Collection #1 : un gigantesque fichier révèle plus de 700 millions de comptes et mots de passe
On le sait, de nombreux identifiants, mots de passe ou encore données bancaires circulent sur Internet. Parfois, certains piratages de sites ou de plateformes compromettent la sécurité de ces données, et le nombre de personnes touchées est considérable. Dans ce cas, l’ampleur du phénomène relève du jamais-vu : le chercheur en sécurité Troy Hunt a signalé l’existence d’un méga fichier regroupant pas moins de 772 904 991 d’adresses mail uniques et 21 millions de mots de passe.
Des milliers de sources différentes
Dans les cas les plus classiques de failles de sécurité et de vagues de hacks, cela concerne une plateforme précise : Facebook, Sony, Dropbox, Tumblr… Ces grands noms sont la cible récurrente des pirates et ces derniers parviennent parfois à obtenir une large quantité de données.
Ici, c’est différent. À la suite de plusieurs signalements, Troy Hunt a en effet repéré sur un forum de pirates l’existence d’un fichier lourd de plus de 87 Go, composé uniquement d’adresses et de mots de passe. Il s’agit d’un fichier commun disponible sur le site MEGA (il a été retiré depuis), alimenté par plusieurs hackers et dont le dossier racine est appelé « Collection #1 ». C’est le nom que donne désormais Troy Hunt pour cette gigantesque faille.
D’après le chercheur, Collection #1 regroupe ainsi des données issues de plusieurs sources. « Le message sur le forum faisait référence à « une collection de plus de 2000 bases de données et combos stockés par sujet » et fournissait une liste de répertoires de 2 890 des fichiers » indique Troy Hunt dans son billet.
700 millions de données personnelles dans la nature
Avec ce chiffre dément de 700 millions de données, il n’est pas irrationnel de s’inquiéter pour la sécurité de ses comptes. Les informations de Troy Hunt lui-même se retrouvent dans cette base, tout comme les miennes. Étant abonnée aux notifications de Have I Been Pwned – le site qui référence les diverses failles connues, les adresses mail et les mots de passe hackés – j’ai reçu cette nuit un mail m’indiquant que mon adresse personnelle faisait partie de la liste.
Personne, donc, n’est à l’abri. « Comme beaucoup d’entre vous qui lisez ceci, j’ai déjà été victime de multiples atteintes à la sécurité des données, indique Troy Hunt, qui ont eu pour conséquence la circulation publique de mes adresses de messagerie et mes mots de passe. Heureusement, il s’agit de mots de passe qui ne sont plus utilisés (…) si vous êtes victime de cette violation, un ou plusieurs mots de passe que vous avez précédemment utilisés sont dans la nature. »
Comment savoir si son adresse mail ou son mot de passe est compromis ?
Si vous ne faites pas partie des 2,2 millions d’internautes abonnés aux notifications de Have I Been Pwned, vous pouvez vous rendre directement sur le site pour vérifier si votre adresse mail est concernée par la brèche Collection #1 (et vous abonner pour les prochaines fois, à l’occasion). Vous pourrez également savoir si votre adresse mail a déjà été auparavant touchée par d’autres failles. Have I Been Pwned a pour avantage d’être très complet et très explicatif sur l’ensemble des failles de sécurité qui ont eu lieu, leur nombre de comptes touchés, les données récoltées etc.
Dans un deuxième temps, vous voudrez sans doute savoir si votre mot de passe apparaît dans cette fameuse liste Collection #1. Là aussi, Have I Been Pwned permet de se renseigner sur la question. Troy Hunt a en effet renseigné la base de données de HIBP avec toutes les données apparaissant dans Collection #1. Vous pouvez vérifier l’intégrité de votre mot de passe en vous rendant ici. Si votre mot de passe est dans la base de donnée de HIBP (qui en comporte plus de 500 millions) changez-en tout de suite !
Dans le meilleur des cas, il est vivement conseillé de changer vos mots de passe, même si vous n’êtes pas touché par la faille. Changer régulièrement de mot de passe accroît les chances de ne pas avoir son identifiant dans un fichier en accès libre sur Internet.
Vous travaillez dans le domaine du digital ?
Nous réalisons une courte enquête, pour connaître vos usages de l'IA
Je participeLes meilleurs outils productivité
Efalia Process
Zoho Workplace
N’est-ce pas aussi le moyen de leur communiquer notre adresse mail ou nos mots de passe ??? ça me semble toujours bizarre de taper son mot de passe pour le vérifier.
Merci pour votre lecture et vos commentaires !
Le rôle de Have I Been Pwned n’est pas de récolter des données. Que ce soit pour les adresses mail ou pour les mots de passes, HIBP se sert de la base de donnée qu’il a construit autour des informations qui circulent déjà dans la nature à la suite de diverses failles.
Troy Hunt explique par ailleurs le fonctionnement de HIBP à ce sujet : « HIBP never stores passwords next to email addresses and there are many very good reasons for this. (…) In short, it poses too big a risk for individuals, too big a risk for me personally and frankly, can’t be done without taking the sorts of shortcuts that nobody should be taking with passwords in the first place! But there is another way and that’s by using Pwned Passwords. »
Plus loin dans ses explications, Troy Hunt précise qu’en recherchant son mot de passe dans la base de donnée HIBP, les données sont anonymisées. De plus, en évaluant la part de bénéfice/risque : vous risquez 1 fois de renseigner votre mot de passe pour voir si celui-ci n’est pas déjà utilisé par d’autres que vous, qui peuvent être des milliers voire des millions (concernant un mot de passe comme « 123456 », c’est 23 millions d’occurrences). Dans ce cas, et selon les résultats, l’idéal reste d’en changer régulièrement (et de faire en sorte qu’il reste unique).
Je trouve le commentaire de bob très avisé, et l’essai renouvellé de convaincre du bienfait de ce site, pas très convainquant voire légère dans sa deuxième partie.
Franchement, en quoi ça va réellement m’avancer de griller un seul de mes logins et mot de passe, sa logique voire donc tous mes comptes, s’il me faut tous les changer et tout ça pour faire plaisir.
LA MEILLEURE SÉCURITÉ C’EST DE NE FAIRE CONFIANCE À PERSONNE, ET DE SE MÉFIER DE SOI-MÊME POUR NE PAS COMMETTRE L’ÉVITABLE ERREUR D’INATTENTION.
Donc NON, je ne saisirais pas un seul de mes logins pour savoir s’il est dans cette base ou pas, tant pis pour le troupeau de 23M de bêtas 123456 qui veulent le rester.
Toutes les explications sont en anglais. Désolant pour ceux qui ne manie pas cette langue et le langage est très technique. C’est un frein à l’utilistation de ce site.
Firefox a travaillé avec Troy Hunt pour offrir une protection et une détection.
https://monitor.firefox.com
Les commentaires ci-dessus sont non relevants… en effet, pas besoin de rentrer son mot de passe sur le site. La base de données de ces mots de passe (hashés en sha-1) est librement téléchargeable (sur ce même site) afin de faire les vérifications sur sa propre machine – ce que j’ai fait.
@bob je peux vous assurer que ce site est fiable … J’ai assisté récemment à un séminaire avec un consultant de la DGSI pour un de mes clients et il nous à indiqué ce site comme étant une source fiable ainsi que l’ANSSI que le recommande.