Gmail, Facebook, TikTok, Netflix… 149 millions de mots de passe piratés en libre accès sur Internet

Gmail, Facebook, TikTok, Netflix… 149 millions de mots de passe piratés en libre accès sur Internet
Maurine Briantais

Près de 150 millions d'identifiants et de mots de passe de services très populaires comme Gmail, Facebook ou encore Netflix ont été dérobés. Pire, ils ont été stockés sur un serveur accessible à tous, sans aucune protection.

C'est une découverte pour le moins alarmante. Le chercheur en cybersécurité Jeremiah Fowler a débusqué une immense base de données de 96 Go de fichiers bruts sur le cloud renfermant 149 404 754 d'identifiants volés, associés à leurs mots de passe, pour de nombreux services en ligne très populaires. Comme il l'indique  dans son rapport publié sur ExpressVPN, cette base de données était disponible en accès libre sur Internet, sans mot de passe ni chiffrement. Bref, n'importe qui pouvait y accéder et s'emparer des précieuses informations pour mener à bien des activités malveillantes.

Vol d'identifiants et de mots de passe : les grands services touchés

Cette fuite de données concerne de nombreux services en ligne utilisés dans la vie quotidienne. On trouve ainsi des identifiants de comptes Gmail (48 millions), Facebook (17 millions), Instagram (6,5 millions), Yahoo (4 millions), Outlook (1,5 million), Netflix (3,4 millions), iCloud (900 000), TikTok (780 000), Binance (420 000) et OnlyFans (100 000), mais aussi de HBO Max, Disney++ et Roblox. C'est vraiment une hécatombe ! Outre les informations de connexion (identifiant et mot de passe), le serveur hébergeait également des identifiants bancaires et des informations permettant de se connecter à des sites gouvernementaux de plusieurs pays.

Toutes ces données n'ont pas été volées par le biais d'un piratage, mais grâce à des logiciels malveillants de type infostealer. Ces logiciels espions s'installent discrètement sur les appareils, souvent via des pièces jointes ou des liens trompeurs, puis siphonnent les mots de passe, les cookies de session, les jetons d'authentification, les URL de connexion et même les frappes clavier. Toutes ces données sont alors centralisées et stockées dans un serveur sur le cloud. Or, il arrive que ce dernier soit mal configuré et laissé ouvert à tous, sans que des mesures de sécurisation ne soient prises. Même "les cybercriminels ne sont pas à l'abri des violations de données", souligne Jeremiah Fowler – quelle douce ironie –, car les opérations criminelles "privilégient généralement la rapidité et l'ampleur au détriment de la sécurité opérationnelle".

Vol d'identifiants et de mots de passe : : les risques d'une attaque de credential stuffing

Bien évidemment, le chercheur a alerté l'hébergeur, qui a fini par mettre le serveur hors ligne, mais seulement après plusieurs semaines pendant lesquelles ces informations ont pu être consultées librement. Il est donc tout à fait possible qu'elles circulent également sur le Dark Web. De plus, pendant cette période, la base de données continuait même à gagner de nouvelles entrées, ce qui suggère qu'elle était encore alimentée en identifiants. Au final, on ne sait combien de personnes ont pu y accéder avant cette malheureuse découverte. Reste que cela illustre bien la menace que représentent, à l'échelle mondiale, les logiciels malveillants destinés à voler les identifiants.

Les conséquences potentielles sont importantes. Avec des identifiants et mots de passe valides, et sans protections supplémentaires comme la double authentification (2FA), un attaquant peut accéder à des comptes personnels, lire des messages privés, réaliser des achats frauduleux, ou encore usurper l'identité d'un utilisateur pour tenter des attaques ciblées. Les identifiants dérobés pourraient tout à fait servir à mener des attaques de "credential stuffing" ("bourrage d'identifiants" en bon français). Cette technique consiste à tester des paires d'identifiants (noms d'utilisateur et mots de passe) dérobés sur différents services jusqu'à trouver une correspondance, les internautes ayant tendance à utiliser un même mot de passe pour plusieurs comptes. 

Face à ce type d'incident, les spécialistes recommandent de changer immédiatement ses mots de passe si l'on croit que ses identifiants ont pu être compromis, et de veiller à ne pas réutiliser le même mot de passe sur plusieurs services. Il est aussi conseillé d'activer la double authentification partout où c'est possible. Et, bien évidemment, il faut veiller à ce que ses appareils ne soient pas infectés, car ils continueraient alors à voler les nouveaux mots de passe. Un simple changement de code d'accès ne suffit pas si le terminal reste contaminé. Le logiciel malveillant capte tout de suite la nouvelle combinaison et la transmet alors aux serveurs de collecte.