711 millions d’adresses email piratées dont sûrement la vôtre : comment s’en protéger ?

Un chercheur en sécurité français a découvert une immense base de données en accès libre sur le web, comportant plus de 711 millions d’adresses e-mail et 80 millions de mots de passe. Celle-ci permet aux hackers d’envoyer des spams capables de déjouer les filtres des antivirus. Comment savoir si vous faites partie des victimes et comment vous protéger ?
Sylvain Rolland
Etant donné l'ampleur du piratage -711 millions d'adresses, c'est plus de deux fois la population des Etats-Unis et presque autant que la population du continent européen, il y a de fortes chances que votre adresse figure dans le lot, ainsi que votre mot de passe.

Les cyberattaques et les escroqueries sur le Net ont atteint des records au premier semestre de l'année 2017, marqué par des cyberattaques d'une ampleur inégalée (WannaCry et NotPetya) ainsi qu'une recrudescence des spams et des logiciels malveillants (malwares).

Et la tendance ne fait que se poursuivre. Le 30 août, un chercheur en sécurité français, dont le pseudonyme est Benkow, a révélé ce qui s'impose déjà comme l'un des plus gros piratages de données personnelles de l'Histoire : une énorme base de données de 40 Go, comportant 711 millions d'adresses email et plus de 80 millions de mots de passe correspondant à ces adresses.

Des données issues des gros piratages récents

Les données exposées seraient issues de précédents piratages, notamment celui du réseau social professionnel LindekIn en mai 2016. Ce spectaculaire répertoire, hébergé sur un serveur aux Pays-Bas, était disponible en accès libre, à la merci de n'importe quel pirate, en tapant une simple URL. D'après l'expert, il aurait servi à alimenter un spambot, c'est-à-dire un robot informatique conçu pour récolter des adresses email sur les pages web afin de les inonder de courriels indésirables pouvant comporter un virus (spam), baptisé « Onliner ». Ce dernier serait responsable de la propagation, partout dans le monde, du logiciel malveillant (malware) Ursnif, qui cible les utilisateurs de Windows pour leur voler des données bancaires. Ce virus aurait déjà infecté plus de 100.000 ordinateurs dans le monde.

| DIAPORAMA Les pires piratages de comptes de l'Histoire

Dans un billet publié sur son blog, Benkow explique que cette immense campagne de piratage est d'autant plus dangereuse que les spams sont capables de contourner les filtres des antivirus en utilisant des adresses authentiques -les vôtres.

Comment savoir si vous êtes touché ?

Etant donné l'ampleur de la base de données - 711 millions d'adresses, c'est plus de deux fois la population des Etats-Unis et presque autant que la population du continent européen (743 millions d'habitants en 2015, dont 500 millions dans l'Union européenne) -, il y a de fortes chances que votre adresse figure dans le lot, ainsi que votre mot de passe.

Pour savoir si vous êtes touché, la solution est d'aller sur le site HaveIBeenPwned (Ai-je été piraté ?). Il s'agit d'un site créé par Troy Hunt, un chercheur en sécurité de Microsoft, également bloggeur, qui permet de vérifier, en tapant son adresse courriel, si celle-ci figure dans les bases de données répertoriées utilisées par les cybercriminels.

Si vous en faites partie, il y a donc un risque que vos identifiants et mots de passe soient aussi vulnérables. Il faut donc les changer immédiatement. Si vous utilisez le même mot de passe pour plusieurs autres services, changez tous les mots de passe.

Reste alors à trouver un mot de passe suffisamment solide pour ne pas être facilement « craqué ». Evitez les « motdepasse » « password » « prenomdatedenaissance », qui sont utilisées par la majorité des internautes et qui sont très facilement devinables.

