Mots de passe volés: Faites vous partie des perdants?

Publié le

La Black-Hat a peine commencée que déjà les annonces tonitruantes se succèdent. Sauf qu’ici cela n’a rien à voir (quoique) et que l’article du New York Times qui a annoncé le vol record de 1 200 000 000 de mots de passe a surtout permis à son annonceur, Hold Security, de se faire un bon coup de publicité et de proposer un service payant de vérification de ses données personnelles. Mais rassurez-vous, les chances que vous fassiez partie des malheureux perdants sont fines comme du papier à e-cigarette…

Autant jouer à l’Euromillions

Petit rappel des faits: Selon le New-York Times, un cercle de malfaiteurs russes a dérobé plus d’un milliard de mots de passes en piratant des sites de tailles différentes, aux Etats-Unis et dans le monde. En croisant les données, Hold Security, la société à l’origine de cette découverte, a réduit le nombre de comptes concernés et uniques à 542 000 000, c’est à dire que les adresses mail partagées sur d’autres sites ont été décomptés. Les fichiers seraient utilisés par le cercle de cybermalfrats “CyberVor” pour spammer les utilisateurs, une partie serait revendue sur les forums du marché noir.

Cette annonce choc très fortement reprise par les journaux généralistes et blogs spécialisés aura surtout servi à alimenter le commerce de la peur, qui fait rage depuis l’affaire Snowden et les multiples annonces sur les failles de sécurité. Déjà, des questions se posent quand il s’avère que Alex Holden, le CEO de Hold Security, s’est empressé de mettre un lien vers un service de vérification des adresses mails payant (10$ par mois), pas encore actif, mais qui le sera très bientôt promet-il. Ce serait dommage de gâcher une si belle opportunité…Holden s’est défendu de vouloir profiter de cette histoire pour renflouer ses caisses, toujours est-il qu’à l’heure actuelle le service ne fonctionne pas et que seule la préinscription gratuite est disponible.

Le vol de mots de passe est une vache à lait pour les cyber-arnaqueurs, les malfrats et les hackers au chapeau noir. C’est même devenu un sport national (nous ne citerons pas les nations, hein Vladimir) et les fichiers récupérés sont vendus à bon prix au marché noir, avec les identifiants bancaires et les numéros de sécurité sociale. La bonne nouvelle, c’est que ces informations n’ont pas grand intérêt individuellement: Le combiné email/mot de passe n’a de sens que si le site piraté est identifié et si aucune action rapide n’a été entreprise après la découverte du vol. Et le pirate aura surtout intérêt à alimenter une base volumineuse plutôt qu’à agir au cas par cas, par exemple pour accéder à une boite mail. Il ne faut pas sous estimer le danger de laisser traîner ses mots de passe, mais il faut bien se rendre compte que les actions ciblées sont exceptionnelles et peu rentables vis à vis de l’investissement.

Dans le cas présent, ces 542 millions de comptes volés concernent 420 000 sites. Si l’on considère que le monde compte 2 500 000 000 internautes, il est déjà plus facile de relativiser.

1 200 000 000 mots de passe ont été volés sur 420 000 sites, soit une moyenne de 2857 mots de passe par site. Si l’on multiplie ce nombre par le nombre de sites actifs à ce jour (180 000 000 0001), on obtient un résultat approximatif de plus de 514 260 000 000 mots de passe! Le vol ne représente donc plus que 0.35% des mots de passe enregistrés sur le web mondial.
Vous voulez savoir si votre compte fait partie du fichier? Si l’on prend en compte le nombre d’internautes au global et le nombre de sites touchés, on obtient le nombre de 8 670 000 d’internautes concernés directement par cette affaire. Soit 2.88% des internautes.

En rouge, le nombre de sites potentiellement concernés par cette alerte.

Ce qui reste considérable, sauf si l’on retire les données inexploitables (mots de passe cryptés, uniques, inutiles et faux…), et que l’on ne tienne pas compte du temps de réaction des sites concernés et du caractère urgent du traitement de ces données. Hypothétiquement, vous avez donc une chance sur 2 500 000 de vous êtes fait pirater l’un de vos comptes enregistré sur un site. Vous avez donc plus de chances de trouver les 5 bons numéros à l’Euromillions (1 sur 216 000 000) que d’être impacté.

Mais cela ne doit pas vous empêcher de faire attention et de changer votre mot de passe (azerty, 123456, fido ou Monique), qui on vous le rappelle doit être unique pour chaque site, doit compter lettres, chiffres et caractères spéciaux et ne doit pas se trouver dans le dictionnaire…Mais ça vous le savez déjà, non? Et si votre mémoire vous fait défaut, un gestionnaire de mot de passe pourrait vous être fort utile.

Merci à Florent pour le calcul de probabilités.

1 Source NetCraft

Envoi
User Review
0 (0 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet