Fuite de plus de 8 milliards de mots de passe: faut-il s’inquiéter?

Par Kevin Dupont Mercredi 9 juin 2021 14:28
Temps de lecture : 2 minutes

Il s'agit de la plus grosse fuite de l'histoire pour des données de ce genre. Mais heureusement, il est facile de savoir si l’on est concerné.

Cette semaine, l’air de rien, un énorme fichier de 100 Go est apparu sur un célèbre forum de hacking. Son nom: «RockYou2021». Pas un best of de Queen mais une compilation de pas moins de 8.4 milliards de mots de passe. Cette dénomination fait en effet référence à une fuite de données survenue en 2009. Sauf qu’à l’époque il n’y avait eu «que» 32 millions de mots de passe révélés. Cette fois-ci, l’impact est donc bien plus important et les conséquences pourraient être considérables, même si cela ne concerne pas tout le monde.

Touché ou pas?

A priori pourtant, 8.4 milliards de mots de passe, c’est bien plus que les 4.7 milliards de personnes qui surfent sur internet. Chacun pourrait donc, en moyenne, voir deux de ses mots de passe dérobés. Et ce n’est pas la première fois qu’une fuite de grande ampleur a lieu! En février dernier, 3.2 milliards de mots de passe venus de Gmail, Hotmail ou encore Linkedin avaient été révélés. Ce dossier, dénommé COMB (Compilation of Many Breaches), avait lui aussi fait beaucoup parler de lui. Cette semaine, les mots de passe sont livrés tels quels, à la nuance près que les espaces ont été supprimés ainsi que les caractères non-ASCII. Autrement dit, si vous n’utilisez que des lettres, des chiffres ainsi que des sigles de base (comme &, +, @...), vous êtes potentiellement touché.

Pour savoir si c’est vraiment le cas, le site spécialisé CyberNews propose d’utiliser ses deux vérificateurs de fuite (en anglais): un pour les emails et les numéros de téléphone, l’autre pour les mots de passe. Si en encodant vos données, la machine ne donne aucun résultat, vous êtes épargné a priori. Dans le cas contraire, une modification s’impose.

Dans tous les cas, si vous voulez avoir la conscience vraiment tranquille, vous pouvez toujours changer vos mots de passe quel que soit le résultat. Une authentification à deux facteurs (ou 2FA) est également préconisée. Elle permet de se connecter en deux étapes: d’abord l’entrée du mot de passe puis une confirmation via un code reçu par SMS. Cela permet de réduire considérablement les risques de vol de données. Évidemment, plus le mot de passe est complexe (avec des types de caractères différents), mieux c’est. Enfin, il faut faire attention aux messages suspects et aux spams que l’on reçoit pour ne pas un jour se retrouver dans une liste comme celle de "RockYou2021".