Comment vous protéger de RockYou2024, cette gigantesque fuite de données qui expose 10 milliards de mots de passe

Mélina LOUPIA
Publié le 05 juillet 2024 à 14h37
RockYou2024 utilise l'une des plus grandes faiblesses des utilisateurs : les mots de passe uniques - @ Tapati Rinchumrus / Shutterstock
RockYou2024 utilise l'une des plus grandes faiblesses des utilisateurs : les mots de passe uniques - @ Tapati Rinchumrus / Shutterstock

Près de 10 milliards de mots de passe uniques ont été divulgués sur un forum de piratage. Baptisée RockYou2024, cette fuite massive met particulièrement en danger certains utilisateurs.

L'histoire se répète, mais en pire. Alors qu'en 2021, une fuite de 8,4 milliards de mots de passe avait déjà fait trembler le monde de la cybersécurité, voilà que RockYou2024 pulvérise tous les records. Cette fois-ci, ce sont près de 10 milliards de mots de passe qui se retrouvent dans la nature, exposés aux quatre vents sur les forums de hackers. Une aubaine pour les cybercriminels, un cauchemar pour les internautes.

Cette fuite colossale soulève de nombreuses questions : d'où viennent ces données ? Que risquent les utilisateurs ? Comment se protéger ? Presque 10 milliards de questions que vous pouvez vous poser. Clubic répond à quelques-unes d'entre elles, notamment pour vous aider à mieux protéger vos données personnelles en ligne.

RockYou2024 : anatomie d'une fuite hors norme

RockYou2024 n'est pas tombé du ciel. Cette liste titanesque est le fruit d'un long travail de fourmi mené par des pirates informatiques. Ils ont patiemment agrégé des données provenant de plus de 4 000 bases de données différentes, certaines remontant à plus de 20 ans.

Le résultat ? Un fichier texte sobrement baptisé rockyou2024.txt, contenant exactement 9 948 575 739 mots de passe uniques. Un chiffre qui donne le vertige et qui dépasse de loin son prédécesseur, RockYou2021, qui en comptait seulement 8,4 milliards.

Meilleur antivirus, le comparatif en juillet 2024
A découvrir
Meilleur antivirus, le comparatif en juillet 2024
Comparatifs services

L'histoire de RockYou remonte à 2009, lorsqu'une première fuite avait exposé les mots de passe de millions d'utilisateurs de réseaux sociaux. Depuis, la boule de neige n'a cessé de grossir, incorporant au passage des données issues de fuites plus récentes. Entre 2021 et 2024, ce sont 1,5 milliard de nouveaux mots de passe qui ont été ajoutés à la base.

Cette masse de données représente un danger réel. Les pirates peuvent s'en servir pour mener des attaques par force brute contre n'importe quel système mal protégé, des services en ligne aux objets connectés en passant par le matériel industriel.

Se protéger de RockYou2024 : un défi à la portée de tous

10 milliards de mots de passe dans la nature, immédiatement, vous pensez aux vôtres. Heureusement, comme dans la plupart des cas, et même si le mal est fait, vous n'êtes pas sans solutions ni réactions.

La première étape consiste à vérifier si vos identifiants font partie de la fuite. Des outils comme le site « Have I Been Pwned » permettent de le savoir en quelques clics. Si c'est le cas, changez immédiatement vos mots de passe compromis.

Mais pourquoi est-il si facile pour les hackers de pirater nos comptes ? La réponse tient en un mot : la réutilisation. Trop d'utilisateurs emploient le même mot de passe pour plusieurs, voire tous leurs comptes. Une habitude dangereuse qui offre aux pirates un véritable passe-partout numérique.

Pour contrer cette menace, adoptez des mots de passe uniques et complexes pour chaque service. Utilisez un mélange de lettres minuscules et majuscules, de chiffres et de caractères spéciaux. Si la tâche vous paraît ardue, les gestionnaires de mots de passe sont là pour vous simplifier la vie.

L'authentification à deux facteurs (2FA) est une autre arme redoutable contre les tentatives de piratage. En ajoutant une couche de sécurité supplémentaire, elle rend la tâche des cybercriminels nettement plus compliquée, même s'ils disposent de votre mot de passe.

Have I Been Pwned
  • Web
  • Protection de la vie privée
Télécharger

Source : Cybernews

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA
Piratage / Cybercriminalité
Données personnelles
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (2)
Comcom1

On se demande tous… est-ce que le mot de passe 1234 a fuité ???

peper_1_1

L’article est relativement imprécis (et alarmiste).
Rockyou est une liste de mots de passe uniques et seuls (sans comptes ni identifiants) qui est régulièrement mise a jour : c’est forcément « pire » à chaque édition.
Elle est constituée de mots de passes qui ont déjà fuité depuis parfois des années (comme indiqué).
Son intérêt est que les mots de passe sont classés par fréquence (le 1er de la liste est le plus utilisé, le dernier est le moins utilisé).
Il ne s’agit que de mots de passes, il n’y a aucun compte associé, donc il est impossible de savoir qui utilise ces mots de passe.
Elle est utilisée pour tester des accès (on indique le login du compte à tester puis on injecte le fichier rockyou pour tester tous les MdP… 1 par 1…).
Du coup, il n’y a rien d’étonnant à y trouver ses propres MdP car il y a probablement quelqu’un d’autre qui a utilisé le même (on parle d’une base de milliards de combinaisons de lettres et chiffres). Fait juste éviter de retrouver son MdP dans le haut de la liste…
Le site HaveIBeenPwned indique si ses identifiants ont fuité… et indique surtout (généralement) qu’elle est (ou sont) l’origine de la fuite ce qui permet de savoir quel est le site concerné (par la fuite).
Il n’est donc pas systématiquement nécessaire de changer ses MdP si ils ont déjà été changé (perso j’en ai 1 qui a fuité il y a 10 ans, j’ai déjà changé plusieurs fois de MdP pour ce compte depuis).
Il faut toutefois les changer régulièrement et, si possible, utiliser le MFA (code additionnel reçu par sms par exemple).
Il est aussi possible de déléguer l’authentification (« se connecter avec google » par exemple), ce qui permet de réduire le nombre de comptes à protéger (et fourni des infos sur vos habitudes à Google…)

Sur le même sujet
Une nouvelle fuite de données de 100 000 utilisateurs Facebook publiée sur le darkweb, prenez les devant
3 commentaires
Plus de 350 millions de comptes piratés divulgués sur Telegram : comment vérifier si vous êtes concerné
11 commentaires
SurveyLama, plateforme de sondages en ligne française, a subi une attaque exposant les données de plus de 4 millions d'utilisateurs
1 Français sur 2 touché : votre numéro de Sécurité sociale a-t-il été piraté ? Tous les outils pour le découvrir et se protéger !
4 commentaires
Naz.API : des millions de nouveaux mots de passe et adresses mail volées se baladent sur le web
3 commentaires
Facebook