Dark Web : 1,4 milliard de mots de passe sur un fichier en accès libre

Le Dark Web abrite un fichier en accès libre qui recense environ 1,4 milliard d'identifiants et de mots de passe volés. Cet énorme fichier de 41 Go n'est pas crypté : il est disponible en accès libre à quiconque le trouve. Il s'agit d'une compilation de données volées lors de piratages bien distincts. On retrouve ainsi des mots de passe de Netflix, YouPorn ou LinkedIn.

1,4 milliard de mots de passe et d'identifiants se sont retrouvés sur un fichier en accès libre sur le Dark Web, prévient la société de sécurité informatique 4iQ. Le fichier en question, qui pèse 41 Go, n'est pas crypté et donc potentiellement exploitable par n'importe qui. L'envergure du piratage de 57 millions de données utilisateurs d'Uber en 2016 paraît presque ridicule à côté.

Il s'agit principalement d'une compilation de données volées au cours de différents piratages dont on connaissait déjà l'existence mais près de 14% de la base de données est constituée d'identifiants et mots de passe qui n'avaient encore jamais été révélés. Rassurant, alors que Facebook, Paypal et d'autres sont actuellement menacés par le retour d'une vieille brèche de sécurité.

1,4 milliard de mots de passe et d'identifiants sur le Dark Web

La base de données est présentée de manière très claire par ordre alphabétique et sous forme de texte, comme si son ou ses auteurs voulaient faciliter le travail de ceux qui voudraient l'exploiter. Identifiants, mots de passe, adresses e-mail et services/sites concernés sont renseignés. “Ce qui fait peur, c'est que nous avons testé un sous-ensemble de ces mots de passe et que la plupart d'entre eux se sont révélés être corrects”, prévient Julio Casal, fondateur de 4iQ.

Ce gigantesque fichier est constitué de données récupérées à la suite de l'exploitation de plus de 250 failles de sécurité. On retrouve ainsi des couples d'identifiants et mots de passe de LinkedIn, Netflix, YouPorn, Last.FM, MySpace ou encore le jeu vidéo Minecraft. Une inquiétude vient du fait que beaucoup d'utilisateurs utilisent souvent les mêmes identifiants. Et quand la sécurité d'un compte est compromise, celle de tous les autres l'est également. Il ne suffit donc pas de changer de mot de passe sur un service mais sur tous, ce que les utilisateurs ont tendance à oublier.

A noter que le fichier n'est pas forcément nécessaire pour pirater des comptes puisqu'il révèle que le mot de passe qui revient le plus souvent est tout simplement “123456”. Des années de prévention qui n'ont semble-t-il pas porté leurs fruits. Par contre, l'auteur du fichier entend bien que ses efforts soient rémunérés. Il est possible de télécharger le fichier “en clair” gratuitement mais un don en Bitcoin peut être consenti si l'on estime que tout travail mérite salaire.