Le chercheur en cybersécurité Jeremiah Fowler a révélé la découverte d’une immense base de données en ligne contenant plus de 184 millions d’identifiants de comptes uniques. Noms d’utilisateur, mots de passe, adresses électroniques et URL de nombreuses applications et sites web, dont Google, Microsoft, Apple, Facebook, Instagram et Snapchat, entre autres, étaient stockés dans un fichier. La base de données contenait également des identifiants de comptes bancaires et financiers, de plateformes de santé et de portails gouvernementaux.
Le problème ? Le fichier n’était pas chiffré. Aucune protection par mot de passe. Aucune sécurité. Juste un fichier texte contenant des millions de données sensibles.
S’appuyant sur son analyse, Fowler a déterminé que les données avaient été capturées par un logiciel malveillant de type infostealer qui est conçu pour récupérer les noms d’utilisateur, les mots de passe et autres données sensibles des sites et serveurs piratés. Une fois les données siphonnées, les criminels peuvent les utiliser pour lancer leurs propres attaques ou les diffuser sur le dark web.
Après avoir trouvé la base de données, Fowler a contacté l’hébergeur, qui l’a retirée de l’accès public. Comme l’hébergeur refusait de divulguer le nom du propriétaire du fichier, le chercheur a dit ignorer si la base de données avait été créée légitimement, puis exposée accidentellement, ou si elle avait été utilisée intentionnellement à des fins malveillantes.
Pour vérifier la validité des informations, Fowler a contacté par courriel plusieurs personnes figurant dans le fichier et leur a indiqué qu’il menait des recherches sur une fuite de données. Plusieurs d’entre elles ont confirmé que les enregistrements contenaient des mots de passe de compte valides et d’autres données.
Bien que la ou les personnes à l’origine de la base de données et de l’exposition soient manifestement responsables de cet incident, les utilisateurs partagent également une part de responsabilité.
« De nombreuses personnes traitent sans le savoir leurs comptes de messagerie comme un espace de stockage cloud gratuit et conservent des années de documents sensibles, tels que des formulaires fiscaux, des dossiers médicaux, des contrats et des mots de passe, sans tenir compte de leur degré de confidentialité », explique Jeremiah Fowler. « Cela pourrait engendrer de graves risques pour la sécurité et la confidentialité si des criminels parvenaient à accéder à des milliers, voire des millions de comptes de messagerie. »
Dans son rapport, le chercheur met en évidence les types de menaces auxquelles sont confrontées les personnes dont les données sont exposées lors de telles violations.
Credential stuffing
Cette attaque cible les personnes qui utilisent les mêmes mots de passe sur plusieurs comptes. Les pirates informatiques déploient des scripts automatisés de credential stuffing pour tester différentes combinaisons d’adresses électroniques et de mots de passe sur des milliers de sites différents. Un même mot de passe exposé sur un site peut ensuite facilement être exposé sur d’autres.
Piratage de compte
Les cybercriminels qui accèdent aux noms d’utilisateur, mots de passe et autres données privées peuvent prendre le contrôle d’un compte. Ils peuvent usurper votre identité, commettre des fraudes financières et mener d’autres types d’escroqueries, non seulement contre vous, mais aussi contre votre famille, vos amis et d’autres contacts.
Rançongiciels et espionnage industriel
Jeremiah Fowler a déclaré avoir découvert de nombreuses informations d’identification professionnelles dans les données divulguées. Les attaquants peuvent exploiter ces informations pour voler des documents commerciaux, lancer des attaques par rançongiciel et même commettre de l’espionnage industriel.
Attaques contre des agences gouvernementales
Le chercheur a également observé plusieurs comptes gouvernementaux dans différents pays. Un attaquant muni de ces informations peut cibler les agences fédérales et étatiques.
Hameçonnage et ingénierie sociale
Les fuites de courriels fournissent aux cybercriminels l’historique des conversations et des contacts d’une personne. Ces informations peuvent ensuite être utilisées dans des attaques d’hameçonnage ciblées contre le propriétaire du compte et ses proches.
Comment protéger vos données confidentielles contre une violation de données ? Bien qu’il n’existe pas de solution miracle, Jeremiah Fowler partage les conseils suivants dans son rapport :
1-Changez vos mots de passe chaque année
Nombre de personnes n’ont qu’une seule adresse électronique associée à plusieurs comptes, ce qui signifie qu’elles ne peuvent pas la modifier facilement. Cependant, vous pouvez modifier votre mot de passe, au moins périodiquement. C’est une bonne idée si vous pensez que votre ancien mot de passe a été compromis lors d’une violation.
2-Utilisez des mots de passe complexes et uniques
Au-delà de l’utilisation de mots de passe forts, évitez d’utiliser le même pour plusieurs comptes.
3-Envisagez un gestionnaire de mots de passe
Un gestionnaire de mots de passe peut se charger de créer, de stocker et d’appliquer des mots de passe forts et uniques pour chaque compte. Comme l’a souligné Fowler, l’utilisation d’un gestionnaire de mots de passe comporte des risques. Si votre mot de passe principal est volé ou compromis, un cybercriminel dispose désormais de la clé pour déverrouiller tous vos mots de passe. Mais cela nous amène au conseil suivant.
4-Utilisez l’authentification multifacteur
L’authentification multifacteur (AMF) offre un deuxième niveau d’authentification, généralement via un code, une application d’authentification ou une clé de sécurité. Si votre mot de passe est piraté, un cybercriminel ne peut pas accéder à votre compte sans ce code. Assurez-vous d’utiliser l’AMF sur tous vos comptes disponibles, en particulier ceux des services bancaires et financiers et des gestionnaires de mots de passe.
5-Vérifiez si vos identifiants ont été divulgués
Des services comme HaveIBeenPwned vous indiqueront si votre adresse électronique a été victime d’une fuite connue. Si c’est le cas, assurez-vous de modifier le mot de passe des comptes concernés.
6-Surveillez l’utilisation de vos comptes
Certains sites web et services vous alerteront des activités de connexion suspectes et autres comportements atypiques, tout comme votre société de carte de crédit vous alerte des transactions potentiellement suspectes. Utilisez cette fonctionnalité dès que possible.
7-Utilisez un logiciel de sécurité performant
Un logiciel de sécurité performant peut détecter et éliminer les logiciels malveillants de type infostealer et autres menaces connues. Assurez-vous de mettre à jour votre logiciel avec les définitions les plus récentes pour vous protéger contre les nouvelles variantes.