C’est probablement la plus grande base de données de mots de passe qui vient d’être divulguée il y a quelques jours sur un forum populaire de hackers. Un utilisateur aurait anonymement publié un énorme fichier de 100 gigaoctets. La taille est d’autant plus impressionnante quand on sait qu’il s’agit d’un simple fichier texte .txt qui s’ouvre dans le bloc-notes.
Publicité
Il s’agit d’une compilation de mots de passe, plus ou moins populaires, probablement issus de diverses fuites et violations de données antérieures. L’utilisateur-auteur de l’upload du fichier affirmait que sa compilation contenait 82 milliards d’entrées mais en réalité le vrai nombre serait dix fois moins important mais tout de même de l’ordre de 8 459 060 239 selon les propres tests de nos confrères de Cybernews.
Publicité
Que retrouve-t-on dans cette liste ? Principalement des mots de passe comportant entre 6 et 20 caractères, sans espace et caractères non “classiques” (qui ne sont pas ASCII). La compilation a été nommée “RockYou2021” en référence à un scandale de violation de données en 2009 de l’entreprise éponyme qui avait résulté à la fuite de mots de passe de 32 millions d’utilisateurs.
Il y a quelques mois, la Compilation of Many Breaches (COMB) avait été lâchée de la même manière sur le Web divulguant ainsi plus de 3,2 milliards de mots de passe combinés à des e-mails de surcroît. Évidemment, tous les mots de passe de ce précédent record ont été inclus dans RockYou2021.
Publicité
Qu’est-ce que cela signifie en pratique ? Eh bien considérant qu’il y a deux fois plus de mots de passe qui ont fuité que d’utilisateurs Internet dans le monde (environ 4 milliards), il y a de fortes chances que le vôtre soit dedans. Le site Cybernews a d’ailleurs mis en place un vérificateur de mots de passe leakés pour pouvoir vérifier la sûreté de votre mot de passe. Cybernews est un site digne de confiance sur les questions de sécurité et procède à des “hachages” de toutes les entrées après leur vérification.
Cela peut permettre à des hackers malveillants d’avoir cette énorme base de référence pour notamment pratiquer une des méthodes de piratage les plus simples : l’attaque brute-force qui consiste grosso modo à “tester” tous les mots de passe très rapidement :
Publicité
Dans tous les cas, il est toujours bon de régulièrement changer son mot de passe, d’utiliser des mots (ou noms propres) qui n’existent pas vraiment, associés à de nombreux caractères spéciaux et chiffres sans aucun rapport direct avec vous (ou votre identifiant). Les systèmes de double-authentification ou encore les gestionnaires de mots de passe sont également de bons renforts de sécurité.