MàJ : Spécialiste de la gestion des mots de passe en ligne, Dashlane nous fait part de sa réaction très critique suite à l'initiative du chercheur en sécurité Mark Burnett. L'avis de Guillaume Desnoës, Responsable Marché Européens de Dashlane :

" L'intention peut être louable car il est clair que les mots de passe utilisés par les internautes sont trop faibles pour bien protéger leurs données personnelles de manière fiable. Il est vital de sensibiliser le public à la sécurité des mots de passe. Beaucoup de gens utilisent encore des mots de passe faibles et n'ont pas conscience de leur vulnérabilité. Ils n'en prennent souvent conscience que lorsqu'ils sont piratés.

Pour autant, nous ne pensons pas qu'on améliore la sécurité des données personnelles des internautes en diffusant une liste de 10 millions d'identifiants et de mots de passe. Le chercheur Mark Burnett indique qu'une grande partie sont sans doute périmés et hors d'usage mais est-ce une raison pour prendre le risque d'en diffuser certains encore valides ? De plus, nous pensons que ce genre d'opération banalise la problématique de la sécurité en ligne. On ne procéderait pas de la même façon pour sensibiliser à d'autres menaces : on ne diffuse pas des maladies pour dire aux gens de se soigner ! Les conséquences d'un piratage ou d'un vol d'identité peuvent avoir de dramatiques conséquences, ce n'est pas une chose à prendre à la légère.

Les gens qui jouent avec les données personnelles nous mettent tous en danger, qu'ils soient animés de bonnes ou de mauvaises intentions. "

-----

Mark Burnett n'est pas un nom inconnu dans nos colonnes. Ce chercheur en sécurité, qui officie sur le site Xato.net, est notamment connu pour son goût prononcé pour la compilation de mots de passe ayant fuité. Il en tire par exemple des classements et a récemment collaboré avec SplashData pour établir le classement des pires mots de passe de 2014.

password Aujourd'hui, Mark Burnett a décidé de procéder à une divulgation massive de quelque dix millions de noms d'utilisateur et mots de passe en clair. Cette grosse base de données d'identifiants est principalement issue de fuites aux cours de ces cinq dernières années, voire plus anciennes pour certaines.

Ces identifiants en clair étaient déjà disponibles à la vue de presque tous depuis déjà un certain temps, et parfois via une simple recherche Google. À titre d'exemple, la grosse brèche de sécurité dont avait été victime Adobe fin 2013. Aucun mot de passe n'est par contre en rapport avec de nouvelles brèches de sécurité.

Pour Mark Burnett, qui œuvre à visage découvert, de telles données ont une réelle valeur afin de mener des études et des analyses pour au final " renforcer la sécurité de l'authentification " sur Internet. Dire d'utiliser une authentification à plusieurs facteurs aurait peut-être été plus simple...

Reste que dans un billet de blog, il explique pourquoi le FBI ne devrait pas l'arrêter pour cette publication qu'il estime ne pas être techniquement illégale.

Un échantillon de mauvais mots de passe est donné sur Pastebin mais le gros fichier texte concocté par Mark Burnett est à télécharger via BitTorrent. La plupart des mots de passe qui y figurent ne devraient plus être valides. Enfin mieux vaut espérer...

Ah oui, nous allions oublier, c'est aujourd'hui le Safer Internet Day ou la Journée de la sécurité sur Internet !

Source : Xato