NLTO
/ Magazine d'actualité politique, économique et internationale /




RockYou2021 : la plus grosse compilation de mots de passe volés ?







9 Juin 2021

Le monde de la sécurité informatique est une nouvelle fois en alerte : sur certains sites et forums circule désormais ce qui est la plus grosse compilation de mots de passe volés de l’histoire, en tout cas connue. Le risque d’attaques est réel et relativement important.


RockYou2021 : plus de 8 milliards de mots de passe dans un seul fichier

pixabay/geralt
pixabay/geralt
En février 2021, les spécialistes de la sécurité informatique découvraient l’existence de COMB, acronyme de Combination of Many Breaches : une banque de données circulant sur le dark web et qui présentait plus de 3 milliards de couples login/mot de passe. Jamais, une telle base de données n’avait été découverte, créant à la fois la surprise et l’inquiétude.

L’ampleur de COMB ne laissait par ailleurs pas présager que quelques mois après le record allait être largement battu : un fichier, appelé RockYou2021, circule désormais et contiendrait 8,4 milliards de couples login/mot de passe… soit presque trois fois plus que COMB. Le fichier, un simple fichier texte, ne pèse pas moins de 100 Go.

Un risque d’utilisation malveillante

L’inquiétude concernant une possible utilisation malveillante de cette fuite est réelle : les pirates pourraient l’utiliser pour prendre le contrôle de comptes ou lancer des attaques de phishing. Surtout que de nombreux internautes ont tendance à utiliser le même couple login/mot de passe sur plusieurs sites : la fuite sur un seul de ces sites peu donc impacter bien d’autres sites qui, de leur côté, sont restés sécurisés.

Néanmoins, cette compilation est probablement issue de nombreuses fuites différentes plus ou moins anciennes, comme c’était déjà le cas pour COMB. De nombreux internautes pourraient donc avoir déjà changé les mots de passe concernés, même si leur nombre, environ 4,7 milliards selon les premières estimations, laisse penser que certains couples login mot de passe peuvent encore être valides.