La découverte récente d'une base de données contenant 24 milliards d'enregistrements volés nous rappelle que les informations personnelles issues de fuites de données, de campagnes d'hameçonnage et d'infections par des logiciels de vol d'informations continuent de circuler sur Internet.
Cette base de données a été rendue publique sur Internet avant d'être retirée du réseau. Bien que les chercheurs ne puissent pas confirmer avec exactitude à qui appartiennent les informations contenues dans cette base, cette découverte est une bonne occasion de vérifier si vos adresses e-mail, vos mots de passe ou d'autres données personnelles ont déjà été divulguées.
Que s'est-il passé ?
Des chercheurs de Cybernews ont découvert une base de données accessible au public contenant plus de 8,3 To de données.
Ces données, qui comprennent 24 milliards d'enregistrements d'identifiants, proviendraient, selon certaines sources, de 36 sources différentes, parmi lesquelles de nombreuses chaînes Telegram, des compilations de fuites antérieures, des recueils de journaux d'outils de vol d'informations, ainsi que certains ensembles de données apparemment exportés directement depuis des serveurs en service.
Les données provenant de sources différentes, il existe certaines différences quant au contenu des enregistrements et à leur organisation.
Certains fichiers étaient des journaux structurés provenant de logiciels de vol d'informations (infostealers), contenant des noms d'utilisateur, des adresses e-mail, des mots de passe en clair ainsi que l'URL de connexion associée. Les infostealers sont un type de logiciel malveillant conçu pour voler des informations sensibles sur les appareils infectés, tels que votre ordinateur personnel.
Le journal d'un programme de vol d'informations provenant d'un seul appareil infecté peut contenir les mots de passe enregistrés dans tous les navigateurs, les cookies de session actifs et les jetons (y compris ceux qui contournent l'authentification multifactorielle), les données de remplissage automatique, les empreintes numériques de l'appareil et, parfois, des portefeuilles cryptographiques ou des comptes de messagerie. C'est l'ensemble complet de ces données qui se retrouve dans des journaux tels que ceux examinés par les chercheurs de Cybernews.
Environ 1,7 milliard de ces données provenaient de chaînes Telegram liées au piratage informatique, principalement en anglais et en russe, dont au moins une était consacrée aux données de cartes de crédit volées.
La base de données exposée était hébergée sur un cluster Elasticsearch. Elasticsearch est un outil permettant de stocker et d'effectuer rapidement des recherches dans de grandes quantités de données. Si un serveur Elasticsearch ne dispose pas de mots de passe,d'authentification ou de restrictions réseau, il est accessible à toute personne qui le trouve en ligne. En l'absence de protections telles que des mots de passe ou un pare-feu, n'importe qui peut lire, copier, modifier, voire supprimer ses données.
D'autres documents du jeu de données contenaient des informations sur des vulnérabilités connues, des articles consacrés à des violations de données et des publications sur les réseaux sociaux concernant des cyberattaques. Cela laisse supposer que le propriétaire suit de près l'actualité en matière de sécurité et les vulnérabilités, et qu'il enrichit sa base de données d'identifiants avec de nouvelles informations sur les violations de données, soit dans le cadre d'un service commercial de « surveillance », soit à des fins offensives.
Il y a quelques années, nous avions publié un article sur ce qu’on avait qualifié de « mère de toutes les fuites de données », dont la source s’était avérée être, par la suite, le moteur de recherche spécialisé dans les fuites de données Leak-Lookup.
Cette fuite récemment découverte, qui porte sur 24 milliards d'enregistrements, est du même ordre de grandeur que la précédente « méga-fuite », mais semble comporter une proportion plus importante de journaux récents provenant de logiciels de vol d'informations, plutôt que de données plus anciennes et statiques issues de violations de données.
Comme les données ont été retirées de l'espace public peu après leur découverte, les chercheurs n'ont pas pu retracer dans leur intégralité tout ce qu'ils avaient trouvé ni déterminer combien d'enregistrements en double la base contenait. C'est rassurant, car cela réduit les risques que des cybercriminels tombent sur cette base de données, mais la réutilisation de mots de passe pourrait tout de même exposer les comptes à des risques. Et nous ignorons toujours quelle était la raison d'être de cette collecte de données.
Que faire maintenant ?
Il est bon de savoir quelle quantité d'informations vous concernant circule et qui les collecte, mais il est encore plus important de savoir exactement quelles informations ces personnes détiennent, car c'est ce qu'elles peuvent utiliser contre vous.
1. Vérifiez si vos données ont été exposées en ligne à l'aide de notre portail « Empreinte numérique ».
2. Si vous constatez que certains de vos mots de passe ont été compromis, modifiez-les immédiatement et veillez à ne pas réutiliser le même mot de passe pour plusieurs comptes. Commencez par mettre à jour vos comptes importants, tels que vos comptes de messagerie, bancaires, de shopping et de réseaux sociaux.
3. Activez l'authentification multifactorielle (MFA) dans la mesure du possible, car elle permet de protéger les comptes même si un mot de passe a été compromis.
Comment protéger vos données
Les programmes d'extraction d'informations se propagent souvent par le biais de publicités malveillantes, de fausses mises à jour de navigateur et de téléchargements en un clic. Évitez de cliquer sur les publicités sponsorisées et rendez-vous plutôt directement sur les sites officiels. Ne téléchargez des logiciels qu'à partir de sources fiables, telles que les sites officiels des éditeurs ou les boutiques d'applications.
Une autre technique qui gagne en popularité estle « ClickFix », une attaque d'ingénierie sociale qui incite les utilisateurs à infecter eux-mêmes leurs appareils. N'exécutez jamais de commandes ou de scripts copiés à partir de sites web, d'e-mails ou de messages, sauf si vous faites confiance à la source et que vous comprenez leur fonctionnement.
Les logiciels piratés, les codes de triche pour jeux vidéo, les outils « crackés » et les extensions de navigateur douteuses restent des sources courantes d'infections par des logiciels espions. Privilégiez les logiciels et extensions provenant de sources fiables, et méfiez-vous de tout ce qui vous demande des autorisations excessives.
Enfin, les e-mails de hameçonnage constituent toujours une menace majeure. Méfiez-vous des pièces jointes inattendues, des liens et des demandes urgentes. Si vous avez un doute quant à l'authenticité d'un message, vérifiez-le via le site web officiel de l'entreprise plutôt que par le lien figurant dans le message.
Vous pouvez également utiliser Malwarebytes Guard pour vérifier des messages individuels. Il vous suffit de télécharger une capture d'écran et nous vous indiquerons s'il s'agit d'une arnaque.
