1,4 milliard de mots de passe volés : rien de nouveau sous le soleil ?

La société de threat intelligence 4iQ a publié samedi 9 décembre un post de blog au titre plutôt inquiétant, pour ne pas dire racoleur : « 1,4 milliard d’identifiants en clair découverts dans une seule base de données. » Le chiffre est impressionnant. Comme l’explique 4iQ dans son post de blog, ses chercheurs ont découvert cette base de données en fouillant le « deep and dark web. » Ils précisent que la base de donnée, massive, contient plus d’un milliard d’identifiants et de mots de passe en clair provenant de sources multiples, et que celle-ci se révèle largement supérieure en terme de nombre d’entrées aux précédentes bases de données de ce type découvertes par la communauté des chercheurs en sécurité informatique.

 

Mieux, les chercheurs estiment que 14% des identifiants intégrés à la base sont nouveaux et ne proviennent donc pas de précédentes bases (antipublic et exploit.in sont les deux bases citées par les chercheurs). 14% de 1,4 milliard, cela représente beaucoup de nouveaux mots de passe dérobés (environ 200 millions) et laisse penser à de nouvelles fuites de données encore non révélées. Au total, la base de donnée représente 41 Go de données, découverte le 5 décembre et mise à jour avec de nouvelles entrées à la fin du mois de novembre.

4iQ prend ensuite le temps de faire un peu d’analyse sur les mots de passe présents dans la base, afin de mettre en avant les plus communs et les plus fréquemment utilisés. La firme promet de nouvelles analyses à l’avenir sur cette base de mot de passe.

Un goût de réchauffé

On aurait pu en rester là, mais l’annonce paraissait un peu trop belle pour être vraie. Les bases de données agrégeant plus d’un milliard de mots de passe ne sont pas vraiment une nouveauté : en 2014, ce type de fichier massif avait été signalé par la société Hold Security. Mais les agrégats de données connues n’ont rien de très intéressant et la seule information réellement pertinente de la découverte de 4iQ reste la proportion de mots de passe « nouveaux » et ne provenant pas de fuites déjà connues.

Les chercheurs de l’entreprise de threat intelligence expliquent avoir comparé les données avec celles de plusieurs listes importantes, mais la référence en la matière reste bien évidemment la base maintenue par Troy Hunt, HaveIbeenPwned, qui compile un peu plus de 4 milliards d’identifiants volés provenant de multiple piratage.

Troy Hunt a donc publié dimanche une série de tweets afin de donner son analyse sur la découverte de 4iQ. Le chercheur explique avoir été intrigué par l’annonce de la société et attendait de pouvoir mettre la main sur les données avant de donner son sentiment. Il y est finalement parvenu, vu que les chercheurs ont mis en ligne un lien torrent sur reddit menant à l’archive en question. Troy Hunt explique que cette base de données n’a rien de nouveau et compile essentiellement des données provenant de piratages connus et déjà répertoriés par son service.

Il explique ainsi avoir comparé un millier d’identifiants sélectionnés au hasard avec ceux présents dans sa base de données, et que le taux de corrélation est de 99,6%. De plus, le chercheur explique que les informations sur la provenance des données sont invérifiables ou erronées.

Pour faire simple, la base déterrée par 4iQ ne contient rien de très nouveau : la seule information que l’on puisse en tirer, c’est de savoir que les cybercriminels agrègent et regroupent les mots de passe volés provenant de différentes sources au sein de bases de données dédiées, probablement utilisées dans des attaques de credential stuffing. Rien de très nouveau sous le soleil, mais un joli coup de communication pour 4iQ.

ZDNet