RockYou2021 : 8,4 milliards de mots de passe dans la nature, pour un fichier de quelque 100 Go

09 juin 2021 à 09h11
20
Mot de passe © © Markus Spiske - Unsplash
© Markus Spiske - Unsplash

Une liste impressionnante de milliards de mots de passe a été publiée sur une célèbre plateforme de hackers. Celle-ci proviendrait de diverses fuites précédemment compilées.

Sommes-nous face à la plus grande révélation de mots de passe de l'histoire de l'information ? Les chiffres laissent en tout cas peu de place au doute. Nos confrères de CyberNews ont en effet découvert une sorte de pépite massive sur un forum de hackers très populaire du vaste dark web. L'un des utilisateurs de la plateforme a posté un fichier au format .txt qui déjà impressionne par son poids : 100 Go. Celui-ci contiendrait plus de 8 milliards de mots de passe.

Une fuite de mots de passe record

Le fichier RockYou2021 (ou rockyou2021.txt) compile plus exactement un total de 8 459 060 239 entrées uniques, chacune correspond à un mot de passe. Si l'on insiste un peu, on risque vite d'être à court de superlatifs, alors mieux vaut se contenter des faits dont nous avons connaissance aujourd'hui.

Selon l'utilisateur qui a posté le fichier sur le forum pirate, les mots de passe contenus dans ce dernier comportent entre 6 et 20 caractères, espaces retirés notamment.

Pour avoir conscience de l'ampleur de la chose, ayons à l'esprit deux choses. La première, c'est que la plus grande compilation de fuite de données jamais réalisée jusqu'à maintenant ne comportait « que » 3,2 milliards de mots de passe. Il s'agissait de la fuite baptisée COMB (Compilation of Many Breaches), qui rassemblait des identifiants et mots de passe issus de services, messageries et réseaux mondialement reconnus, comme Gmail, Hotmail, Netflix ou LinkedIn. Ensuite, ayons conscience qu'avec 4,7 milliards de personnes officiellement « connectées » sur notre planète, le fichier RockYou2021 couvre à lui seul presque deux fois la population connectée en ligne. On n'exagérera pas alors en vous encourageant à vérifier si votre, ou plutôt vos mots de passe ne font partie de la fuite.

Des vagues d'attaques attendues

Il existe justement deux outils basés sur les fichiers présents sur les forums de hackers qui vous permettent de savoir si vos données circulent en ligne. Pour cela, vous devez vous rendre sur le site de CyberNews , en renseignant votre adresse email ou votre numéro de téléphone. Et pour vérifier si l'un de vos mots de passe a été divulgué, le site spécialisé propose un second outil . Si lorsque vous entrez vos données, vous voyez du rouge s'afficher, alors procédez le plus rapidement possible au changement du mot de passe ou à la récupération de compte.

N'oubliez pas 👇

Pour vérifier si votre adresse électronique (et les données que vous avez pu associer avec cette dernière sur les divers sites qui la supportent) est associée à une fuite de données récente, l'outil de référence que nous vous conseillons reste HaveIBeenPwned.com .

CyberNews alerte enfin, et à juste titre, sur le fait que les 8,4 milliards de mots de passe uniques, compilés à d'autres fuites et regroupés avec des noms d'utilisateur et des adresses électroniques déjà connus, pourraient provoquer des dégâts colossaux. RockYou2021 pourrait en effet occasionner un grand nombre d'attaques de comptes en ligne dans les semaines et mois à venir.

