All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Par Steve Rodrigue – le dans Actualités
Un petit groupe de criminels russes est parvenu à monter une collection de plus d'un milliard de mots de passe et quelques 500 millions d'adresses courriel.

Le New York Times a publié un article qui relate les faits. C’est la firme américaine Hold Security qui a découvert le pot au rose. Selon celle-ci, le matériel provient de plus de 400 000 sites dont les identités sont gardées secrètes pour le moment. Puisque la liste inclut des sites qui sont basés en Russie, tout porte à croire que ces cybercriminels ne sont pas au service du gouvernement de Vladimir Poutine.

Comme c’est souvent le cas lors de failles de sécurité, on préfère rester discret jusqu’au moment où celles-ci sont corrigées et que le risque est éliminé. L’idée n’est pas nécessairement de cacher au public le problème, mais d’éviter une multiplication d’attaques envers un service.

Une véritable PME

Hold Security a réussi à entrer en contact avec le petit groupe de pirates, qui serait situé dans une petite ville entre la Mongolie et le Kazakhstan. Il s’agirait de jeunes dans la vingtaine qui ont sans doute beaucoup de temps à perdre.

Le groupe d’au plus 10 à 12 personnes est organisé comme une petite entreprise. Ils se divisent les tâches entre codeurs et attaqueurs. Ils ont débuté leurs activités en 2011, par la porte d’entrée de beaucoup de cybercriminels : l’envoi massif de pourriels. Avec l’expérience et les affiliations, ils ont fini par contrôler leur propre botnet (réseau d’ordinateurs infectés qui répondent aux commandes de leur «maître»).

Lorsque des pirates ont le contrôle d’un botnet, il devient alors facile de trouver des sites à infiltrer avec des centaines, voir des milliers d’ordinateurs travaillant jour et nuit. Ces derniers frappent aux portes de serveurs afin de trouver ceux qui n’ont pas fermé à clé ou qui ont des failles connues.

Lorsque la liste des serveurs vulnérables est construite, il ne reste plus qu’à attaquer et collecter les données. En fait, c’est plus de 4 milliards d’entrées qui ont été collectées par le groupe, mais après avoir trié puis éliminé les doublons, ces pirates se sont retrouvés avec un lot de 1,2 milliard de combinaisons uniques de noms et mots de passe.

La réaction des victimes

Vu l’ampleur de cette découverte, le New York Times a demandé à un expert indépendant de valider la base de données contenant l’information (qui s’avère authentique).

Certaines des entreprises victimes sont au fait de cette découverte. Comme c’est souvent le cas lors de failles de sécurité, on préfère rester discret jusqu’au moment où celles-ci sont corrigées et que le risque est éliminé. L’idée n’est pas nécessairement de cacher au public le problème, mais d’éviter une multiplication d’attaques envers un service. Lorsqu’une entreprise avoue publiquement être la cible d’une attaque, d’autres cybercriminels ont généralement tendance à vouloir répéter l’exploit.

Parmi les victimes, on compte autant de petites que de très grandes entreprises. Toujours selon Hold Security, plusieurs sites sont actuellement toujours vulnérables aux mêmes attaques. On se rappelle qu’en décembre dernier, Target a été la cible d’une cyberattaque où la confidentialité des renseignements personnels de près de 110 millions de ses clients a été compromise. Personne n’est à l’abri!

Vue la quantité de données et de sites attaqués, il devient difficile de diffuser le message et d’entrer en contact avec chaque victime. Il est facile d’imaginer que de retrouver les propriétaires et hébergeurs de plus de 400 000 sites web n’est pas une mince tâche. C’est pourquoi l’information est rendue publique aujourd’hui afin d’attirer l’attention des administrateurs de sites pour qu’ils valident proactivement si leurs serveurs sont sécuritaires.

Les pirates ont l’avantage

Cette nouvelle découverte fait dire à Hold Security qu’il serait grand temps que les entreprises travaillent à trouver des solutions de protection d’identité sur Internet. Tant qu’on ne fera confiance qu’à un nom d’utilisateur et un mot de passe, les pirates continueront d’avoir l’avantage.

Pour le moment, le groupe de pirates russes a utilisé ces informations pour envoyer des pourriels ou polluer les fils de réseaux sociaux. Cependant, la revente de ces données pourrait être très coûteuse pour certains individus ou entreprises. C’est connu que bien des utilisateurs ont encore l’habitude d’utiliser les mêmes noms d’utilisateur et mots de passe sur plusieurs sites. Il devient alors assez facile de reconstruire une identité pour notamment faire des fraudes bancaires ou des dommages irréparables (effacer du contenu, détruire une crédibilité, et cetera).

