Fuite de 10 milliards de mots de passe sur RockYou2024 : Pourquoi il est indispensable de changer ses informations de connexion ?

Fiabilité
À RETENIR

  • Le 4 juillet, un utilisateur (“ObamaCare”) a leaké un document contenant près de 10 milliards de mots de passe uniques, avec adresses email associées ainsi que login.
  • Ce document, intitulé RockYou2024, peut donner lieu à une hausse importante des tentatives de credential-stuffing.
  • Il est possible d’utiliser des outils, comme Have I Been Pwned? pour déterminer si vos informations ont fuité.
  • Les experts de la cybersécurité insistent sur le fait de devoir utiliser des mots de passe différents et l’authentification 2FA (multifactorielles) pour réduire les risques de hack.
  • Économie, protection de la vie privée, fraudes et perturbations… Ce type de fuite d’envergure a un impact considérable.

Une fuite sans précédent. En effet, les chercheurs-journalistes du site Cybernews ont découvert, le 4 juillet dernier, qu’un utilisateur connu sous le pseudo d’ObamaCare avait divulgué sur un forum de discussion en lien avec le piratage informatique, un document intitulé rockyou2024.txt. S’y trouvaient un peu moins de 10 milliards de mots de passe uniques, soit le plus grand leak de l’histoire.

Ce document regroupe en fait un ensemble de données récoltées au cours des incidents informatiques majeurs s’étant déroulés au cours des vingt dernières années. Des mots de passe plus récents, récoltés sur la période 2021 – 2024, ont été ajoutés, permettant ainsi à quiconque récupère ce document, d’avoir une liste assez incroyable d’informations personnelles venant d’internautes du monde entier.

Car outre les mots de passe, ce document répertorie également :

  • les adresses emails utilisées et associées à ces mots de passe,
  • les noms d’utilisateurs créés par les internautes,
  • d’autres informations personnelles.

Des acteurs malveillants pourraient exploiter la compilation de mots de passe de RockYou2024 pour mener des attaques par force brute et obtenir un accès non autorisé à divers comptes en ligne utilisés par des personnes qui emploient des mots de passe inclus dans l’ensemble de données“, affirment les journalistes dans leur papier.

Une fuite qui peut être perçue comme un incident majeur tant le nombre de données volées est conséquent… D’autant que ces informations sont facilement accessibles. Des pirates mal intentionnés, même aux compétences techniques limitées, peuvent ainsi y avoir accès et donc, se connecter sur les divers comptes des personnes concernées. Toutefois, cette attaque permet, une nouvelle fois, d’alerter sur les dangers du web et surtout, sur l’intérêt, pour l’utilisateur, de devoir prendre son temps pour protéger ses comptes.

RockYou2024 et les risques de credential stuffing

L’autre risque de cette fuite RockYou2024, c’est celui du credential stuffing. C’est un sous-ensemble de l’attaque par brut force qui consiste à réaliser des tentatives d’authentification sur plusieurs sites et services en ligne, à l’aide d’un seul et unique couple identifiants/mot de passe.

Certaines études tendent effectivement à démontrer que 75% des internautes utilisent le même mot de passe pour tous leurs comptes. De fait, si un hackeur parvient à prendre le contrôle de votre Facebook, par exemple, il peut aussi avoir accès à vos emails, votre LinkedIn, et tant d’autres choses. En utilisant l’un des meilleurs antivirus de notre liste, vous pourriez avoir accès à des gestionnaires de mot de passe et ne pas risquer cela.

Matt Hull, responsable mondial de la veille stratégique sur les menaces au sein de la société de conseil en sécurité NCC Group, s’est confié à Techopedia. “Ce n’est pas surprenant – ces types de compilations de brèches sont générés à une fréquence relativement élevée. Il est possible que les données contenues dans la compilation soient utilisées à un moment donné pour mener des activités criminelles, telles que la fraude.”

Toujours selon M. Hull, si un utilisateur réutilise le même mot de passe, à compter de deux fois, il est, dès lors considéré comme étant à risque. “Les acteurs malveillants utiliseront des ensembles de données tels que celles de RockYou2024 pour mener des attaques de credential stuffing afin d’accéder à leur cible”. C’est d’autant plus dommageable pour les entreprises qui se retrouvent, elles aussi, à risques, un hackeur pouvant avoir accès à des données extrêmement sensibles et dommageables (que ce soit financièrement ou pour l’image du groupe).

