Le commerce des données personnelles obtenues illégalement n’en finit jamais. Un nouveau trésor de guerre contenant de nombreuses adresses mail et mot de passe inédits a été découvert sur le web.
La vente de mot de passe et d’adresse mail est monnaie courante sur les sites dédiés au piratage d’informations personnelles. Mais rarement une base de données comme celle-là a été découverte. Troy Hunt, propriétaire du célèbre site Have I Been Pwned (qui liste les données personnelles issues de fuites et de piratages en tout genre), a tiré la sonnette d’alarme à propos d’un nouveau fichier, surnommé naz.api, qui contient beaucoup d’informations jusque là inédites.
35 % d’adresses inédites
Contrairement à beaucoup de fichiers qui se contentent de compiler toutes les adresses mail et autres mots de passe déjà disponibles dans d’autres bases de données volées, ce fichier contient des informations personnelles qui n’avaient encore jamais été publiées sur le Net. En tout, c’est plus de 100 Go de données et 70 millions d’adresses mail qui sont contenus dans la base de données naz.api. Environ 35 % de ces adresses n’avaient encore jamais été dévoilées sur le web.
« Lorsqu’un tiers des adresses électroniques n’ont jamais été répertoriées auparavant, c’est significatif », explique Troy Hunt, « il ne s’agit pas là d’une liste de contenu recyclé avec un emballage inédit, mais d’un volume important de nouvelles données. » Parmi les sites dont est issue cette fuite, on retrouve évidemment Facebook, mais aussi eBay et Yahoo, en plus d’autres sites moins connus. Le court extrait de données partagé par Troy Hunt laisse aussi penser que des comptes d’internautes francophones sont présents.
Des mots de passe réutilisés massivement
Contactées, certaines victimes confirment que les mots de passe présents dans la base de données naz.api sont légitimes, souvent issus de comptes créés entre 2020 et 2021. Il semblerait que ces données soient partiellement issues du site illicit.services (aujourd’hui hors-ligne) qui obtenait ses données via des malwares et autres bouts de code malveillants.
Comme à chaque découverte funeste de ce type, on peut voir que de nombreux mots de passe sont très faciles à deviner et souvent réutilisés en masse sur de nombreuses plateformes différentes. Les 100 millions de mots de passe enregistrés sur Have I Been Pwned apparaissent 1,3 milliard de fois dans la base de données. Signe que la réutilisation de mot de passe est monnaie courante et que l’ingéniosité des internautes quand il s’agit de choisir son mot de passe laisse à désirer. De quoi souligner l'utilité des gestionnaires de mots de passe.
Source : TroyHunt.com via Ars Technica
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement XChaCha20
