Actu

8,4 milliards de mots de passe ont été dévoilés et il ne faut pas s’inquiéter

09 juin 2021
Par Thomas Estimbre
8,4 milliards de mots de passe ont été dévoilés et il ne faut pas s’inquiéter

Depuis quelques heures, la toile s’agite autour d’une prétendue fuite massive de mots de passe. Appelé RockYou2021, le fichier compilerait 8,4 milliards de mots de passe et serait déjà considéré comme “la plus grande compilation de mots de passe de tous les temps”. Dans les faits, ce gigantesque fichier n’est pas inquiétant et ne justifie pas un tel emballement médiatique. On vous explique pourquoi.

8 459 060 239 mots de passe seraient en fuite sur la toile, réunis dans un impressionnant fichier texte (TXT) de 100 Go. C’est ce que révèle le site spécialisé Cybernews, qui n’hésite pas à évoquer “la plus grande compilation de mots de passe de tous les temps”. Le ton est donné et le nombre impressionnant de mots de passe annoncé – plus de 8,4 milliards – a rapidement fait frémir la toile.

Assurément, l’information est tentante et se prête à un titre alarmiste pour alerter sur les risques pour nos données personnelles ou inciter les internautes à vérifier s’ils sont concernés. En réalité, cette fuite massive de données est bien moins dangereuse qu’elle n’en a l’air et ne nécessite pas de vigilance particulière.

 © Creative Commons/Palo Cech
© Creative Commons/Palo Cech

Pour les équipes de Cybernews, il ne fait pourtant guère de doute que nous sommes tous concernés par cette fuite massive. “Sachant qu’il n’y a que 4,7 milliards d’internautes, la compilation RockYou2021 contient potentiellement deux fois les mots de passe de l’ensemble la population mondiale en ligne. Pour cette raison, il est recommandé aux utilisateurs de vérifier immédiatement si leurs mots de passe ont été inclus dans la fuite”, écrit le site, qui n’hésite pas au passage à vanter les mérites de son outil de vérification sur lequel nous reviendrons un peu plus tard.

Derrière RockYou2021 se cache un fichier impressionnant par son volume : 82 milliards de mots de passe selon l’utilisateur qui a publié un imposant fichier TXT de 100 Go sur un forum de hacker, 8,4 milliards après un recomptage effectué par Cybernews. Bien moins impressionnant qu’annoncé, le fichier reste néanmoins important puisque la dernière fuite comparable ne contenait “que” 3,2 milliards de mots de passe. Baptisée COMB (Compilation of Many Breaches ou compilation de nombreuses failles), elle était bien moins dangereuse qu’attendue et ne contenait que de vieilles données qui avaient déjà été massivement exploitées.

RockYou 2021 : impressionnant en apparence, mais moins risqué qu’il n’y paraît

Le scénario semble bel et bien se répéter avec RockYou2021, dont le nom fait référence au piratage du site RockYou survenu en 2009. À l’époque, les mots de passe de 32 millions d’utilisateurs avaient été subtilisés puis rendus publics. Avec RockYou2021, l’affaire est bien différente puisque l’imposant fichier prend la forme d’une compilation de leaks de mots de passe et de mots du dictionnaire. Comme pour l’affaire COMB, il s’agit donc d’un travail de compilation ne révélant pas de nouvelles fuites de données et qui ne présente donc qu’un risque limité.

En effet, la plupart de ces données a déjà circulé sur la toile et ne va pas intéresser les cybercriminels. Le fait de regrouper des données peut en revanche faciliter leur accès à des personnes malintentionnées qui peuvent les utiliser pour procéder à une attaque par dictionnaire. La méthode consiste à tester une série de mots de passe potentiels et peut être associée à celle du “password spraying”, qui permet de tester un même mot de passe sur différents comptes. Dans le cas de RockYou2021, seuls des mots de passe ont été compilés et ces derniers ne sont pas liés à des identifiants.

Sécurité et vie privée sur Internet : les bonnes pratiques à adopter en ligne

Ce scénario d’une attaque par dictionnaire est évoqué par l’auteur du message publié sur un forum de piratage. Nous avons pu le consulter et nous sommes en mesure de confirmer qu’il est apparu pour la première fois en avril 2021. L’affaire n’est donc pas récente et ne semble pas non plus inquiéter Troy Hunt, expert en sécurité informatique et créateur de HaveIBeenPwned. Dans un thread publié sur Twitter, il revient sur l’affaire et assure qu’il ne s’agit pas de “mots de passe piratés”, mais d’une liste de mots qui n’ont, pour la plupart, jamais été des mots de passe. La présence de dictionnaires et de mots de passe qui ont déjà été exploités ou réputés peu fiables, a sans doute permis de créer un imposant fichier.

Des listes de mots pour déchiffrer un mot de passe, plutôt que de “vrais” mots de passe

De plus et contrairement à ce qu’affirme Cybernews, cette fuite ne peut pas couvrir près de deux fois la population connectée en ligne. En effet, et comme le confirme Troy Hunt, la plupart des internautes ont plusieurs comptes et mots de passe identiques ou différents. Il n’est en effet pas rare de disposer de plusieurs dizaines ou centaines de comptes, ce qui peut être vérifié depuis votre navigateur si ce dernier enregistre vos mots de passe.

Cette comparaison est donc délicate, mais elle permet à Cybernews de mettre en avant son outil de vérification. Ce dernier propose de vérifier si votre adresse email, numéro de téléphone ou mot de passe figurent dans le fichier RockYou2021. À noter que le nombre de “comptes piratés” recensés par Cybernews (15 212 645 925 comptes) n’a pas évolué depuis plusieurs mois, confirmant que la compilation RockYou2021 ne contient pas de nouvelles fuites. Nous déconseillons aujourd’hui d’utiliser cet outil.

 L’outil de vérification de Cybernews © Capture d’écran/cybernews.com
L’outil de vérification de Cybernews © Capture d’écran/cybernews.com

Plus globalement, nous vous recommandons de ne pas saisir votre adresse email ou votre mot de passe sur un bot ou site à l’origine douteuse. Si vous vous inquiétez sur la fuite de vos données personnelles et souhaitez vérifier si votre profil est concerné, nous vous conseillons d’utiliser Have I Been Pwned. Lancé en 2013, il est devenu une référence dans ce domaine.

Article rédigé par
Thomas Estimbre
Thomas Estimbre
Journaliste