Fuite massive de données de l'ampleur de Gmail et Facebook ? Ce que révèlent les 149 millions de "montagnes d'informations d'authentification" sur les points communs des prochaines cibles.

1. Ce que signifie « 149 millions de cas » : la véritable peur d'une « fuite massive »

Le problème actuel concerne le fait que environ 149,4 millions de « données de connexion (combinaisons d'ID, d'adresses e-mail et de mots de passe) » ont été stockées dans un état accessible à tous. Ce n'est pas simplement une histoire de « piratage d'une seule entreprise ». Les informations d'authentification de plusieurs services ont été rassemblées en un seul endroit et organisées de manière à être facilement consultables, ce qui augmente considérablement le niveau de danger.

Car ce qui a de la valeur pour les attaquants, c'est moins une « fuite unique » qu'un répertoire permettant d'essayer une multitude de mots de passe réutilisés. Plus il y a de services utilisés quotidiennement, tels que les e-mails, les réseaux sociaux, les services de streaming, les crypto-monnaies, les services financiers, les services administratifs, plus la probabilité d'utiliser le même mot de passe sur différents sites augmente. La liste des fuites transforme rapidement cette « probabilité » en réalité.

2. Qu'est-ce qui a été exposé : cela ne s'arrête pas aux e-mails et aux réseaux sociaux

Selon les rapports et les divulgations des chercheurs, ce qui a été exposé n'était pas simplement une liste d'ID et de mots de passe, mais aussi des enregistrements contenant des informations permettant de savoir pour quel site il s'agit (URL de connexion, etc.). Cela ressemble à un « manuel d'exécution immédiate » pour les attaquants.
De plus, même dans le cadre de la vérification des échantillons, il a été suggéré que non seulement les principaux e-mails et réseaux sociaux, mais aussi des comptes de services de streaming, de jeux, de rencontres, de crypto-monnaies, de banques, de cartes et de domaines gouvernementaux étaient potentiellement mélangés.

Ce qui est important ici, c'est que l'idée que « je suis en sécurité parce que je n'utilise que des services connus » s'effondre. Les attaquants commencent par pirater un e-mail pour s'emparer de la réinitialisation du mot de passe, puis s'introduisent de manière en chaîne dans d'autres services. **« Peu importe où se trouve l'entrée »**, c'est la peur des fuites d'informations d'authentification.

3. Soupçon d'« info-stealer » : l'ère où les « terminaux » sont ciblés plutôt que les services

Les données actuelles sont soupçonnées par les chercheurs d'être issues d'info-stealers (malwares de vol d'informations) ou de keyloggers. Il s'agit de logiciels malveillants qui infectent les PC ou les smartphones des utilisateurs, volent les informations enregistrées dans le navigateur ou les saisies (ID, mots de passe, informations de carte de crédit, etc.) et les envoient à l'extérieur.

Cela signifie que ce n'est pas seulement « une entreprise qui a été piratée », mais que nos propres terminaux peuvent servir de tremplin. Les fichiers joints suspects, les logiciels piratés, les fausses mises à jour, les publicités malveillantes, les sites modifiés... les points d'entrée sont partout dans la vie quotidienne.

Ce qui est encore plus problématique, c'est qu'avant que les informations volées ne soient **« mises en vente sur un marché noir », il faut d'abord un entrepôt pour les stocker**. Ce qui a été découvert cette fois-ci est un cas où cet « entrepôt » était exposé en raison d'une mauvaise configuration. Même les criminels font des erreurs opérationnelles qui entraînent des fuites, mais ce sont toujours les utilisateurs qui en souffrent.

4. Ce qui va se passer : les connexions frauduleuses arrivent comme une « vague »

Lorsque de telles listes circulent, la première chose qui augmente est le **credential stuffing (attaque par réutilisation massive d'ID et de mots de passe)**. Les attaquants utilisent des outils automatisés pour essayer les combinaisons divulguées sur d'autres services.

Si une tentative réussit, ils passent à l'étape suivante.

• Pirater un e-mail → Réinitialiser le mot de passe pour une propagation horizontale

• Pirater un réseau social → Usurper l'identité d'un ami pour envoyer des messages frauduleux ou des invitations à investir

• Paiements et points → Achats frauduleux, encaissement, détournement d'abonnements

• Crypto-monnaies → Connexion aux plateformes d'échange, fuite de portefeuille, dommages liés aux transferts

• Comptes professionnels → Fraude à la facture auprès des partenaires commerciaux, point d'entrée pour l'intrusion interne

Et surtout, à l'heure actuelle, bien que l'identification personnelle et l'authentification à deux facteurs soient de plus en plus courantes, **le « phishing devient de plus en plus sophistiqué »**. Les données divulguées servent également de matériau pour rendre les e-mails de phishing plus « authentiques ». Si l'attaquant connaît le nom du service que vous utilisez, la crédibilité de l'e-mail augmente considérablement.

