Attention

Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Infolettres
Me connecter M'abonner

1,2 milliard de mots de passe entre les mains de pirates russes

Par Maxime Johnson
07 août 2014
1,2 milliard de mots de passe entre les mains de pirates russes

Vous utilisez le même mot de passe pour plusieurs sites? Il est grand temps de revoir vos pratiques, si vous ne voulez pas être la cible de CyberVor.

La plus grande collection de mots de passe au monde est entre les mains d’un groupe de jeunes pirates russes, selon ce que rapporte cette semaine le New York Times. Une situation préoccupante, certes, mais peut-être moins que ce que la quantité astronomique de mots de passe dérobés laisse supposer.

Plus de 500 000 adresses courriel ainsi que les noms d’utilisateurs et mots de passe de 420 000 sites Web ont été amassés par les pirates de CyberVor, le surnom que leur a donné Hold Security, la firme qui a sonné l’alarme cette semaine.

Selon l’entreprise spécialisée en sécurité informatique, les sites visés appartiennent autant à de grandes compagnies qu’à de très petites, et ce, partout dans le monde. Hold Security refuse toutefois de dévoiler le nom des compagnies affectées en raison d’ententes de confidentialité et pour ne pas nuire aux sites qui seraient toujours à risque.

Plusieurs médias et spécialistes de la sécurité informatique ont toutefois soulevé le fait que Hold Security offre un service payant pour révéler si une compagnie apparaît dans la liste des sites piratés, ce qui pourrait expliquer à la fois son silence et son intérêt à rendre sa découverte la plus alarmante possible.

Failles exploitées sur les petits sites

Les pirates de CyberVor ont commencé à accumuler des mots de passe dès 2011, surtout en les achetant sur le marché noir, explique Hold Security. Avec le temps, le groupe a évolué et a commencé à utiliser un réseau d’ordinateurs zombies pour attaquer divers sites grâce à des failles existantes. Les pirates russes n’ont donc pas profité d’une nouvelle faille généralisée, comme c’était le cas plus tôt cette année avec la faille de sécurité Heartbleed.

Certes, la quantité de mots de passe dérobée est impressionnante, mais il y a fort à parier qu’ils sont plutôt vieux ou qu’ils proviennent surtout de petits sites, et non de grands joueurs comme Google, Twitter et Facebook, qui sont protégés des techniques employées par les pirates de CyberVor.

Êtes-vous à risque?

Si vous utilisez le même mot de passe pour tous vos comptes, vous augmentez votre vulnérabilité face aux pirates de CyberVor. En utilisant le même nom d’utilisateur et le même mot de passe pour les sites importants (Gmail, Facebook, compte bancaire, etc.) et pour les petits sites souvent moins bien protégés (comme un forum de discussion), vous mettez tous vos comptes à risque. En effet, si un vieux forum de discussion sur lequel vous aviez un compte avait été attaqué par CyberVor, les pirates pourraient utiliser les mêmes identifiants pour accéder à vos comptes détenant des informations sensibles, par exemple un compte Amazon (dans lequel votre numéro de carte de crédit est inscrit) ou votre adresse courriel (qui peut contenir vos reçus bancaires).

En théorie, un groupe malintentionné peut ramasser beaucoup d’argent avec ce type d’information, par exemple en revendant la liste, en volant l’identité des internautes ou en soutirant de l’argent aux compagnies ou aux utilisateurs sous la menace de dévoiler leurs informations privées.

Cela dit, la firme Hold Security estime que les pirates de CyberVor préféreraient utiliser les mots de passe pour envoyer des pourriels à partir du compte des utilisateurs sur les médias sociaux, par exemple sur Twitter.

4 conseils pour protéger vos comptes personnels

• Aucune précaution ne permet d’être totalement à l’abri des attaques informatiques. On peut toutefois réduire les risques en prenant des précautions toutes simples. Ainsi, si un site se fait pirater, vos autres comptes ne seront pas affectés.
• Plus un mot de passe est complexe, moins il risque d’être découvert. Et plus il est long, plus les pirates auront de la difficulté à le décrypter.
• Conserver une liste avec tous ses mots de passe – surtout dans son portefeuille – est le meilleur moyen de se faire voler son identité si un individu malintentionné mettait la main dessus. Pour gérer vos mots de passe, utilisez un gestionnaire comme 1Password, LastPass ou Dashlane.
• Les brèches de sécurité ne sont pas toujours annoncées. Pour réduire les risques qu’un de vos comptes se retrouve en vente sur le marché noir pendant des mois, changez régulièrement vos mots de passe. Et comme la liste des sites piratés par CyberVor n’a pas encore été dévoilée, aujourd’hui s’avère une bonne journée pour commencer à les mettre à jour.

