RockYou2021 : 8,4 milliards de mots de passe dans la nature, pour un fichier de quelque 100 Go

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 09 juin 2021 à 09h11

Une liste impressionnante de milliards de mots de passe a été publiée sur une célèbre plateforme de hackers. Celle-ci proviendrait de diverses fuites précédemment compilées.

Sommes-nous face à la plus grande révélation de mots de passe de l'histoire de l'information ? Les chiffres laissent en tout cas peu de place au doute. Nos confrères de CyberNews ont en effet découvert une sorte de pépite massive sur un forum de hackers très populaire du vaste dark web. L'un des utilisateurs de la plateforme a posté un fichier au format .txt qui déjà impressionne par son poids : 100 Go. Celui-ci contiendrait plus de 8 milliards de mots de passe.

Une fuite de mots de passe record

Le fichier RockYou2021 (ou rockyou2021.txt) compile plus exactement un total de 8 459 060 239 entrées uniques, chacune correspond à un mot de passe. Si l'on insiste un peu, on risque vite d'être à court de superlatifs, alors mieux vaut se contenter des faits dont nous avons connaissance aujourd'hui.

Selon l'utilisateur qui a posté le fichier sur le forum pirate, les mots de passe contenus dans ce dernier comportent entre 6 et 20 caractères, espaces retirés notamment.

Pour avoir conscience de l'ampleur de la chose, ayons à l'esprit deux choses. La première, c'est que la plus grande compilation de fuite de données jamais réalisée jusqu'à maintenant ne comportait « que » 3,2 milliards de mots de passe. Il s'agissait de la fuite baptisée COMB (Compilation of Many Breaches), qui rassemblait des identifiants et mots de passe issus de services, messageries et réseaux mondialement reconnus, comme Gmail, Hotmail, Netflix ou LinkedIn. Ensuite, ayons conscience qu'avec 4,7 milliards de personnes officiellement « connectées » sur notre planète, le fichier RockYou2021 couvre à lui seul presque deux fois la population connectée en ligne. On n'exagérera pas alors en vous encourageant à vérifier si votre, ou plutôt vos mots de passe ne font partie de la fuite.

Des vagues d'attaques attendues

Il existe justement deux outils basés sur les fichiers présents sur les forums de hackers qui vous permettent de savoir si vos données circulent en ligne. Pour cela, vous devez vous rendre sur le site de CyberNews, en renseignant votre adresse email ou votre numéro de téléphone. Et pour vérifier si l'un de vos mots de passe a été divulgué, le site spécialisé propose un second outil. Si lorsque vous entrez vos données, vous voyez du rouge s'afficher, alors procédez le plus rapidement possible au changement du mot de passe ou à la récupération de compte.

N'oubliez pas 👇

Pour vérifier si votre adresse électronique (et les données que vous avez pu associer avec cette dernière sur les divers sites qui la supportent) est associée à une fuite de données récente, l'outil de référence que nous vous conseillons reste HaveIBeenPwned.com.

CyberNews alerte enfin, et à juste titre, sur le fait que les 8,4 milliards de mots de passe uniques, compilés à d'autres fuites et regroupés avec des noms d'utilisateur et des adresses électroniques déjà connus, pourraient provoquer des dégâts colossaux. RockYou2021 pourrait en effet occasionner un grand nombre d'attaques de comptes en ligne dans les semaines et mois à venir.

Source : CyberNews

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

UncleJul

Chose importante à signaler, vos adresses gmail et hotmail ont de forte chances de figurer dans la liste, mais probablement parcequ’elles étaient utilisé sur d’autres sites, cela ne veut pas dire que vos messageries sont exposées, à moins d’utiliser le même mot de passe partout.

GRITI

D’après le premier outil, deux de mes quatre adresses mail ont un problème. Mais avec quel mot de passe? Pour quel site? Sachant que j’ai un mot de passe par site.
Par contre, le second outil où il faut rentrer ses mots de passes…Non merci. Si je le fait, il faudra que je change tous mes mots de passe

Yorgmald

Avec les CLIQUANT ICI comme ça bah j’ai l’impression que c’est ça l’arnaque.

AlexLex14

Tu penses bien que jamais on ne s’amusera à livrer des liens bidons.

Au contraire, le but, c’est de les faire ressortir au mieux, pour que les lecteurs ne les loupent. C’est dans un intérêt de sécurité qu’on fait cela mais ça tu le sais

Fodger

En fait ce genre de news veut tout et rien dire : il n’y aucune information réelle et sérieuse sur l’ancienneté des informations contenues, la provenance etc.

De même que même si Personal Data Leak Checker: Your Email & Data - Breached? | CyberNews vous dit que votre email est dans leur base ça ne veut pas dire du tout que des informations personnelles circulent. Ca veut simplement dire avec certitude qu’un moment une source de données contenait votre adresse mail, ce qui est tout à fait courant dès que vous vous inscrivez quelque part avec la revente de données.

nicgrover

Adresses Gmail et Hotmail compromises mais les mots de passe sont de très vieux mots de passe datant de plus de 10 à 15 ans que je n’utilise plus depuis bien longtemps, donc pas de soucis pour moi. A priori…

DrGeekill

Je suis allé sur le site de l’article et on fait franchement mieux que ça. Il servira tout au plus à faire flipper ceux qui verront le message rouge bien alarmant sans qu’ils n’aient aucune information supplémentaire.

J’y ai rentré deux adresses qui avaient été piratées il y a longtemps.

Ce n’est pas pour faire de la pub mais Firefox monitor est beaucoup plus performant et précis et de loin. Il donne l’origine de la fuite (site, date, …)

Y a pas photo sur ce point.

Vôtre lien va stresser les utilisateurs plus qu’autre chose vu qu’il n’auront aucune précision. Je trouve que c’est un manque réel de sérieux que de ne citer que vos propres sources sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé.

Squeak

Rien de bien nouveau, ce genre de listes a déjà été publié à certains moments, d’ailleurs il y a quelques mois ça portait le nom de « Comb », une collection de plusieurs leaks regroupés.

Pour éviter des tracas, les règles de base sont encore une fois assez simples : avoir des mots de passe différents, et les changer de temps en temps + authentification à double facteurs sur les comptes principaux ça permet quand même de limiter très fortement les risques.

J’ai opté pour un gestionnaire de mots de passe hors ligne : Secret Space Encryptor sur Android, il dispose d’un coffre fort (Password Vault) et fonctionne assez bien. Il peut aussi exporter un fichier chiffré qui contient toutes les infos pour pouvoir le sauvegarder soi-même où l’on veut.

twenty94470

Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,

Space_Boy

C’est simple: via Clubic, vous allez alimenter le fichier TXT avec vos mot de passe unique pas encore répertorié. C’est malin!