Une compilation de près de 10 milliards de mots de passe fuités est parue en ligne. Les pirates peuvent utiliser ces données pour s’introduire dans toutes sortes de comptes.
Un pirate a publié en ligne un énorme fichier texte contenant environ 9,94 milliards de mots de passe. Le fichier semble principalement une compilation de données précédemment divulguées, y compris les données du fichier RockYou2021 précédemment publié contenant 8,4 milliards de mots de passe.
Le nouveau fichier s’appelle RockYou2024.txt et a été découvert par Cybernews. La base de données contient plus de mots de passe qu’il existe d’internautes dans le monde entier. Elle contient aussi bien des données provenant d’anciens piratages que de nouveaux.
Les pirates utilisent de telles bases de données pour des attaques de bourrage d’identifiants, ou « credential stuffing » en anglais. Ils se servent ainsi de mots de passe connus en espérant pouvoir se connecter à un compte ciblé. Comme les gens réutilisent toujours de nombreux mots de passe pour différents services, cette technique est efficace. Grâce à l’immense base de données, les pirates ont toutes les cartes en main pour mener à bien ce type d’attaque de manière très ciblée.
Hygiène des mots de passe
La base de données est précieuse pour les criminels uniquement parce que les utilisateurs ont une mauvaise hygiène des mots de passe. En effet, la base de données rassemble des tas de mots de passe précédemment volés, mais n’est pas liée à un nouveau piratage d’une organisation. Pour se protéger des attaques que permet RockYou2024, il faut choisir des mots de passe longs et surtout uniques pour chaque compte individuel. Un gestionnaire de mots de passe peut être utile à cet effet.
Si vous apprenez dans la presse qu’un service que vous utilisez a été victime d’un piratage, changez votre mot de passe et assurez-vous que vous ne l’utilisez pas encore pour un autre service. En outre, l’AMF garantit qu’un pirate ne peut pas s’introduire dans votre compte avec seulement votre mot de passe.