10 milliards de mots de passe ont été divulgués sur un forum de pirates

10 milliards de mots de passe ont été divulgués sur un forum de pirates

Un fichier contenant près de 10 milliards de mots de passe volés est en vente sur le Dark Web. Une compilation de données dérobées ces 20 dernières années qui pourrait aboutir à une une multitude d'attaques aux dégâts inédits.

Décidément, les cyberattaques s'enchaînent en ce moment, et ce, quel que soit le pays ! Les chercheurs de Cybernews ont découvert ce qu'ils qualifient de la plus grande compilation de mots de passe volés de tous les temps. En effet, un fichier, du nom de "rockyou2024.txt" et contenant 9 948 575 739 mots de passe uniques, a été mis en vente sur un célèbre forum de hackers. Un nombre incroyable, qui représente la compilation de données collectées lors de multiples fuites au cours des vingt dernières années – elles émanent de pas moins de 4 000 bases de données différentes. Une nouvelle particulièrement préoccupante, car ces mots de passe pourraient être exploités pour craquer des comptes en ligne grâce à l'utilisation de force brute.

Piratage de mots de passe : l'immense base de données RockYou2024

L'utilisateur qui a partagé ce fichier, surnommé ObamaCare, n'en est pas à son coup d'essai. Il est déjà l'auteur de plusieurs partages de bases de données volées, dont celui du casino en ligne AskGamblers et du cabinet d'avocats Simmons & Simmons. Mais cette compilation est tout simplement la plus importante de l'histoire.

© Cybernews

"La fuite RockYou2024 est une compilation de mots de passe réels utilisés par des individus partout dans le monde. Révéler autant de mots de passe aux acteurs malveillants augmente considérablement le risque d'attaques par force brute", préviennent les chercheurs. En 2021, une précédente compilation contenait 8,4 milliards de mots de passe volés. La base de données s'est donc enrichie de 1,5 milliard d'identifiants en plus entre 2021 et 2024, ce qui est énorme.

Piratage de mots de passe : un haut risque d'attaques par force brute

Concrètement, cela signifie que les pirates en possession du fichier pourraient essayer une multitude de mots de passe pour déverrouiller un compte. Bien évidemment, ils ne réaliseraient pas une telle tâche manuellement, mais automatiseraient le processus afin de tester des millions de mots de passe en un instant. Pire encore, "combiné à d'autres bases de données divulguées sur des forums de pirates et des places de marché, qui contiennent par exemple des adresses électroniques d'utilisateurs et d'autres informations d'identification, RockYou2024 peut contribuer à une cascade de violations de données, de fraudes financières et d'usurpations d'identité", alertent les chercheurs.

Pour savoir si vos mots de passe et d'autres données personnelles ont fuité en ligne, nous ne pouvons que vous conseiller d'utiliser le site Have I Been Pwned. Cybernews propose également son propre outil que vous pouvez consulter ici. Vous pourrez ainsi prendre des mesures de sécurité adaptées. Si jamais vos informations apparaissent dans la base de données, changez immédiatement votre mot de passe ainsi que ceux de vos autres comptes qui sont identiques – on le rappelle, il faut absolument avoir un mot de passe robuste et unique pour chacun de vos comptes ! Si ce n'est pas déjà le cas, activez la double authentification. Pensez à bien terminer les sessions existantes afin d'exclure les éventuels utilisateurs non autorisés. Et, comme d'habitude, restez vigilant face à de possibles tentatives de phishing !