Pour un mot de passe solide, privilégiez la phonétique et la méthode des premières lettres

Bonne nouvelle : alors que la National Institute of Standards and Technology (NIST), l'agence américaine qui établit les normes dans les technologies, recommandait depuis 2003 d'utilisation de mots de passe hyper-complexes composés de majuscules, de chiffres et de caractères spéciaux, de récentes études ont montré que ces mots de passe très difficiles à retenir, donc peu utilisés, ne constituent pas une bonne protection face aux méthodes des hackers. En effet, la combinaison de la méthode de la « force brute » (test automatique de toutes les combinaisons possibles), de « l'attaque par dictionnaire » (test automatique de combinaison de mots contenus dans le dictionnaire) et de « l'attaque arc-en-ciel » (retrouver un mot de passe à partir de son empreinte) viennent à bout, dans un labs de temps de plus en plus court, des mots de passe les plus farfelus.

Dans ce contexte, mieux vaut alors opter pour un mot de passe facile à retenir. C'est aussi l'avis de l'agence américaine, qui vient de publier un rapport dans lequel elle désavoue ses précédentes recommandations. Désormais, le NIST préconise l'utilisation de phrases longues, comme « J'aime le cassoulet c'est trop bon » (qui deviendra « JAimeLeCassouletCestTropBon »). Le mot de passe ne sera pas incassable, aucun de l'est, mais il peut convaincre les récalcitrants aux mots de passe complexes d'abandonner les combinaisons les plus faciles comme son prénom suivi d'une date de naissance.

Pour complexifier un peu plus votre mot de passe tout en le retenant facilement, vous pouvez aussi opter pour les méthodes de la phonétique et des premières lettres, recommandées par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Pour la méthode phonétique, l'agence prend l'exemple de la phrase « J'ai acheté huit CD pour cent euros cet après-midi », qui peut devenir « ght8CD%€7am ». Pour la méthode des premières lettres, notre « « J'aime le cassoulet c'est trop bon » deviendra « J'AlcCtb ». L'Anssi recommande des dictons ou des citations célèbres pour mieux retenir un mot de passe avec la méthode de la première lettre.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 08/01/2022 à 23:54
Signaler
Avec l'ancienne application de MS, WLM qui fonctionne toujours sous Windows 10, dans les Options de sécurités, onglet Expéditeurs autorisés, tous les messages envoyés par quelqu'un qui ne figure pas dans cette liste est soit envoyé à la corbeille, s...

à écrit le 02/09/2017 à 17:28
Signaler
Si je donne mon adresse électronique sur le site indiqué, je suis certain de me la faire pirater...... De toute façon, il est probable que c'est déjà fait puisque je reçois 40 à 50 spams par jour. Cordialement

à écrit le 01/09/2017 à 20:09
Signaler
Il faut retourner au courrier physique en espérant que votre facteur n'y jette pas un oeil dedans où ne le met pas dans son sac !

à écrit le 01/09/2017 à 19:53
Signaler
j'aime assez le taper votre email pour voir si elle a été hacker ... wouaff wouaff

à écrit le 01/09/2017 à 15:29
Signaler
La solution est une révolution, faire voter une loi pour pouvoir se déconnecter, droit à la déconnexion et imposer que toutes les démarches administratives se fassent par courriers postâles, ça va même diminuer le chômage de masse , du coup...

le 01/09/2017 à 17:34
Signaler
en voila une idee qu elle est bonne ! et pourquoi pas aller plus loin et imposer d utiliser un chevaucheur pour delivrer vos plis comme au moyen age ? ca fera encore plus d emplois ... le fait de pouvoir utiliser internet pour les demarches est un g...

le 01/09/2017 à 18:39
Signaler
Même dans le courrier il y a des vols : j'ai été personnellement victime de vol de chèque.

à écrit le 01/09/2017 à 15:17
Signaler
La seule protection c'est de ne pas faire confiance et non pas de suivre des méthodes qui n'aboutissent qu'a la méfiance!

à écrit le 01/09/2017 à 15:17
Signaler
La seule protection c'est de ne pas faire confiance et non pas de suivre des méthodes qui n'aboutissent qu'a la méfiance!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.