Vos mot de passe ont-ils été exposés ?

Plusieurs services disponibles en ligne, et totalement gratuits, permettent de savoir si certaines de ses données ont été exposées et sont ainsi concernées par un éventuel hack. On pense notamment au service Have I Been Pwned ?

D’autres solutions existent toutefois, comme le rappelle Alejandro Rivas Vasquez, responsable mondial de la criminalistique numérique et de la réponse aux incidents chez NCC Group. Sur Apple ou Chrome, des fonctionnalités permettent aussi de vous dire si l’un de vos mots de passe a été compromis.

Que faire, si c’est le cas ?

La première des choses à effectuer, c’est le changement de mot de passe. Modifiez, le ou les mots de passe des sites qui sont concernés, en optant pour des différents, à chaque fois.

Ensuite, si vous en avez la possibilité, essayez d’activer l’authentification à deux facteurs (2FA), par SMS, empreinte digitale ou code à entrer. Cela vous permettra d’avoir une couche supplémentaire, empêchant les personnes mal intentionnées d’essayer quoique ce soit.

Les dessous du hack RockYou2021, qui explique le RockYou2024

En 2021, une première fuite intitulée RockYou2021 avait déjà eu lieu. À l’époque, ce sont 8.4 milliards de données qui se retrouvent dans la nature. C’est énorme, mais c’est toujours moins que ce qui a été dévoilé au grand jour le 4 juillet. Mais les données récupérées sont déjà considérées comme assez anciennes, elles ne sont donc plus tellement viables.

Là où le hack RockYou2024 a de quoi faire peur, c’est justement de par le fait que les informations récupérées et dévoilées au grand jour, sont très récentes. Et ce hack tend d’ailleurs à montrer que la version 2021 de RockYou n’a pas changé grand-chose : malgré les appels au bon sens et à la modification des mots de passe, force est de constater que peu ont changé leurs habitudes.

Ce qu’implique la fuite RockYou2024

Le hack RockYou2024 a et aura d’importantes répercussions. Premièrement, jamais autant d’informations personnelles n’avaient été récoltées et dévoilées. On risque donc de voir dans les semaines, les mois à venir, une hausse assez importante des tentatives de piratage et du credential stuffing. En effet, un compte compromis, peut donner lieu à des dizaines de hacks différents, de menaces de ransomware et autres.

Du point de vue des entreprises, cela peut également représenter un vrai problème. Dans le cas où des utilisateurs se sont fait avoir via leurs adresses professionnelles, alors les risques de voir des informations privées, importantes et coûteuses fuiter, est réel. Ces hacks peuvent aussi donner lieu à des transactions frauduleuses ainsi qu’à un véritable déficit en termes d’image de marque.

Toujours côté entreprise, les entités concernées peuvent aussi subir des perturbations opérationnelles (c’est déjà arrivé, notamment aux États-Unis, avec Colonial Pipeline), ce qui implique des délais supplémentaires dans la gestion des tâches, voire la réorientation des collaborateurs vers de nouvelles missions, voire nouveaux départements, en attendant que l’incident soit clos.

Enfin, les organismes réglementaires veillent au grain. Une entreprise qui se fait voler ses données et qui est auditée peut avoir à régler des amendes ou des pénalités. Elle peut aussi être surveillée de manière plus importante, afin de s’assurer que plus jamais un tel événement ne survient, ce qui implique des règles particulièrement strictes (on pense au règlement RGPD, en Europe) et donc, une perte en flexibilité.

Comment limiter les risques inhérents aux hacks ?

