naz.API : des millions de mots de passe en vente sur le Dark Web

naz.API : des millions de mots de passe en vente sur le Dark Web

70 millions d'identifiants et mots de passe pour se connecter à des services comme Facebook, Roblox, eBay et Yahoo circulent sur le Dark Web. Une véritable mine d'or pour les pirates, et une menace pour tout le monde !

Les cybercriminels ne reculent devant rien pour subtiliser vos données personnelles. Phishing, piratages, malwares... Tous les moyens sont bons ! Et sans que vous ne vous rendiez compte, voilà que votre adresse mail et vos mots de passe se retrouvent sur le Dark Web ! Résultat : les pirates n'ont qu'à se servir pour accéder à vos comptes en ligne, usurper votre identité et mettre la main sur vos données bancaires. Et vous pourriez bien être concerné ! Troy Hunt, le propriétaire du site Have I Been Pwnd ? – que l'on pourrait traduire par "est-ce que mon mot de passe a été piraté ?" – a découvert un nouveau fichier, baptisé naz.API, contenant pas moins de 71 millions d'adresses électroniques associées à des comptes volés sur le Net. S'il a l'habitude de tomber sur des fichiers aussi volumineux, il s'agit généralement de compilations d'adresses mail et de mots de passe précédemment publiés. Or, cette fois-ci, environ 35 % de ces adresses – soit 25 millions – n'avaient encore jamais été dévoilées sur le Dark Web.

naz.API : plus de 25 millions d'adresses inédites

Pas étonnant que Troy Hunt tire la sonnette d'alarme ! "Lorsqu'un tiers des adresses électroniques n'ont jamais été répertoriées auparavant, c'est significatif", explique-t-il. "Il ne s'agit pas là d'une liste de contenu recyclé avec un emballage inédit, mais d'un volume important de nouvelles données". Certaines d'entre elles proviennent de fuites et de piratages d'importantes plateformes, comme Facebook, eBay, Roblox, Coinbase et Yahoo. D'après les extraits de données publiés avec l'annonce, il semblerait également qu'une partie d'entre elles proviennent de stealer logs (des "journaux de voleurs"), soit des logiciels malveillants qui ont récupéré des informations d'identification sur des machines compromises. Il semblerait que ces dernières proviennent partiellement du site illicit.services – aujourd'hui hors-ligne –, qui obtenait ses données par le biais de malwares.

© Troy Hunt

Contactées, certaines victimes ont confirmé à Troy Hunt que les mots de passe présents dans la base de données naz.API sont bien légitimes, souvent issus de comptes créés entre 2020 et 2021. Notons que certaines des personnes avaient utilisé le même mot de passe sur plusieurs services différents, ce qui est vivement déconseillé. D'autres personnes complètement différentes ont également utilisé le même mot de passe (nom du chien, année de naissance…). Aussi, nous vous conseillons d'utiliser uniquement des mots de passe complexes – avec des majuscules, des minuscules, des chiffres et des caractères spéciaux – et uniques à chaque compte. Lorsque cela est possible, pensez à activer l'authentification à double facteur (2FA). Et n'hésitez pas à aller jeter un œil sur Have I Been Pwned et à suivre els conseils de notre fiche pratique pour voir si vos identifiants ont été piratés !