Clubic compare de manière indépendante et objective les 3 meilleurs gestionnaires de mots de passe. Cliquez pour en savoir plus.
Lire la suite

Source : CyberNews

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
15
UncleJul
Chose importante à signaler, vos adresses gmail et hotmail ont de forte chances de figurer dans la liste, mais probablement parcequ’elles étaient utilisé sur d’autres sites, cela ne veut pas dire que vos messageries sont exposées, à moins d’utiliser le même mot de passe partout.
GRITI
D’après le premier outil, deux de mes quatre adresses mail ont un problème. Mais avec quel mot de passe? Pour quel site? Sachant que j’ai un mot de passe par site.<br /> Par contre, le second outil où il faut rentrer ses mots de passes…Non merci. Si je le fait, il faudra que je change tous mes mots de passe
Yorgmald
Avec les CLIQUANT ICI comme ça bah j’ai l’impression que c’est ça l’arnaque.
AlexLex14
Tu penses bien que jamais on ne s’amusera à livrer des liens bidons.<br /> Au contraire, le but, c’est de les faire ressortir au mieux, pour que les lecteurs ne les loupent. C’est dans un intérêt de sécurité qu’on fait cela mais ça tu le sais
Fodger
En fait ce genre de news veut tout et rien dire : il n’y aucune information réelle et sérieuse sur l’ancienneté des informations contenues, la provenance etc.<br /> De même que même si Personal Data Leak Checker: Your Email &amp; Data - Breached? | CyberNews vous dit que votre email est dans leur base ça ne veut pas dire du tout que des informations personnelles circulent. Ca veut simplement dire avec certitude qu’un moment une source de données contenait votre adresse mail, ce qui est tout à fait courant dès que vous vous inscrivez quelque part avec la revente de données.
nicgrover
Adresses Gmail et Hotmail compromises mais les mots de passe sont de très vieux mots de passe datant de plus de 10 à 15 ans que je n’utilise plus depuis bien longtemps, donc pas de soucis pour moi. A priori…
DrGeekill
Je suis allé sur le site de l’article et on fait franchement mieux que ça. Il servira tout au plus à faire flipper ceux qui verront le message rouge bien alarmant sans qu’ils n’aient aucune information supplémentaire.<br /> J’y ai rentré deux adresses qui avaient été piratées il y a longtemps.<br /> Ce n’est pas pour faire de la pub mais Firefox monitor est beaucoup plus performant et précis et de loin. Il donne l’origine de la fuite (site, date, …)<br /> Y a pas photo sur ce point.<br /> Vôtre lien va stresser les utilisateurs plus qu’autre chose vu qu’il n’auront aucune précision. Je trouve que c’est un manque réel de sérieux que de ne citer que vos propres sources sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé.
Squeak
Rien de bien nouveau, ce genre de listes a déjà été publié à certains moments, d’ailleurs il y a quelques mois ça portait le nom de «&nbsp;Comb&nbsp;», une collection de plusieurs leaks regroupés.<br /> Pour éviter des tracas, les règles de base sont encore une fois assez simples : avoir des mots de passe différents, et les changer de temps en temps + authentification à double facteurs sur les comptes principaux ça permet quand même de limiter très fortement les risques.<br /> J’ai opté pour un gestionnaire de mots de passe hors ligne : Secret Space Encryptor sur Android, il dispose d’un coffre fort (Password Vault) et fonctionne assez bien. Il peut aussi exporter un fichier chiffré qui contient toutes les infos pour pouvoir le sauvegarder soi-même où l’on veut.
twenty94470
Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,
Space_Boy
C’est simple: via Clubic, vous allez alimenter le fichier TXT avec vos mot de passe unique pas encore répertorié. C’est malin!
AlexLex14