>> À lire aussi: Les 50 pires mots de passe, Comparatif de 5 services pour gérer vos mots de passe et Les 15 types de mots de passe les plus répandus

Élections municipales : voterez-vous aussi pour le préfet de votre MRC ?
Lire l'article
Élections municipales : voterez-vous aussi pour le préfet de votre MRC ?

Le 2 novembre prochain, les résidents de 21 municipalités régionales de...

Cancer du sein : l’INESSS recommande le dépistage dès l’âge de 45 ans
Lire l'article
Cancer du sein : l’INESSS recommande le dépistage dès l’âge de 45 ans

L’Institut national d’excellence en santé et en services sociaux (INESSS...

Et les constructeurs automobiles chouchous sont…
Lire l'article
Et les constructeurs automobiles chouchous sont…

Une étude dévoile les constructeurs qui réussissent à conserver la loyau...

« Meilleur avant » ne veut pas dire « mauvais après » : comment éviter le gaspillage alimentaire
Lire l'article
« Meilleur avant » ne veut pas dire « mauvais après » : comment éviter le gaspillage alimentaire

Près du quart du gaspillage alimentaire est causé par une mauvaise compr...

  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

  • Par Yann Rohel
    12 septembre 2014

    Le mot de passe est loin d'être idéal mais il assure quand même une assez bonne sécurité.Il semblerait que la longueur soit plus importante que la complexité. Ce conseil me vient d'un collègue travaillant justement en sécurité informatique.
    Prenons le mot de passe ABCDEFGH, le site https://www.grc.com/haystack.htm va vous indiquer qu'il peut être brisé en 2 secondes en utilisant 100 millions d'essais par seconde. par contre pour 'A B C D E F G H', avec la technologie actuelle, le soleil sera mort.
    Il faut en gros un mot de passe long,une phrase si possible (exemple: J'aime lire Protégez-Vous tous les 4 semaines!). On peut aussi résumer la phrase (
    J'alP-Vtl4s) je n'utilise que la première lettre de chaque mot, la sécurité est moins forte mais acceptable. L'avantage de ces approches est qu'il suffit de connaître une phrase, ensuite on change un mot ou une lettre (J'aime lire xxx tous les 4 semaines!). Le risque est que si on connaît votre phrase on a tous vos mots de passe.
    Si je me permets de donner un lien vers grc.com c'est que ce site me parait reconnu dans le monde de la sécurité informatique.

  • Par ALFRED THEOBALD
    09 août 2014

    comment se rappeller de tous ces mots de passe???

  • Par Gaëtan Cadieux
    08 août 2014

    Est-ce une idée de faire peur afin que les gens puisse demander le nom de certaines firmes visées et ainsi récoltez des $$ avec facilité....???

  • Par Daniel Marois
    08 août 2014

    Je commence à en avoir ras-le-bol des entreprises irresponsables et paresseuses qui ne se donnent pas la peine de sécuriser l'information de leur cliens/membres. Qui plus est ça donne quoi de révéler ces vols s'ils ne disent pas quelles entreprises ont été compromises. Confidentialité des clients mon oeil!! Je gère plus de 200 mots de passes. Dois-je tous les modifier avant de me coucher ce soir? :-)

    Peut-ête que quelqu'un pourrait rappeler à la Banque TD que des mots de passe de 8 charactères n'ont plus l'efficacité qu'ils avaient il y a 20 ans!! J'ai essayé sans succès. Imaginez une banque qui ne prend pas ça au sérieux.

    Un technologue Américan a suggéré que les entreprises qui perdent les données de leurs clients devraient être financièrement responsables pour tous les dommages que ces derniers subiraient en cas de vol. Ça les réveillerait peut-être à la réalité du 21e siècle.

  • Par Olivier Gignac
    07 août 2014

    Je suggère Keepass.