All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Par Steve Rodrigue – le dans Actualités
Un petit groupe de criminels russes est parvenu à monter une collection de plus d'un milliard de mots de passe et quelques 500 millions d'adresses courriel.

Le New York Times a publié un article qui relate les faits. C’est la firme américaine Hold Security qui a découvert le pot au rose. Selon celle-ci, le matériel provient de plus de 400 000 sites dont les identités sont gardées secrètes pour le moment. Puisque la liste inclut des sites qui sont basés en Russie, tout porte à croire que ces cybercriminels ne sont pas au service du gouvernement de Vladimir Poutine.

Comme c’est souvent le cas lors de failles de sécurité, on préfère rester discret jusqu’au moment où celles-ci sont corrigées et que le risque est éliminé. L’idée n’est pas nécessairement de cacher au public le problème, mais d’éviter une multiplication d’attaques envers un service.

Une véritable PME

Hold Security a réussi à entrer en contact avec le petit groupe de pirates, qui serait situé dans une petite ville entre la Mongolie et le Kazakhstan. Il s’agirait de jeunes dans la vingtaine qui ont sans doute beaucoup de temps à perdre.

Le groupe d’au plus 10 à 12 personnes est organisé comme une petite entreprise. Ils se divisent les tâches entre codeurs et attaqueurs. Ils ont débuté leurs activités en 2011, par la porte d’entrée de beaucoup de cybercriminels : l’envoi massif de pourriels. Avec l’expérience et les affiliations, ils ont fini par contrôler leur propre botnet (réseau d’ordinateurs infectés qui répondent aux commandes de leur «maître»).

Lorsque des pirates ont le contrôle d’un botnet, il devient alors facile de trouver des sites à infiltrer avec des centaines, voir des milliers d’ordinateurs travaillant jour et nuit. Ces derniers frappent aux portes de serveurs afin de trouver ceux qui n’ont pas fermé à clé ou qui ont des failles connues.

Lorsque la liste des serveurs vulnérables est construite, il ne reste plus qu’à attaquer et collecter les données. En fait, c’est plus de 4 milliards d’entrées qui ont été collectées par le groupe, mais après avoir trié puis éliminé les doublons, ces pirates se sont retrouvés avec un lot de 1,2 milliard de combinaisons uniques de noms et mots de passe.

La réaction des victimes

Vu l’ampleur de cette découverte, le New York Times a demandé à un expert indépendant de valider la base de données contenant l’information (qui s’avère authentique).

Certaines des entreprises victimes sont au fait de cette découverte. Comme c’est souvent le cas lors de failles de sécurité, on préfère rester discret jusqu’au moment où celles-ci sont corrigées et que le risque est éliminé. L’idée n’est pas nécessairement de cacher au public le problème, mais d’éviter une multiplication d’attaques envers un service. Lorsqu’une entreprise avoue publiquement être la cible d’une attaque, d’autres cybercriminels ont généralement tendance à vouloir répéter l’exploit.

Parmi les victimes, on compte autant de petites que de très grandes entreprises. Toujours selon Hold Security, plusieurs sites sont actuellement toujours vulnérables aux mêmes attaques. On se rappelle qu’en décembre dernier, Target a été la cible d’une cyberattaque où la confidentialité des renseignements personnels de près de 110 millions de ses clients a été compromise. Personne n’est à l’abri!

Vue la quantité de données et de sites attaqués, il devient difficile de diffuser le message et d’entrer en contact avec chaque victime. Il est facile d’imaginer que de retrouver les propriétaires et hébergeurs de plus de 400 000 sites web n’est pas une mince tâche. C’est pourquoi l’information est rendue publique aujourd’hui afin d’attirer l’attention des administrateurs de sites pour qu’ils valident proactivement si leurs serveurs sont sécuritaires.

Les pirates ont l’avantage

Cette nouvelle découverte fait dire à Hold Security qu’il serait grand temps que les entreprises travaillent à trouver des solutions de protection d’identité sur Internet. Tant qu’on ne fera confiance qu’à un nom d’utilisateur et un mot de passe, les pirates continueront d’avoir l’avantage.

