Les pirates informatiques distribuent librement une gigantesque collection de 2,2 milliards de noms d’utilisateurs et de mots de passe. Il rassemble des données provenant d’une série de fuites qui se sont produites ces dernières années – comme Dropbox, Yahoo et LinkedIn – et contient des informations d’identification qui n’étaient pas encore publiques. Vous pouvez vérifier si elle a été affectée en utilisant cet outil.
Selon Wired, l’Institut Hasso Plattner (Allemagne) a découvert une base de données appelée Collections #2?5 avec 845 Go distribués gratuitement dans des torrents et des forums de pirates. L’un des torrents a été téléchargé plus de 1 000 fois.
La base de données contient 2,2 milliards de combinaisons de login et de mot de passe, ce qui permet déjà de supprimer les informations en double. La plupart d’entre elles proviennent de fuites antérieures, telles que celles de Yahoo, LinkedIn et Dropbox. Il s’agit de mots de passe qui ont été exposés il y a de nombreuses années et qui ont probablement déjà été échangés. Cependant, ils peuvent toujours être utiles aux intrus ? beaucoup de gens ont l’habitude de les réutiliser sur d’autres sites.
Et selon les chercheurs de l’institut, 611 millions de ces références n’étaient pas présentes dans les fuites précédentes, et pourraient être exposées pour la première fois. Ils peuvent provenir de l’invasion automatisée de sites plus petits et obscurs pour voler des mots de passe.
Il s’agit des collections n° 2?5. Entre-temps, la collection n°1 a été dévoilée par le chercheur en sécurité Troy Hunt en janvier : elle contient plus de 1,1 milliard d’e-mails et de mots de passe, et était également disponible en téléchargement gratuit.
Comment savoir si vous avez été touché par la fuite
Et maintenant ? Vous pouvez le vérifier à l’aide du vérificateur de fuite d’identité. Cet outil, créé par l’Institut Hasso Plattner, rassemble un total de 8 milliards de comptes piratés, y compris les Collections #1 à #5 (il existe également le service HaveIBeenPwned de Troy Hunt, mais il n’inclut pas encore les Collections #2-5).
Pour ce faire, vous devez saisir votre adresse électronique ; elle “ne sera utilisée que pour effectuer des recherches dans notre base de données et, le cas échéant, pour envoyer une notification”, explique l’institut. “Il sera sauvegardé de manière floue pour vous protéger d’éventuels spams et n’est jamais remis à des tiers”.
Et pour vous protéger, la même recommandation s’applique comme toujours : évitez d’utiliser le même mot de passe sur différents sites ; envisagez de stocker vos identifiants dans un gestionnaire de mots de passe ; et activez la vérification en deux étapes chaque fois que cela est possible.