selon Wired, qui s’en entretenu avec l’expert, l’échantillon de 10 000 enregistrements contenait « 220 adresses e-mail avec des domaines en .gov, d’au moins 29 pays dont les États-Unis, l’Australie, le Canada, la Chine, l’Inde, Israël, la Nouvelle-Zélande, l’Arabie saoudite et le Royaume-Uni ».

Dans ces 10 000 enregistrements, il y avait également 479 comptes Facebook, 475 Google, 240 Instagram, 227 Roblox, 209 Discord ainsi que plus de 100 à chaque fois pour Microsoft, Netflix, PayPal… Nos confrères signalent aussi la présence de comptes Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress et Yahoo. N’en jetez plus !

Jeremiah Fowler a contacté certaines des personnes dont les données étaient présentes dans la base, qui lui ont « confirmé que la base de données contenaient leurs mots de passe exacts et valides ».

184 millions d’enregistrements, ça veut dire quoi ?

Quoi qu’il en soit, cela ne signifie pas qu’il s’agisse d’une nouvelle fuite de données, ni que les données sont récentes. Il faut également bien comprendre ce que signifie 184 millions d’enregistrements : ce sont en gros 184 millions de lignes dans la base de données, pas 184 millions de personnes ni 184 millions de comptes. Il peut y avoir des doublons, des ratés, etc…

Nous sommes encore très loin des sommets en la matière. Début 2024, MOAB pour « mother of all breaches » faisait parler d’elle avec 24 milliards d’enregistrements.

World Host Group coopère « pleinement avec les autorités »

Jeremiah Fowler affirme avoir contacté l’hébergeur – World Host Group selon Wired – où se trouvait la base de données. Rapidement, elle n’était plus accessible. Le chercheur précise qu’il ne sait pas depuis combien de temps elle était en ligne ni si d’autres personnes ont pu y accéder.

À nos confrères, Seb de Lemos (CEO de World Host Group) précise que la base de données était sur un serveur hébergé par sa société, mais « non géré » par son entreprise. En clair, il est entièrement contrôlé par un de ses clients. « Il semble qu’un utilisateur malveillant se soit connecté et a téléchargé du contenu illégal sur le serveur », ajoute le dirigeant.

L’équipe juridique de World Host Group examine maintenant les informations à sa disposition et les suites à donner. L’hébergeur se dit prêt à coopérer « pleinement avec les autorités […] et, le cas échéant, à partager toutes les données pertinentes des clients avec elles ».

D’où viennent les données ? La piste de l’infostealer privilégiée

Aucune piste n’est privilégiée ou écartée concernant les origines de cette base de données. Elle pouvait évidemment être utilisée pour des activités criminelles, mais il pourrait aussi s’agir d’« informations recueillies à des fins de recherche légitimes et ensuite exposées en raison d’une erreur ».

Le chercheur en cybersécurité semble privilégier la première piste car « les enregistrements présentent de multiples signes » qui indiqueraient que les données ont été récupérées par un logiciel malveillant de type infostealer. « Il est fort possible qu’il s’agisse d’un cybercriminel […] C’est la seule chose qui a du sens, car je ne vois pas d’autre moyen d’obtenir autant d’identifiants et de mots de passe pour autant de services dans le monde ».

Rappel : soyez prudent !

Comme toujours, la prudence est maintenant de mise. C’est d’ailleurs un conseil valable même s’il n’y a pas de fuite, il faut toujours être un minimum sur ses gardes. Activez autant que possible la double authentification et pensez à bien utiliser un mot de passe différent par service.

Prenez également garde aux alertes de connexion… en étant tout de même attentif à ne pas tomber dans le piège d’un faux email qui s’avérerait être une tentative de phishing. Le meilleur conseil est généralement de ne pas agir sans réfléchir, dans la précipitation.