BFM Business

"RockYou2021": non, huit milliards de mots de passe n'ont pas fuité en ligne

Vers une cybersécurité accrue des TPE/PME

Vers une cybersécurité accrue des TPE/PME - GETTYIMAGE

Une information alarmiste au sujet d'une fuite massive de mots de passe circule depuis quelques jours. Il s'agit en réalité d'un agrégat de vieilles informations... et de simples mots du dictionnaire.

Malgré l'information relayée par de nombreux médias, les quelque cinq milliards d'internautes n'ont pas besoin de changer tous leurs mots de passe. Ce 7 juin, le site CyberNews publiait un article concernant la diffusion sur un forum de hackers de "la plus grosse compilation de mots de passe de tous les temps", regroupant 8,4 milliards d'entrée. Un gigantesque fichier baptisé RockYou2021, pesant 100 Go, qui a provoqué un certain affolement. Il ne semble en fait lié à aucune faille massive (et récente) de données.

De simples mots du dictionnaire

Comme l'explique Chris Partridge, en charge de la sécurité du cloud chez Amazon, le fichier en question est en fait un agrégat de vieux mots de passe piratés par le passé, mais aussi de bases de données intégrant l'ensemble des mots de dictionnaires ou encyclopédies en ligne. Sont ajoutées des permutations de mots existants, afin de simuler de potentiels mots de passe.

Une telle base de données (dont les mots de passe ne sont d'ailleurs, pour une large partie, pas associés à un identifiant ou une adresse mail), peut éventuellement servir de référence à des systèmes d'attaque par "force brute": des logiciels configurés pour tester automatiquement le maximum de combinaisons possible pour pirater un compte.

"Ces logiciels vont se baser sur la liste de tous les mots existants dans Wikipédia, ou sur des mots de passe déjà piratés par le passé. Mais ces mots peuvent parfaitement être générés automatiquement, sans aucun lien avec un quelconque piratage" rappelle Jean-Marc Manach, journaliste d'investigation pour le site spécialisé Next INpact.

En matière de cybersécurité, une large partie de cette base de 8,4 milliards de mots de passe n'a donc pas beaucoup plus de valeur qu'une base potentiellement infinie, intégrant l'ensemble des combinaisons imaginables avec un clavier.

Engouement médiatique

Dès ce 8 juin, Troy Hunt, une référence en matière de cybersécurité, tempérait déjà l'information. Il est notamment à l'origine du site Have I Been Pwned, qui permet à tout internaute de vérifier son adresse mail ou son numéro de téléphone pour savoir s'il est concerné par une faille de sécurité. Afin de se tenir à jour, la plateforme collecte régulièrement les informations liées aux fuites de données.

Sur une page dédiée, elle propose également d'inscrire un mot de passe pour savoir s'il a déjà été associé à une fuite de données et est donc davantage à risque. Les internautes peuvent ainsi vérifier si leurs mots de passe préférés figurent parmi les quelque 600 millions de mots de passe piratés référencés par Have I Been Pwned.

Sur Twitter, Troy Hunt rappelle que cette liste de 8,4 milliards de mots de passe est un simple mélange d'autres listes déjà existantes et de mots du dictionnaire, affirmant être "vraiment surpris" de l'impact médiatique de la diffusion de cette information.

"Cette liste est environ 14 fois plus importante que les mots de passe référencés par Have I Been Pwned car l'immense majorité des éléments qui la composent ne sont pas des mots de passe" conclut Troy Hunt, affirmant ironiquement qu'il suffirait d'ajouter le chiffre "1" à la fin de chaque mot de passe pour doubler la nombre d'entrées recensées.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech