3,2 milliards d'emails et de mots de passe fuités ? Impressionnant, mais pas inquiétant
« COMB », pour « Compilation of Many Breaches », ou la « compilation de nombreuses failles » en français.
Dans son message, il ne cache pas la provenance des données : « La grande majorité du contenu est accessible publiquement.» Autrement dit, il n'a fait que compiler des bases de données déjà connues de toutes et tous, cybercriminels comme entreprises de cybersécurité. Ce travail n'est pas sans intérêt, mais il n'est pas vraiment dangereux.
Pourtant, le 11 février RTL a publié en soirée un article au titre alarmiste : « Cybersécurité : plus de 3 milliards de mots de passe Gmail et Hotmail divulgués en ligne.» Ce titre est bien trop approximatif : si la base contient des adresses Gmail et Hotmail, elle contient aussi des adresses email d'autres services. Surtout, le mot de passe associé à une adresse email n'est pas forcément celui de l'adresse email. Par exemple, il peut s'agir de l'adresse email et du mot de passe utilisé par une personne pour se connecter à LinkedIn (c'est tout de même embêtant, mais ça ne donne pas accès à la boîte mail).
Une « info » qui prend de l'ampleur à retardement en France
Pour comprendre ces erreurs, il faut remonter à la source de l'information. Le site français cite un article du site américain BGR, publié le 9 février, qui mentionne lui-même un article bien plus long de Cybernews, publié le 2 février. Ce dernier est donc la source première de cette séquence médiatique, qui prend de l'ampleur une semaine plus tard en France. Si une partie de son analyse est correcte, il profite surtout de l'événement pour mettre en avant son « vérificateur de données personnelles », qui permet de chercher une base de données constituée par l'entreprise si son adresse email a fuité.
Problème : cette base n'a pour l'instant pas encore accueilli les données de « COMB », et ne permet donc pas de faire la vérification promise. Si vous vous inquiétez sur la fuite de votre adresse email ou de votre mot de passe, privilégiez toujours une recherche (gratuite) sur Have I Been Pwned, l'outil de référence du secteur.
Que contient COMB ?
Le surnom « mère de toutes les fuites », attribué par certains médias, mène à confusion. COMB ne fait qu'agréger des « combo listes » déjà connues, depuis plus de 5 ans pour certaines. Les « combos listes » sont des listes de duo emails/mots de passe, eux-mêmes extraits de fuite de données plus complètes. Autrement dit, COMB est un agrégat d'agrégats. D'après les premiers tests effectués par notre source, la base ne contient pas de fuite inconnue : tout son contenu a déjà circulé sur les forums.
COMB sort tout de même du lot grâce à certaines particularités :
Elle pèse 87, 5 gigaoctets, et compte plus de 4 000 fichiers répartis dans plus de 130 dossiers.
Elle liste donc 3,28 milliards de paires email/mots de passe uniques. 3 278 412 308 précisément, d'après notre source.
Elle inclut un script de recherche, de sorte que même une personne sans compétence informatique pourra effectuer des recherches simples dans la base. De plus, elle est particulièrement bien ordonnée, ce qui facilite sa consultation.
Chaque ligne est au format simple « email » : « mot de passe ». Pas besoin de déchiffrer certains mots de passe ou de nettoyer le format de certaines lignes.
Quel intérêt COMB a pour les malfaiteurs ?
Les malfaiteurs vont se procurer cette base pour tenter de se connecter à toutes sortes de comptes : Facebook, PayPal, Twitter, Gmail, Outlook… Concrètement, ils vont prendre une ligne de la liste -- imaginons « [email protected] » : « MotDePasse » -- puis ils vont essayer ce duo d'identifiant sur chaque service, dans l'espoir qu'il fonctionne. S'ils parviennent à se connecter à un compte, ils monétiseront l'accès ou l'exploiteront eux-mêmes.
Puisque la base ne fait qu'agréger de vieilles données, elle s'adresse plutôt à des pirates en herbe, qui voudraient s'essayer au vol de compte, mais qui ne disposent pas des compétences nécessaires pour faire le travail de filtre eux-mêmes. Pour les cybercriminels aguerris, les données de COMB n'ont aucun intérêt : ils les ont déjà vues et revues.
COMB présente de la quantité, mais peu de qualité
Le volume de données contenu dans la base a beau être impressionnant, son exploitation ne devrait pas causer beaucoup de dégâts. Pour deux principales raisons :
Une large partie des données est périmée. COMB ne donne pas la date des données qu'elle contient, de sorte qu'un attaquant ne peut filtrer les duos d'identifiants du plus récent au plus ancien. C'est un problème pour eux : certaines données proviennent de combo listes publiées en 2016, qui contenaient des mots de passe encore plus anciens. En conséquence : puisque la plupart des données sont vieilles, une large partie des mots de passe a déjà été changée.
Ces données ont déjà été exploitées et réexploitées. COMB n'intéressera que le bas de la chaîne alimentaire des cybercriminels. Les cybercriminels les plus avancés s'échangent les fuites de données récentes dans des espaces sélectifs, puis les revendent quand ils en ont tiré suffisamment de valeur. Ensuite, ces fuites de données vont s'échanger à moindre coût sur d'autres types de forums, avant d'atterrir, en bout de chaîne, sur celui où a été publié COMB. En conséquence, dans la majorité des cas, quand une base de données volées est publiée gratuitement, cela signifie qu'elle a déjà été longuement exploitée. Quant à COMB, elle compile des combo listes publiques elles-mêmes constituées de vieilles bases de données publiques. Autrement dit, si vos identifiants sont dans COMB et qu'ils permettaient de se connecter à vos comptes, des cybercriminels l'ont sûrement déjà fait il y a plusieurs mois voire années.
Que dois-je faire pour me protéger de COMB ?
Bien que le risque représenté par l'exploitation de COMB est très limité, vous pouvez prendre quelques précautions pour vous assurer qu'il soit réduit à zéro.
Cherchez vos adresses email sur Have I Been Pwned, qui agrège déjà la majorité, si ce n'est la totalité des données de COMB. Vous saurez si votre adresse email a fuité, sur quel service elle a fuité, et quelles données (numéro de téléphone, mot de passe, adresse...) font partie de la fuite. Si le site vous indique qu'un de vos mots de passe a fuité, changez-le.
Ne réutilisez jamais (jamais) vos mots de passe. Ce manque de précaution facilite grandement le travail des malfaiteurs de tout niveau, et est au cœur de l'exploitation de COMB.
Activez la double authentification (aussi appelée authentification à deux facteurs ou 2FA) sur les services qui le proposent. Faites-le au moins pour votre adresse email et pour vos principaux comptes de réseaux sociaux. Ainsi, même si les cybercriminels devinent vos identifiants, ils ne pourront pas se connecter à votre compte, car ils ne disposeront pas du code de la 2FA, envoyé par SMS ou sur une app comme Google Authenticator.