Heureusement, plusieurs leviers, facilement activables, permettent de limiter les risques de se faire hacker et donc, d’en subir les conséquences, que ce soit du point de vue personnel ou professionnel :

  1. Changer ses mots de passe

    On l’a vu, utiliser le même mot de passe, à chaque fois, est une mauvaise idée. C’est la porte ouverte à la fuite d’innombrables données personnelles.
  2. Activer la 2FA

    On a rapidement évoqué le sujet, mais activer l’authentification multifactorielle est un bon moyen de réduire les risques d’intrusion. En effet, même si un hackeur a accès à vos données de connexion (login et mot de passe), la seconde couche d’authentification l’empêchera de se connecter à vos comptes.
  3. Sensibiliser et former ses équipes

    Les collaborateurs sont en première ligne. Ils doivent donc être sensibilisés et formés aux bonnes pratiques de sécurité ! Utilisation d’un gestionnaire de mot de passe, création de mots de passe forts et sécurisés, utilisation d’un réseau internet sécurisé, action à mener en cas de doute… Accompagnez-les du mieux possible, pour les aider à ne pas se faire avoir.
  4. Réaliser des audits

    Réaliser des audits fréquents permet d’avoir un aperçu, en quasi-temps réel, de la pertinence de ses mesures de sécurité, des vulnérabilités éventuelles et enfin, des mesures à prendre pour patcher les éventuelles faiblesses de son architecture. Pensez aussi à réaliser des stress test, pour mettre vos équipes chargées d’assurer la cybersécurité de votre entreprise, dans les conditions du réel.
  5. Utiliser des outils de surveillance

    Aujourd’hui, plusieurs outils de surveillance permettent de facilement déterminer si une personne extérieure tente de se connecter au site internet de son entreprise, par exemple. En cas de doute (comme un nombre trop élevé de tentatives de connexions), l’outil s’active et déclenche des mesures de sécurité (compte bloqué, demande d’un nouveau mot de passe, etc…)
  6. Adopter une architecture de confiance zéro

    Ce type d’architecture fonctionne de manière très simple. En adoptant un modèle “confiance zéro”, chaque utilisateur doit pouvoir vérifier son accès aux ressources présentes sur le réseau. En somme, c’est une approche qui, de base, considère tout le monde comme une menace.
  7. Créer une liste noire d’adresse IP et limiter du débit

    Il est possible de placer certaines adresses IP, en liste noire. À cela, s’ajoute la limitation de débit, ce qui permet de rapidement stopper les tentatives de cyber-attaques automatiques, par saturation de mots de passe. Pour cela, il faut toutefois identifier les adresses IP concernées, même si des outils existent et permettent de le faire de manière, très efficace.
  8. Utiliser des CAPTCHA

    Les CAPTCHAs permettent de bloquer les tentatives automatisées de connexion. L’objectif ? Prouver que l’individu qui tente de se connecter est humain. C’est une option supplémentaire, loin d’être parfaite, mais qui permet de réduire les tentatives de credential stuffing.
  9. Utiliser l'authentification sans mot de passe

    Utiliser un mot de passe n’est plus “obligatoire”. Il est possible d’utiliser de nouvelles méthodes d’authentification, comme la biométrie ou encore l’utilisation de clés de sécurité matérielles.
  10. Effectuer une analyse comportementale

    L’analyse comportementale permet d’analyser des modèles de comportement des utilisateurs. On pense, par exemple, à la vitesse de frappe ou encore la variation observée dans les mouvements de la souris. Si, face à ce qui est supposé être un comportement normal, des déviances sont observées, alors des étapes de vérifications supplémentaires peuvent être automatiquement déclenchées.

En conclusion sur le sujet

Le hack et la fuite de données RockYou2024 nous rappellent qu’il est absolument impératif de mettre en place des règles simples, mais strictes, en matière de sécurité, pour éviter le vol d’informations sensibles. N’hésitez pas, si vous êtes en entreprise, à rappeler les mesures à l’ensemble de vos équipes, au risque que cela vous coûte très cher, en terme financier, mais aussi en termes d’images.

Articles Liés

Florian GUENET
Journaliste sur les Cryptomonnaies
Florian GUENET
Journaliste sur les Cryptomonnaies

Florian Guenet est un spécialiste du contenu et rédacteur chevronné, dont l'expertise est un atout précieux pour les lecteurs de Techopedia.com, en particulier sur les sujets liés à la crypto-monnaie. Depuis septembre 2016, il travaille en tant que rédacteur de contenu indépendant, une carrière qui l'a mené à collaborer avec des entreprises en France et aux États-Unis, tout en travaillant à distance. Florian excelle également dans la création de contenus de grande envergure comme des livres blancs et des e-books. Sa spécialisation couvre des domaines variés, dont les technologies SaaS et B2B, les nouvelles technologies, le Web 3.0 (y compris…