Puisqu'il faut des mots de passe pour tout ou presque pour profiter des services numériques et accéder aux comptes de notre vie numérique, ces éléments sont une denrée prisée de personnes malveillantes qui ont tout intérêt à les récupérer et à les accumuler pour forcer de notre intimité virtuelle.
A l'heure où des solutions sont recherchées pour tenter de s'en passer, leur cumul a atteint un niveau rarement atteint dans le fichier RockYou2024 diffusé sur le forum spécialisé ObamaCare.
Une immense compilation pour de l'attaque en force brute
Pas moins de 10 milliards de mots de passe sont rassemblés dans un fichier Rockyou2024.txt et sont issus de de la compilation de diverses fuites et intrusions réalisées depuis 20 ans.
Le précédent fichier RockYou2021 comptait déjà 8,4 milliards de mots de passe mis à disposition des hackers pour tenter de s'introduire sur les comptes des utilisateurs et obtenir des données personnelles ou des informations bancaires. Il était lui-même issu d'autres compilations éparses rassemblant déjà des dizaines de millions de mots de passe.
Le fichier a été posté sur le forum ce 4 juillet, rapporte Cybernews, par un utilisateur qui avait déjà diffusé une base de données volées du cabinet d'avocats Simmons & Simmons et du casino en ligne AskGambler.
Si l'absence d'association avec des identifiants rend le listing moins dangereux, il peut néanmoins être utilisé pour des attaques de force brute, même si ces techniques sont potentiellement détectables ou désactivables en imposant un nombre limité d'essais.
Gare à la facilité
Beaucoup des mots de passe de la liste seraient sans doute rejetés aujourd'hui lors de l'inscription à des services numériques car jugés trop simples mais le rassemblement de 1,5 milliard nouveaux éléments depuis 2021 offre potentiellement un vivier exploitable, que ce soit pour des intrusions dans des systèmes informations ou du vol d'identité.
Cybernews propose un outil pour déterminer si une adresse e-mail ou un numéro de téléphone sont présents dans des listes de référence potentiellement utilisables par des pirates mais il existe également différentes plates-formes extérieures pour se faire une idée et modifier, le cas échéant, son mot de passe.
Au regard des études sur la facilité pour déchiffrer des mots de passe en quelques secondes à quelques minutes, les consignes restent les mêmes : un mot de passe long formé caractères aléatoires (majuscules, minuscules, chiffres, caractères spéciaux) à renouveler régulièrement et à ne pas utiliser pour accéder à plusieurs comptes.
