Le commerce des données personnelles obtenues illégalement n’en finit jamais. Un nouveau trésor de guerre contenant de nombreuses adresses mail et mot de passe inédits a été découvert sur le web.
La vente de mot de passe et d’adresse mail est monnaie courante sur les sites dédiés au piratage d’informations personnelles. Mais rarement une base de données comme celle-là a été découverte. Troy Hunt, propriétaire du célèbre site Have I Been Pwned (qui liste les données personnelles issues de fuites et de piratages en tout genre), a tiré la sonnette d’alarme à propos d’un nouveau fichier, surnommé naz.api, qui contient beaucoup d’informations jusque là inédites.
35 % d’adresses inédites
Contrairement à beaucoup de fichiers qui se contentent de compiler toutes les adresses mail et autres mots de passe déjà disponibles dans d’autres bases de données volées, ce fichier contient des informations personnelles qui n’avaient encore jamais été publiées sur le Net. En tout, c’est plus de 100 Go de données et 70 millions d’adresses mail qui sont contenus dans la base de données naz.api. Environ 35 % de ces adresses n’avaient encore jamais été dévoilées sur le web.
« Lorsqu’un tiers des adresses électroniques n’ont jamais été répertoriées auparavant, c’est significatif », explique Troy Hunt, « il ne s’agit pas là d’une liste de contenu recyclé avec un emballage inédit, mais d’un volume important de nouvelles données. » Parmi les sites dont est issue cette fuite, on retrouve évidemment Facebook, mais aussi eBay et Yahoo, en plus d’autres sites moins connus. Le court extrait de données partagé par Troy Hunt laisse aussi penser que des comptes d’internautes francophones sont présents.
Des mots de passe réutilisés massivement
Contactées, certaines victimes confirment que les mots de passe présents dans la base de données naz.api sont légitimes, souvent issus de comptes créés entre 2020 et 2021. Il semblerait que ces données soient partiellement issues du site illicit.services (aujourd’hui hors-ligne) qui obtenait ses données via des malwares et autres bouts de code malveillants.
Comme à chaque découverte funeste de ce type, on peut voir que de nombreux mots de passe sont très faciles à deviner et souvent réutilisés en masse sur de nombreuses plateformes différentes. Les 100 millions de mots de passe enregistrés sur Have I Been Pwned apparaissent 1,3 milliard de fois dans la base de données. Signe que la réutilisation de mot de passe est monnaie courante et que l’ingéniosité des internautes quand il s’agit de choisir son mot de passe laisse à désirer. De quoi souligner l'utilité des gestionnaires de mots de passe.
Source : TroyHunt.com via Ars Technica
- Interface claire et efficace
- Niveaux de sécurité
- Authentification biométrique
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.
Lire d'autres articles