Selon un rapport publié conjointement par la firme de recherche Ponemon Institute et IBM, l’évaluation du coût pour une entreprise victime d’une faille de sécurité est estimée 3,5 millions de dollars US en pertes et dépenses liées à l’attaque. Avec des systèmes et services de plus en plus complexes et dispendieux, on peut comprendre que beaucoup d’entreprises n’arrivent pas à suivre le rythme et préfèrent investir dans l’amélioration des services et la nouveauté plutôt que la sécurité.

Si tous vos comptes de réseaux sociaux sont associés à la même adresse courriel, un pirate qui parvient à accéder à votre service de courriel peut prendre le contrôle de l’ensemble de vos comptes.

Comment se protéger

En quelques mots, un rappel des bonnes habitudes à avoir pour naviguer en toute sécurité. D’abord, utilisez des mots de passe longs et complexes. Il existe d’excellents gestionnaires de mots de passe (gratuits ou payants) si vous avez peur de les oublier.

Également, évitez à tout prix de réutiliser le même mot de passe sur plusieurs services. Si la sécurité de l’un de ces services est compromise, les comptes d’autres services qui partagent le même mot de passe risquent également de tomber entre les mains de pirates.

Il ne faut pas non plus croiser ou chaîner ses comptes. Par exemple, si tous vos comptes de réseaux sociaux sont associés à la même adresse courriel, un pirate qui parvient à accéder à votre service de courriel peut prendre le contrôle de l’ensemble de vos comptes.

Finalement, évitez de donner trop d’informations, surtout sur des sites que vous visitez peu fréquemment et qui ne l’exigent pas. Les informations supplémentaires peuvent servir à faciliter le vol d’identité par un criminel (par cumul et corrélation).

Malheureusement, dans ce jeu du chat et de la souris, ce sont les pirates qui sont les chats… du moins pour le moment.

Continuez votre lecture

Les 8 piratages les plus importants de 2014

Les 8 piratages les plus importants de 2014

Laurent LaSalle -
Les mots de passe de comptes Spotify publiés sur Internet

Les mots de passe de comptes Spotify publiés sur Internet

Laurent LaSalle -
Reconnect, un outil pour pirater des comptes liés à Facebook

Reconnect, un outil pour pirater des comptes liés à Facebook

Laurent LaSalle -
La fin des mots de passe sur Windows 10 avec la clé de sécurité FIDO2

La fin des mots de passe sur Windows 10 avec la clé de sécurité FIDO2

WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

WannaCry: deux ans après, plus d’un million d’ordis toujours vulnérables

Branchez-vous -
Reddit impose à certains utilisateurs un changement de mot de passe

Reddit impose à certains utilisateurs un changement de mot de passe

Laurent LaSalle -
Instagram laisse fuiter les données de millions d’influenceurs

Instagram laisse fuiter les données de millions d’influenceurs

Branchez-vous -
Ces mots de passe sont les plus piratés au monde

Ces mots de passe sont les plus piratés au monde

Branchez-vous -
Docteur Folamour, ou comment j’ai appris à ne plus m’en faire et à aimer les mots de passe

Docteur Folamour, ou comment j’ai appris à ne plus m’en faire et à aimer les mots de passe

Benoît Gagnon -
eBay demande à ses utilisateurs de changer leurs mots de passe suite à une cyberattaque

eBay demande à ses utilisateurs de changer leurs mots de passe suite à une cyberattaque

Laurent LaSalle -
Twitter : Les mots de passe de 32 millions de comptes circuleraient sur Internet

Twitter : Les mots de passe de 32 millions de comptes circuleraient sur Internet

Laurent LaSalle -
Google adopte la clé de sécurité physique

Google adopte la clé de sécurité physique

Laurent LaSalle -
Les mots de passe des utilisateurs d’OS X menacés

Les mots de passe des utilisateurs d’OS X menacés

Laurent LaSalle -
Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Benoît Gagnon -
Quand l’internaute fait une surdose de mots de passe

Quand l’internaute fait une surdose de mots de passe

Steve Rodrigue

Steve est technicien en télécommunications depuis 1997. La réseautique, l'informatique, la sécurité et les gadgets n'ont plus de secrets pour lui. Il est un fier papa geek qui aime critiquer, tester et découvrir les technologies. Il s'intéresse aussi beaucoup aux avancées qui transformeront notre futur quotidien.