Pour le moment, le groupe de pirates russes a utilisé ces informations pour envoyer des pourriels ou polluer les fils de réseaux sociaux. Cependant, la revente de ces données pourrait être très coûteuse pour certains individus ou entreprises. C’est connu que bien des utilisateurs ont encore l’habitude d’utiliser les mêmes noms d’utilisateur et mots de passe sur plusieurs sites. Il devient alors assez facile de reconstruire une identité pour notamment faire des fraudes bancaires ou des dommages irréparables (effacer du contenu, détruire une crédibilité, et cetera).

Selon un rapport publié conjointement par la firme de recherche Ponemon Institute et IBM, l’évaluation du coût pour une entreprise victime d’une faille de sécurité est estimée 3,5 millions de dollars US en pertes et dépenses liées à l’attaque. Avec des systèmes et services de plus en plus complexes et dispendieux, on peut comprendre que beaucoup d’entreprises n’arrivent pas à suivre le rythme et préfèrent investir dans l’amélioration des services et la nouveauté plutôt que la sécurité.

Si tous vos comptes de réseaux sociaux sont associés à la même adresse courriel, un pirate qui parvient à accéder à votre service de courriel peut prendre le contrôle de l’ensemble de vos comptes.

Comment se protéger

En quelques mots, un rappel des bonnes habitudes à avoir pour naviguer en toute sécurité. D’abord, utilisez des mots de passe longs et complexes. Il existe d’excellents gestionnaires de mots de passe (gratuits ou payants) si vous avez peur de les oublier.

Également, évitez à tout prix de réutiliser le même mot de passe sur plusieurs services. Si la sécurité de l’un de ces services est compromise, les comptes d’autres services qui partagent le même mot de passe risquent également de tomber entre les mains de pirates.

Il ne faut pas non plus croiser ou chaîner ses comptes. Par exemple, si tous vos comptes de réseaux sociaux sont associés à la même adresse courriel, un pirate qui parvient à accéder à votre service de courriel peut prendre le contrôle de l’ensemble de vos comptes.

Finalement, évitez de donner trop d’informations, surtout sur des sites que vous visitez peu fréquemment et qui ne l’exigent pas. Les informations supplémentaires peuvent servir à faciliter le vol d’identité par un criminel (par cumul et corrélation).

Malheureusement, dans ce jeu du chat et de la souris, ce sont les pirates qui sont les chats… du moins pour le moment.

Les dernières nouvelles

Facebook : la caméra de votre iPhone allumée à votre insu 

Facebook : la caméra de votre iPhone allumée à votre insu 

Test du jeu Mario and Sonic at the Olympic Games Tokyo 2020 : des olympiques mignonnes, mais pour qui ?

Test du jeu Mario and Sonic at the Olympic Games Tokyo 2020 : des olympiques mignonnes, mais pour qui ?

Apple : un casque de réalité augmentée en 2022, des lunettes AR en 2023 ?

Apple : un casque de réalité augmentée en 2022, des lunettes AR en 2023 ?

Plus d'actualités

Pourquoi Windows Mobile s’est incliné devant Android selon Bill Gates ?

Pourquoi Windows Mobile s’est incliné devant Android selon Bill Gates ?

Facebook : un selfie demandé pour prouver son identité ?

Facebook : un selfie demandé pour prouver son identité ?

Google s’offre Fitbit pour 2,1 milliards de dollars

Google s’offre Fitbit pour 2,1 milliards de dollars

Populaires

Avec Google Drive, regardez gratuitement des films en streaming

Avec Google Drive, regardez gratuitement des films en streaming

Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

YggTorrent : une nouvelle adresse pour le site pirate

YggTorrent : une nouvelle adresse pour le site pirate

Steve Rodrigue

Steve est technicien en télécommunications depuis 1997. La réseautique, l'informatique, la sécurité et les gadgets n'ont plus de secrets pour lui. Il est un fier papa geek qui aime critiquer, tester et découvrir les technologies. Il s'intéresse aussi beaucoup aux avancées qui transformeront notre futur quotidien.