Google, Facebook... : 2 millions de mots de passe dans un serveur botnet

Le par  |  6 commentaire(s)
Réseau botnets

Des chercheurs en sécurité ont découvert une base de données contenant des millions d'identifiants et mots de passe associés à des comptes Facebook, Google, Yahoo! et autres.

Une équipe de chercheurs en sécurité de Trustware Spiderlabs est parvenue à obtenir un accès à un serveur de contrôle de l'une des dernières instances du botnet Pony dont le code source a fuité un peu plus tôt dans l'année.

Dans ce serveur de botnet, ils ont notamment découvert près de deux millions d'identifiants et mots de passe dérobés par des cybercriminels et appartenant à des utilisateurs de Facebook, Google, Yahoo!, LinkedIn et d'autres sites.

Trustwave-pony
Ce ne sont pas les services en ligne qui ont été compromis. Les données ont été volées suite à l'infection par un malware et probablement lors d'une frappe au clavier. Des ordinateurs - avec des solutions de sécurité non à jour - qui ont alors rejoint les rangs du botnet à l'insu des utilisateurs.

L'attaque a été menée à l'échelle mondiale mais on ne sait pas si le butin découvert est encore de première fraîcheur. Avant la publication de son billet de blog, Trustwave a en tout cas alerté les sites et services concernés.


Le choix des mots de passe...
Les chercheurs en ont profité pour s'adonner à une petite analyse dont le résultat est une nouvelle fois sans surprise. Un Top 10 des mots de passe les plus utilisés a été établi. Le très basique et très peu robuste 123456 arrive en tête avec 15 820 occurrences.

Trustwave-pony-top10-mots-passe
Trustwave a poussé plus loin l'analyse. D'un extrême à l'autre, les mots de passe qui utilisent quatre types de caractères (minuscule, majuscule, chiffre, caractère spécial) et d'une longueur supérieure à 8 caractères sont considérés excellents. Les pires (terrible dans le graphique) sont ceux avec quatre caractères ou moins et pour un seul type de caractère.

Trustwave-pony-mots-passe
Certes, pour les utilisateurs infectés par Pony, le choix d'un mot de passe robuste n'aurait rien changé.

Complément d'information
  • Google teste la connexion sans mot de passe
    Google teste la connexion aux comptes sans utiliser le mot passe et seulement le smartphone qui devient un outil d'authentification.
  • Chrome : Google lance l'Alerte mot de passe
    Avec pour objectif une protection contre les attaques de phishing mais également pour lutter contre la pratique de réutilisation des mots de passe, Google propose une extension " Alerte mot de passe " pour son navigateur Chrome.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1581862
Perso j'ai un mot de passe par service, et chacun de plus de 8 caractères, avec minuscules, majuscules, chiffres et accents (profitons des particularités de nos claviers)


Le #1581982
ViktorE a écrit :

Perso j'ai un mot de passe par service, et chacun de plus de 8 caractères, avec minuscules, majuscules, chiffres et accents (profitons des particularités de nos claviers)


Perso je ne suis pas un android alors je me contente de 3 différents mots de passe dont ver 3 niveaux de sécurité différents.
Le #1582012
J'aimerais bien connaître la proportion si possible d'utilisateurs Windows, Mac et Linux.
Le #1582382
Plutôt que de s'embêter avec des chiffes et des lettres impossibles à se souvenir de manière mémo technique, il y a aussi la possibilité de faire une longue phrase tout attachée avec des majuscules, c'est excellent niveau sécurité.
Le #1582522
+ pour la longue passphrase.. (même si ce n'est pas ce que j'ai adopté )..

genre : "jepensequunelonguephraseestplusefficacequemotdepasse" qui n'est sans doute quasiment pas 'bruteforçable' et carrement plus facilement mémorisable que le très sûr Gtç90b*LLLd4.PoV2?c
Le #1582872
ViktorE a écrit :

Perso j'ai un mot de passe par service, et chacun de plus de 8 caractères, avec minuscules, majuscules, chiffres et accents (profitons des particularités de nos claviers)


cool!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]