Je perçois quand même pas mal de mauvaise foi chez certains d’entre vous… les premiers à grogner seront les premiers à jouer les étonnés s’ils s’aperçoivent un jour que «&nbsp;ça n’arrive pas qu’aux autres.&nbsp;»<br /> En matière de cybersécurité, pousser un maximum les utilisateurs à être prudents ne coûte rien. Du moment qu’il y a de la pédagogie, je ne vois pas où est le problème. Mieux vaut ça que dire que tout baigne et qu’en mettant un mot de passe béton ils ne risqueront rien. Hélas, ça n’est pas aussi simple que cela.<br /> Et CyberNews rapporte une vraie info. Il n’y a rien d’inventé là-dedans. Puis si évidemment certaines fuites sont plus anciennes (on le précise d’ailleurs dans l’article, c’est écrit noir sur blanc !), le chiffre de 8 milliards suffit à lui seul à interpeller. 8 milliards de mots de passe, même sur 10 ans de fuites, imaginez à quel point cela est colossal.<br /> On ne parle pas d’un leak de 300 000 et 400 000 MDP.<br /> Bref, avant de crier au scandale, essayons de prendre conscience de la gravité de la chose, et d’inciter à la prudence.
AlexLex14
Et évidemment, l’outil de référence reste https://haveibeenpwned.com/ pour vérifier si votre mail est associé à une fuite de données. Un outil maintes et maintes fois cité sur Clubic
max_971
Perso, pour les connexions sensibles : compte mail pro et perso, je change chaque mois le mot de passe avec authentification à double facteur.<br /> Pour les sites d’achat, je n’enregistre jamais ma CB comme ça même si le hacker connait mon mot de passe, il devra utiliser sa propre CB .
AlexLex14
max_971:<br /> Pour les sites d’achat, je n’enregistre jamais ma CB comme ça même si le hacker connait mon mot de passe, il devra utiliser sa propre CB .<br /> Et tu as bien raison.<br /> J’en profite pour ressortir ce dossier-là, qui date déjà d’il y a un an… &gt; Amazon : des hackers auraient réussi à contourner la double authentification.
AlexLex14
twenty94470:<br /> Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,<br /> Il y a des sites plus ou moins fiables que d’autres. Je suis le premier à le dire. Mais, en 2021, dans le monde cyber et à ma connaissance, CyberNews n’est pas réputé pour ponctionner tes données.
AlexLex14
DrGeekill:<br /> sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé<br /> Tu as raison, et j’ai ajouté une micro partie à l’article, qui était nécessaire, effectivement
benben99
Le premier site web ne dit pas quel mot de passe est compromis, donc totalement inutile.<br /> Le deuxième site Web où il faut mettre votre mot de passe va juste servir à alimenter leur base de données de mot de passe. Et ensuite, cela va se retrouver dans les mains de qui ? Ça sent plutôt l’arnaque.
Myraloes
Ce genre d’information est utile. Merci de nous en avoir informé.
ti4444
C’est vrai que c’est dommage qu’on ne sache pas sur quel site, il y a eu des failles.<br /> Avec https://haveibeenpwned.com/ on peut connaitre certains sites mais pas tous et c’est fort dommageable.<br /> Enfin comme dit par plusieurs personnes si on utilise des mots de passe différents et qu’on ne stocke pas sa carte bleue le risque est diminué. Par contre, pour certains de mes comptes, je pense au compte google et comptes jeux (steam blizzard etc) j’ai activé le second facteur authentification
venexman
Mais la vrai question est quel est ce fameux forum du dark web ?
Voir tous les messages sur le forum

Derniers actualités

Avec sa RTX 3060, ce PC gamer Dell voit son prix chuter de plus de 200€ !
Un prototype de GeForce GTX 2080 avec ray tracing déterré sur Reddit
96 cœurs Zen 4 : l'imposant processeur EPYC 9654 d'AMD s'illustre
Le Google Pixel 6a a une dalle 90 Hz, et vous pouvez la débloquer vous-même (même si ce n'est pas recommandé)
Razer annonce sa DeathAdder V3 Pro : une souris gamer ultra légère
Craquez pour une de ces solutions VPN à prix vraiment mini !
L’incendie en cours en Gironde est visible depuis l’espace
Pour le monde du GPU, la fête est finie : vers une baisse spectaculaire des ventes
Des nouveautés pour vos montres sous Wear OS, dont la possibilité d'utiliser Google Maps en mode hors ligne
Prix incroyable pour cette TV de 65
Haut de page