« La mère de toutes les fuites », comma la baptise le site spécialisé Cybernews, contiendrait plus de 26 milliards d’entrées.
2023 avait déjà été émaillé de diverses fuites d’envergure (PlayStation, Shadow, Insomniac Games, les développeurs de Spider-Man 2…), mais aucune d’une telle ampleur. Au total, ce sont quelque 12 téraoctets de données provenant de certains des plus gros sites web du monde qui se retrouvent compilés dans une archive prête à l’emploi pour les cybercriminels.
Tencent et MySpace particulièrement touchés
La provenance des données ainsi présentées a l’air d’être pour le moins aléatoire. Aucun secteur en particulier ne semble être visé, si ce n’est que certains des sites web les plus fréquentés figurent évidemment dans la liste : Twitter, LinkedIn, Adobe, Canva, Dropbox, Telegram et bien d’autres.
Mais c’est, de loin, les sites chinois qui semblent avoir été les plus grandes victimes des piratages. Tencent, véritable géant de la tech en Chine, affiche ainsi pas moins de 1,5 milliard d’entrées jetées en pâture par les pirates. Il est suivi de Weibo, le plus gros réseau social chinois, avec 504 millions. Plus étonnant, on trouve à la troisième place du classement un certain… MySpace (306 millions). Pour les plus jeunes de nos lecteurs, voyez cela comme un proto-Facebook, très populaire dans les années 2000.
Concernant la nature des données, Cybernews n’a pas de bonnes nouvelles à nous communiquer. Le site indique qu’il s’agit en grande partie d’identifiants de connexion. « Le jeu de données est extrêmement dangereux car les acteurs malveillants pourraient l’exploiter pour un large éventail d’attaques, notamment le vol d’identité, des stratagèmes de phishing ciblés sophistiqués et des accès non autorisés à des comptes personnels et sensibles. »
Une fuite moins récente qu’on l’imagine
Cela étant dit, Cybernews estime qu’il s’agit là d’une compilation de données volées précédemment, et pas d’une nouvelle grosse fuite en tant que telle. Une archive, une compilation, pour le dire autrement. Reste que la dangerosité de ce type de pot pourri ne doit pas être minimisée ; il existe un réel risque que ces données servent effectivement la cybercriminalité.
Alors comment vérifier si certaines de nos données font partie du lot ? En utilisant l’outil Have I Been Pwned ou celui de Cybernews. Des conseils s’ensuivront dans l’éventualité où votre adresse email ou votre numéro de téléphone ont effectivement été pris dans les filets des pirates.
La pratique la plus saine reste, dans tous les cas, de changer régulièrement de mot de passe sur les sites les plus sensibles, et bien sûr d’activer l’authentification à double facteur. Pour vous faciliter la vie dans ces démarches, utiliser un gestionnaire de mots de passe est hautement recommandé.
À lire aussi
