Une nouvelle compilation de mots de passe a été repérée sur un forum de hackers. Celle-ci atteint une taille encore jamais vue, avec près de 8,5 milliards de mots de passe uniques.

C'est un nouveau record. La plus grande compilation de mots de passe a été repérée par le spécialiste de la cybersécurité CyberNews sur un forum fréquenté par des hackers. Un utilisateur a publié un fichier texte de 100 gigaoctets contenant, selon lui, 82 milliards d'entrées. Après analyse, CyberNews a dénombré 8.459.060.239 mots de passe uniques, de 6 à 20 caractères.

Cette nouvelle fuite a été baptisée RockYou2021, une référence à RockYou, une base de données contenant 32 millions de mots de passe publiée en 2009. RockYou2021 est une compilation de plusieurs fuites de données, y compris COMB (Compilation of Many Breaches), une précédente compilation découverte en février contenant 3,2 milliards d'identifiants.

Activez l’authentification à deux facteurs

La bonne nouvelle est que ces mots de passe ne sont pas liés à des identifiants. Les comptes qui les utilisent ne sont donc pas compromis dans l'immédiat. Toutefois, les hackers pourront utiliser une attaque par dictionnaire. Cette technique consiste à essayer l'ensemble des mots de passe pour accéder à un compte, une opération bien plus rapide qu'une attaque par force bruteforce brute qui teste toutes les combinaisons de caractères possibles. Cette compilation permet également une technique nommée « password spraying », qui consiste à tester le même mot de passe sur de nombreux comptes simultanément dans l'espoir d'en déverrouiller quelques-uns.

Le seul moyen de vérifier si vos mots de passe sont inclus dans RockYou2021 est, ironiquement, de les saisir dans l’outil de vérification de CyberNews, une fois que le site aura fini de l'y intégrer. En plus de conseiller de changer ses mots de passe, le site rappelle les bonnes pratiques pour protéger ses comptes. N'utilisez jamais le même mot de passe pour plusieurs comptes, optez pour un gestionnaire de mots de passe qui peut générer des codes complexes, et activez l’authentification à deux facteurs lorsque c'est possible.