BFM Tech

Un milliard de mots de passe volés bientôt publiés sur le dark web

Le système d'exploitation macOS High Sierra.

Le système d'exploitation macOS High Sierra. - Apple

Depuis des semaines, le pirate "peace_of_mind" vend de grandes bases de données utilisateurs. Dans un entretien, il explique d'où viennent ces données et affirme qu'il a encore du stock.

Que nous réserve le pirate peace_of_mind pour ces prochains jours? Apparemment la même chose que les semaines précédentes, à savoir la publication pour mise en vente de centaines de millions d'identifiants de sites Internet, comme il l'a déjà fait avec -entre autres- LinkedIn, MySpace, VKontakte et Twitter. Interrogé par Wired, le cybermalfrat explique qu'il a "encore environ un milliard de comptes utilisateurs" prêts à être diffusés.

Ce stock provient d'une douzaine de "réseaux sociaux et de services e-mail", dont sept pour lesquels il aurait accumulé plus de 100 millions d'identifiants. Il compte publier ses bases de données progressivement, à raison d'une par semaine. A priori, peace_of_mind va donc nous tenir en haleine jusqu'au milieu de l'été. Il vient d'ailleurs de lâcher les informations de connexion de 51 millions de comptes de feu le réseau P2P iMesh.

Toutes ces données proviennent, selon lui, de piratages réalisés en 2012/2013 par un groupe de hackers russes dont il faisait partie. "Certains [de ces piratages] sont le résultat de mon travail", précise-t-il. Ces données ont d'abord été utilisées par le groupe, principalement pour diffuser du spam... Une activité avec laquelle "il y a beaucoup d'argent à se faire". Puis elles ont été vendues sous le manteau à d'autres groupes "à la recherche de cibles spécifiques" ou qui cherchent à rentrer dans d'autres comptes. "Beaucoup [d'utilisateurs] ne s'embêtent pas à utiliser des mots de passe différents ce qui permet de compiler des listes [de comptes] Netflix, Paypal, Amazon, etc. qui sont ensuite vendues par lots", ajoute le pirate.

"C'est un peu d'argent supplémentaire"

Mais attention: après avoir volé ces identifiants, il n'est pas question pour les pirates de les vendre immédiatement de manière publique, comme c'est le cas actuellement. "Cela n'a aucune valeur si ces données sont offertes de manière publique (…). Par ailleurs, les acheteurs veulent que ces données restent confidentielles le plus longtemps possible", explique "peace_of_mind".

Si ce dernier a commencé à les proposer de manière publique, c'est parce que sa "marchandise" a désormais beaucoup circulé dans le milieu et que certains ont commencé à la mettre ouvertement en vente. "En remarquant cela, j'ai décidé de me faire un peu d'argent supplémentaire en vendant ces données également de façon publique", explique le pirate. Il précise que son groupe de hackers n'est plus constitué et que ces ventes n'auront aucune conséquence sur les anciens membres "dont la plupart ne sont plus en contact et sont passés à autre chose". 

En somme, toutes ces données apparaissent maintenant car elles sont presque périmées. Cette vente publique représente, d'une certaine manière, leur recyclage final. Pour autant, l'opération reste assez lucrative. "peace_of_mind" explique que les 100 millions de comptes LinkedIn lui ont rapporté 15.000 dollars. Et il a obtenu 20.000 dollars pour les bases de MySpace et Tumblr. Or, il ne s'agit là que d'un petit bonus. On n'ose pas imaginer combien d'argent tous ces identifiants ont pu générer durant ces quatre dernières années...

lire aussi

5 conseils pour ne jamais vous faire pirater votre mot de passe sur Internet, le 31/05/2016

lire aussi

LinkedIn, MySpace, Tumblr… Comment savoir si votre compte a été piraté, le 31/05/2016