Comment vous protéger de RockYou2024, cette gigantesque fuite de données qui expose 10 milliards de mots de passe

Mélina LOUPIA
Publié le 05 juillet 2024 à 14h37
RockYou2024 utilise l'une des plus grandes faiblesses des utilisateurs : les mots de passe uniques - @ Tapati Rinchumrus / Shutterstock
RockYou2024 utilise l'une des plus grandes faiblesses des utilisateurs : les mots de passe uniques - @ Tapati Rinchumrus / Shutterstock

Près de 10 milliards de mots de passe uniques ont été divulgués sur un forum de piratage. Baptisée RockYou2024, cette fuite massive met particulièrement en danger certains utilisateurs.

L'histoire se répète, mais en pire. Alors qu'en 2021, une fuite de 8,4 milliards de mots de passe avait déjà fait trembler le monde de la cybersécurité, voilà que RockYou2024 pulvérise tous les records. Cette fois-ci, ce sont près de 10 milliards de mots de passe qui se retrouvent dans la nature, exposés aux quatre vents sur les forums de hackers. Une aubaine pour les cybercriminels, un cauchemar pour les internautes.

Cette fuite colossale soulève de nombreuses questions : d'où viennent ces données ? Que risquent les utilisateurs ? Comment se protéger ? Presque 10 milliards de questions que vous pouvez vous poser. Clubic répond à quelques-unes d'entre elles, notamment pour vous aider à mieux protéger vos données personnelles en ligne.

RockYou2024 : anatomie d'une fuite hors norme

RockYou2024 n'est pas tombé du ciel. Cette liste titanesque est le fruit d'un long travail de fourmi mené par des pirates informatiques. Ils ont patiemment agrégé des données provenant de plus de 4 000 bases de données différentes, certaines remontant à plus de 20 ans.

Le résultat ? Un fichier texte sobrement baptisé rockyou2024.txt, contenant exactement 9 948 575 739 mots de passe uniques. Un chiffre qui donne le vertige et qui dépasse de loin son prédécesseur, RockYou2021, qui en comptait seulement 8,4 milliards.

L'histoire de RockYou remonte à 2009, lorsqu'une première fuite avait exposé les mots de passe de millions d'utilisateurs de réseaux sociaux. Depuis, la boule de neige n'a cessé de grossir, incorporant au passage des données issues de fuites plus récentes. Entre 2021 et 2024, ce sont 1,5 milliard de nouveaux mots de passe qui ont été ajoutés à la base.

Cette masse de données représente un danger réel. Les pirates peuvent s'en servir pour mener des attaques par force brute contre n'importe quel système mal protégé, des services en ligne aux objets connectés en passant par le matériel industriel.

Se protéger de RockYou2024 : un défi à la portée de tous

10 milliards de mots de passe dans la nature, immédiatement, vous pensez aux vôtres. Heureusement, comme dans la plupart des cas, et même si le mal est fait, vous n'êtes pas sans solutions ni réactions.

La première étape consiste à vérifier si vos identifiants font partie de la fuite. Des outils comme le site « Have I Been Pwned » permettent de le savoir en quelques clics. Si c'est le cas, changez immédiatement vos mots de passe compromis.

Mais pourquoi est-il si facile pour les hackers de pirater nos comptes ? La réponse tient en un mot : la réutilisation. Trop d'utilisateurs emploient le même mot de passe pour plusieurs, voire tous leurs comptes. Une habitude dangereuse qui offre aux pirates un véritable passe-partout numérique.

Pour contrer cette menace, adoptez des mots de passe uniques et complexes pour chaque service. Utilisez un mélange de lettres minuscules et majuscules, de chiffres et de caractères spéciaux. Si la tâche vous paraît ardue, les gestionnaires de mots de passe sont là pour vous simplifier la vie.

L'authentification à deux facteurs (2FA) est une autre arme redoutable contre les tentatives de piratage. En ajoutant une couche de sécurité supplémentaire, elle rend la tâche des cybercriminels nettement plus compliquée, même s'ils disposent de votre mot de passe.

  • Web
  • Protection de la vie privée

Source : Cybernews

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
Comcom1

On se demande tous… est-ce que le mot de passe 1234 a fuité ???

peper_1_1

L’article est relativement imprécis (et alarmiste).
Rockyou est une liste de mots de passe uniques et seuls (sans comptes ni identifiants) qui est régulièrement mise a jour : c’est forcément « pire » à chaque édition.
Elle est constituée de mots de passes qui ont déjà fuité depuis parfois des années (comme indiqué).
Son intérêt est que les mots de passe sont classés par fréquence (le 1er de la liste est le plus utilisé, le dernier est le moins utilisé).
Il ne s’agit que de mots de passes, il n’y a aucun compte associé, donc il est impossible de savoir qui utilise ces mots de passe.
Elle est utilisée pour tester des accès (on indique le login du compte à tester puis on injecte le fichier rockyou pour tester tous les MdP… 1 par 1…).
Du coup, il n’y a rien d’étonnant à y trouver ses propres MdP car il y a probablement quelqu’un d’autre qui a utilisé le même (on parle d’une base de milliards de combinaisons de lettres et chiffres). Fait juste éviter de retrouver son MdP dans le haut de la liste…
Le site HaveIBeenPwned indique si ses identifiants ont fuité… et indique surtout (généralement) qu’elle est (ou sont) l’origine de la fuite ce qui permet de savoir quel est le site concerné (par la fuite).
Il n’est donc pas systématiquement nécessaire de changer ses MdP si ils ont déjà été changé (perso j’en ai 1 qui a fuité il y a 10 ans, j’ai déjà changé plusieurs fois de MdP pour ce compte depuis).
Il faut toutefois les changer régulièrement et, si possible, utiliser le MFA (code additionnel reçu par sms par exemple).
Il est aussi possible de déléguer l’authentification (« se connecter avec google » par exemple), ce qui permet de réduire le nombre de comptes à protéger (et fourni des infos sur vos habitudes à Google…)

OL556B3C4

« lorsqu’une première fuite avait exposé les mots de passe de millions d’utilisateurs de réseaux sociaux. »
Je ne vois pas le rapport. Où se trouvent les mots de passe sur les RS ?

Sinon, d’où proviennent ces fuites, de manière générale ? De gestionnaires de mots de passe ?

@peper_1_1
« Il est aussi possible de déléguer l’authentification (« se connecter avec google » par exemple) »
En effet, mais il faut d’autant plus éviter de se faire pirater son compte Google… cela me paraît dangereux. Personnellement, je n’utilise cette facilité que pour les sites de moindre importance.

Enfin, faire confiance au site HaveIBeenPwned, pourquoi pas, mais cela me semble également un jeu dangereux.

Feunoir

En fait c’est assez simple : c’est peine perdue.
Dès que l’on utilise son adresse mail sur un/des sites elle va finir sur une de ces listes à un moment donné, c’est les sites en face le problème la plupart du temps.

J’ai supprimé une adresse hotmail.com en octobre dernier, j’ai transféré 8 sites sur une toute nouvelle en outllook.fr (dont 3 du groupe ldlc) et il y a qq mois j’avais déjà mon premier essai hameçonnage (je dois du pognon à ldlc.com il parait et faut vite reagir sinon… , depuis c’est colis bloqué et autres bêtises 1 à 2 fois par mois) , a par la creation en octobre j’ai dû l’utiliser moins de 10fois sur ces 8 sites avant mon premier mail merdique

Donc je conseille :
– Ne surtout pas mettre son nom dans l’adresse du mail (sinon le spam/phishing sera personnalisé avec cette info, c’est un beau cadeau)
– Faire plutôt un maximum d’alias de compte microsoft (des sous comptes du mail principal) ou autres comptes « poubelle » pour compartimenter/grouper les sites. (L’alias principal du compte sera alors le seul autorisé à se loguer sur le compte (il faut aller le régler ainsi) et il ne sera jamais utilisé comme adresse mail, et tous les autres alias n’auront pas le droit de se loguer)

J’ai commencé à les migrer ailleurs pour la tuer elle aussi mais je suis un peu bloqué par une tracasserie administrative sur l’un des sites (alors que l’année dernière aucun problème avec lui)

HaveIBeenPwned c’est fait par des gens de Microsoft, et c’est ce qui est utilisé souvent par les navigateurs et autres outils qui vérifient la diffusion des adresses mails et password

peper_1_1

La liste rockyou est issue de fuites (diverses) publiées sur l’internet.
Ils récupèrent les login/mdp de ces listes et ne conservent que les mdp.
Ces fuites sont généralement dues a des « piratages » de sites ou services internet, soit en raison de défauts de sécurisation (accessible en clair depuis l’internet), soit via l’exploitation de failles de sécurité.
Bref rien de spécifique aux RS.

Déléguer l’authentification a google permet de ne se concentrer que sur la sécurisation d’un seul compte (par exemple concernant le changement régulier de mdp) et de bénéficier du MFA qui renforce sérieusement la sécurité (MFA que de nombreux sites n’ont pas).
Google, on aime ou pas, mais ils ont (quand-même) un bon niveau de sécurité, meilleur que de nombreux sites.
(j’ai déjà évoqué la « surveillance » de google associée, je ne reviens pas dessus).

Le site HIBP est très largement considéré comme sérieux et, a l’inverse de rockyou, ils ne conservent que les login ayant fuité (et indiquent généralement quelle est l’origine de la fuite = quel site s’est fait pirater et quand).
Bref, pas vraiment de sujet de confiance : ton email n’est pas référencée = ils ne l’ont pas trouvé = il faut quand même changer son mdp de temps en temps ; et si elle est référencée il faut s’assurer d’avoir changé son mdp depuis… et continuer a le changer de temps en temps.