5. Réactions sur les réseaux sociaux : de « encore une fois » à « revoir immédiatement »

Cette affaire a également fait sensation sur les réseaux sociaux, et trois émotions principales se démarquent.

(1) Fatigue : « Les fuites se produisent tous les jours »
Sur Reddit, des réactions teintées de résignation, telles que « On a l'impression qu'une nouvelle fuite se produit chaque jour », ont été observées. Les utilisateurs semblent être insensibilisés par la fréquence des incidents massifs.

(2) Demande pratique : « Je veux vérifier si je suis concerné »
Sur Reddit également, des voix se sont élevées pour dire : « Si les données étaient dans un service de vérification, je pourrais vérifier », montrant un intérêt qui passe de la « peur » à la « vérification et à la prise de mesures ».
Cette réaction est rationnelle. En fin de compte, le moyen le plus rapide de prévenir les dommages est de vérifier si vos informations d'authentification sont réutilisées et de renforcer les comptes importants en priorité.

(3) Supposition de la cause : « Est-ce un entrepôt de keyloggers ? »
Il y a eu aussi des suggestions selon lesquelles « cela ressemble à un entrepôt de keyloggers/info-stealers », et de nombreuses personnes ont parlé en supposant un « modèle d'infection » plutôt qu'un « incident du côté des services ». Cela reflète la réalité que le champ de bataille principal des attaques s'étend des frontières des entreprises aux terminaux personnels.

6. Mesures à prendre maintenant : « L'ordre » est plus important que « tout changer »

Enfin, organisons les « choses à faire aujourd'hui » par ordre de priorité.

Priorité A : Protéger en priorité les e-mails (en particulier les principaux)

• Changer le mot de passe pour qu'il soit long et unique

• Activer l'authentification à deux facteurs (si possible, utiliser une application d'authentification ou une clé de sécurité)

• Mettre à jour les adresses e-mail de contact, les numéros de téléphone et les codes de récupération

Priorité A : Renforcer la « barrière de connexion » pour les finances, paiements et crypto-monnaies

• Authentification à deux facteurs obligatoire, revoir la biométrie et le code PIN du terminal

• Activer les notifications de connexion suspecte et de transfert

• Changer immédiatement si le même mot de passe est utilisé

Priorité B : Les réseaux sociaux, la « propagation après piratage » est douloureuse

• Authentification à deux facteurs

• Inventaire des applications connectées (services externes connectés)

• Paramètres de sécurité des DM, vérification de l'historique des connexions

Priorité B : Inspection du terminal (mesures contre les info-stealers)

• Mettre à jour l'OS/le navigateur

• Supprimer les extensions suspectes

• Effectuer un scan de sécurité, revoir le stockage des mots de passe

• Éviter les fichiers suspects, les logiciels piratés, les fausses mises à jour

La base la plus efficace est l'introduction d'un gestionnaire de mots de passe et l'élimination de la réutilisation. Cela réduit considérablement les « coups » des attaques par liste. En outre, il est conseillé d'envisager des options pour réduire la dépendance aux mots de passe, telles que les passkeys, là où c'est possible.

Sources

• https://www.ibtimes.com.au/massive-credential-breach-puts-149-million-online-accounts-risk-1861210

• Rapport de Jeremiah Fowler (nombre de fuites, données non chiffrées/non protégées, explication de la portée des services inclus)
  https://www.expressvpn.com/blog/149m-infostealer-data-exposed/

• Tableau des estimations par service principal, possibilité d'origine info-stealer/keylogging, environ un mois pour la notification
  https://www.techrepublic.com/article/news-149-million-passwords-exposed-infostealer-database/
  https://www.techradar.com/pro/security/huge-data-leak-of-149-million-credentials-exposed-without-any-protection-98gb-of-unique-usernames-and-passwords-from-financial-services-social-media-accounts-and-dating-apps

• Références des réactions sur les réseaux sociaux (exemples de commentaires d'utilisateurs tels que « cela se produit tous les jours », « je veux vérifier »)
  https://www.reddit.com/r/pwnhub/comments/1qktxwg/149_million_usernames_and_passwords_exposed_in/