Vous devriez peut-être changer tous vos mots de passe immédiatement. Une fuite massive a révélé près de dix milliards de mots de passe uniques en texte clair, nous laissant tous vulnérables aux attaques de « credential stuffing ». La fuite dite RockYou2024 semble être la plus grande compilation de mots de passe à ce jour, surpassant RockYou2021 de 2021 avec plus de 8,4 milliards de mots de passe uniques.
Près de dix milliards de mots de passe dévoilés lors d'une fuite massive
RockYou2024 est une compilation de mots de passe collectés à partir de violations de données anciennes et récentes. Publié sur un forum de piratage informatique populaire par un membre portant le nom d'utilisateur ObamaCare, il contient un nombre stupéfiant de 9 948 575 739 mots de passe uniques. Selon l'utilisateur, ils ils ont construit cette compilation sur la base de RockYou2021, c'est-à-dire qu'ils ont ajouté plus de mots de passe provenant de violations de données plus récentes à la compilation 2021. Ils prétendent également avoir déchiffré certains anciens mots de passe.
Bien que l’utilisateur ait rejoint le forum fin mai 2024, il a déjà un long historique de partage de bases de données divulguées. Selon Cybernews, ObamaCare a déjà partagé « une base de données d’employés du cabinet d’avocats Simmons & Simmons, une piste d’un casino en ligne AskGamblers et des candidatures d’étudiants pour le Rowan College du comté de Burlington ». L’utilisateur a peut-être ajouté des mots de passe qu’il a potentiellement obtenus à partir de ces violations à RockYou2024.
La publication a recoupé les données de la dernière fuite de mots de passe avec celles de son outil de vérification des mots de passe. Elle a confirmé que la dernière fuite contenait des mots de passe provenant d'un mélange de violations de données anciennes et récentes. Le volume considérable de mots de passe uniques partagés en ligne représente un risque de sécurité important pour les utilisateurs d'Internet du monde entier, ont expliqué les chercheurs de Cybernews. Les acteurs malveillants pourraient utiliser ces mots de passe pour des attaques de type credential stuffing.
Dans ce type d'attaques, les acteurs malveillants utilisent des systèmes automatisés pour transmettre les informations d'identification divulguées à des applications et des sites Web à grande échelle. Si les informations d'identification correspondent, ils peuvent obtenir un accès non autorisé à votre compte, sauf si vous avez activé des mesures de sécurité supplémentaires telles que l'authentification à deux facteurs (2FA). Certains systèmes en ligne sont protégés contre les attaques par force brute, mais vous ne pouvez jamais vous tromper avec l'authentification à deux facteurs. Elle peut bloquer tout accès non autorisé.
Évitez de réutiliser le même mot de passe
Cette fuite est un autre rappel que vous devez activer la 2FA et éviter de réutiliser le même mot de passe. Si vous utilisez un mot de passe sur plusieurs comptes, une violation sur n'importe quel système peut potentiellement compromettre tous vos comptes. Vous pouvez utiliser un gestionnaire de mots de passe pour créer des mots de passe forts et uniques pour chaque compte et les stocker en toute sécurité. Cybernews prévoit d'inclure les données de RockYou2024 dans son vérificateur de mots de passe divulgués. L'outil vous permet de vérifier si une violation de données a exposé vos e-mails, numéros de téléphone ou mots de passe.
