On pensait avoir déjà vu défiler des collections d’identifiants démesurées, mais le dernier ajout enterre tous les précédents. Près de deux milliards d’adresses mail et 1,3 milliard de mots de passe rejoignent Have I Been Pwned, dont plusieurs centaines de millions d’identifiants jamais recensés jusqu’ici.
Une semaine après l’ajout remarqué de 183 millions d’adresses compromises, Have I Been Pwned remet le couvert avec un corpus presque dix fois plus important. L’outil créé par Troy Hunt vient d’absorber près de deux milliards d’adresses mail uniques assorties d’un volume colossal de mots de passe, dont une fraction jamais recensée auparavant.
Derrière ces chiffres impressionnants se cache un phénomène bien connu des équipes de sécurité : le recyclage massif d’identifiants. Entre données siphonnées par des logiciels malveillants installés sur les machines des victimes et listes de credential stuffing compilées au fil des années, cet ensemble brosse un portrait saisissant de la manière dont nos identifiants circulent sur le marché noir, s’échangent et s’agrègent dans d’immenses bases de données illicites.
Un corpus hors norme pas tout à fait nouveau
HIBP vient tout juste de faire face à la plus vaste ingestion de données de son histoire. L’ensemble approche les 1,96 milliard d’adresses mail uniques, et s’accompagne de presque autant de mots de passe (1,3 milliard), dont environ 625 millions jamais référencés dans la base Pwned Passwords.
De loin, on pourrait croire à un incident gigantesque, mais ce volume provient essentiellement d’archives composites et de listes de credential stuffing issues d’anciennes fuites, agrégées, revendues puis recompilées des années durant.
Pour comprendre la portée réelle de cet ajout, Troy Hunt explique avoir procédé à plusieurs vérifications directes. Sur sa propre adresse, il retrouve un ancien mot de passe qu’il reconnaît sans difficulté, mais découvre également des combinaisons qui ne lui appartiennent manifestement pas. En sollicitant des abonnés HIBP, même tableau : certaines personnes reconnaissent des mots de passe utilisés il y a dix ou vingt ans, parfois encore actifs sur des comptes secondaires, d’autres signalent au contraire des combinaisons mail/mot de passe ne correspondant à aucun usage réel. Un constat assez peu étonnant au final, ces listes ayant été revendues, recombinées et recyclées tant de fois qu’il était inévitable d’y voir apparaître des associations erronées.
Bref, quoi qu’il en soit, on ne parle pas de « deux milliards de comptes soudainement exposés » puisqu’une large part de ces informations circule depuis longtemps sur le dark web ou équivalent. L’intérêt réel de cette indexation tient surtout au fait qu’elle apporte une visibilité nouvelle sur le volume colossal de données sensibles présent dans l’écosystème criminel.
Comment vérifier si ses données ont été compromises et resécuriser ses comptes
Avec cet ajout massif, HIBP référence désormais les adresses mail concernées d’un côté, et les mots de passe associés dans Pwned Passwords de l’autre. Une séparation volontaire qui fait automatiquement sauter le risque qu’un tiers puisse reconstituer directement une paire d’identifiants exploitable, dans l’hypothèse où la base serait compromise.
Pour faire le point, le plus simple consiste à saisir votre adresse sur Have I Been Pwned, puis à vérifier le mot de passe que vous aviez l’habitude d’utiliser dans Pwned Passwords. Le système ne révèle pas sa valeur et indique simplement s’il circule déjà dans les ensembles indexés. Si c’est le cas, inutile de tergiverser, il faut en changer.
S’il fallait encore le rappeler, le vrai sujet ne réside pas tant dans l’existence de ces bases que dans l’usage que l’on fait de ses mots de passe. Quand on réutilise un même identifiant sur une messagerie, un réseau social et un service d’e-commerce, une fuite mineure suffit à provoquer des dégâts bien plus larges.
Par conséquent, astreignez-vous à créer des mots de passe uniques, solide, aléatoirement générés et stockés dans un vrai gestionnaire de mots de passe (on oublie les solutions proposées par les navigateurs, moins sécurisées, faillibles aux malwares qui ciblent directement… le navigateur), et activez systématiquement l’authentification 2FA dès qu’elle est proposée, en privilégiant idéalement les passkeys ou clés de sécurité physiques plutôt que les SMS et confirmations mail.
Source : Troy Hunt
