Un dossier stocké dans Mega, le service qui a succédé à Megaupload, a servi à recueillir l’une des plus importantes fuites sur Internet. Appelée Collection #1, elle a rassemblé plus de 1,1 milliard de combinaisons d’e-mails et de mots de passe.
La matière première comptait plus de 2,6 milliards d’enregistrements (soit 2 692 818 238). Cependant, un nettoyage des données a permis de retrouver les 772 millions de courriels uniques qui formaient exactement 1 160 253 228 combinaisons différentes de courriels et de mots de passe.
Le contenu, déjà retiré de la plateforme, a été diffusé sous la forme d’une “collection de plus de 2 000 bases de données sans hachage”, une technique qui “déguise” les vrais mots de passe. Pour faciliter le travail de ceux qui l’utilisent, la Collection n°1 a réparti les informations par thèmes tels que le courrier électronique, les jeux et les achats.
L’information provient du chercheur en sécurité Troy Hunt, qui a décrit la fuite dans son blog et a souligné l’existence de 12 000 fichiers totalisant 87 Go. Selon lui, les informations contenues dans le dossier ont fui à différents moments entre 2008 et 2018.
L’expert dit avoir vu l’ampleur du problème à partir du nombre de personnes qui sont entrées en contact avec lui et d’une publication dans un forum connu. “En termes de risque que cela représente, plus de personnes disposent des données, plus la probabilité qu’elles soient utilisées à des fins malveillantes est évidemment élevée”, déclare M. Hunt.
Hunt est le créateur de Have I Been Pwned, un service qui permet de rechercher si un courriel se trouve sur des listes de fuite. Il affirme qu’il s’agit de la plus grande fuite jamais enregistrée sur le site et souligne que 140 millions d’e-mails n’y sont jamais apparus auparavant.
La collecte n°1 a permis de recueillir 21,2 millions de mots de passe uniques, un chiffre relativement faible par rapport à la quantité de courriels stockés. Avec les courriers électroniques, ils pourraient être utilisés pour effectuer une action appelée “bourrage d’identité”.
“En d’autres termes, les gens prennent des listes comme celles-ci qui contiennent nos e-mails et nos mots de passe, puis essaient de voir où ils travaillent”, explique M. Hunt. “Le succès de cette approche repose sur le fait que les gens réutilisent les mêmes mots de passe dans différents services.
Comment puis-je savoir si un courriel se trouvait dans la collection n° 1 ?
La façon la plus simple de vérifier si votre courriel se trouvait dans l’une des bases de données de la Collection n°1 est de faire une recherche sur le site Have I Been Pwned. Le site a enregistré les millions de courriels dans l’annuaire et peut indiquer si vous faites partie des personnes concernées.
Le service propose également le service Pwned Passwords, qui vous permet de rechercher les mots de passe que vous utilisez. Ainsi, vous pouvez savoir combien de fois ils sont apparus dans des fuites connues et vous faire une idée de la sécurité qu’ils offrent.
Si vous avez trouvé des informations actuelles sur le site, la décision la plus prudente est de changer vos mots de passe dans le service indiqué. Pour éviter les problèmes à l’avenir avec des tactiques telles que le bourrage de cotes, le conseil est d’éviter d’utiliser le même mot de passe sur plus d’une plateforme.