Fuite massive de mots de passe sur l’internet sombre

Le 8 décembre 2017, la société 4IQ spécialisée dans la recherche de données personnelles publiées sur internet a diffusé un article relatif à la découverte sur l’internet sombre, d’une base de données librement accessible et recensant près de 1.4 milliards de couples adresse de messagerie / mot de passe [1]. Ces éléments correspondent à des données d’authentification dérobées lors de plus de 250 piratages informatiques de services web mal sécurisés.
Le service de réseau social professionnel LinkedIn avait par exemple été victime d’un piratage informatique en 2012 qui s’était conclu par l’exfiltration et la vente d’une partie des identifiants sur l’internet sombre, avant leur diffusion plus large.
Ainsi, et concernant les éléments présents dans cette base de données, on notera qu’un grand nombre d’informations étaient déjà connues et disponibles par ailleurs.

Cette liste de données sensibles identifiée par 4IQ agrège des adresses courriels et mots de passe pouvant faciliter leur réutilisation dans d’autres tentatives de compromissions. Il est notamment possibles pour des attaquants d’utiliser ces crédentiaux, indépendamment de leur origine, pour tenter d’infiltrer des réseaux d’entreprises. La numérisation des usages tend à affiner la frontière entre la vie professionnelle et la vie privée et on constate ainsi que les mêmes mots de passe peuvent parfois être réutilisés dans des contextes différents.

Dans le cas d’une mauvaise gestion de ses mots de passe ou de leurs réutilisations, un utilisateur peut ainsi permettre à des attaquants de détourner des usages professionnels à partir d’informations récupérées dans la sphère personnelle.

Le CERT-FR met en garde contre les dangers lié à l’utilisation pour de nombreux services des mêmes identifiants et souhaite rappeler les bonnes pratiques en matières de gestion de mot de passe [2].

Documentation

  1. Article de blogue de 4IQ annonçant la découverte du base de donnée de mot de passe
    https://4iq.com/4iq-discovers-1-4-billion-clear-text-credentaccréditationsials-single-database/
  2. Note technique – Recommandations de sécurité relatives aux mots de passe
    https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdf

Rappel des avis émis

Dans la période du 18 au 24 décembre 2017, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :