Fuite d'informations - 1,4 milliard d'identifiants publiés

Fuite d'informations - 1,4 milliard d'identifiants publiés

Des chercheurs de la société 4iQ ont identifié une base de données de 41 Go contenant plus d’un milliard de couples d'identifiants (adresse de courriel/mot de passe).

Cette base de données, qui circule librement sur Internet, serait une agrégation d'informations issues de plus 250 fuites de données. Il s'agit de la plus grande collection d'identifiants jamais identifiée à ce jour.

Cette base de donnée a permis d'identifier 239 couples pour des adresses en ac-strasbourg.fr concernant 161 comptes actifs sur le domaine ac-strasbourg.fr (sur plus de 25000 comptes actifs) car il y avait des adresses de courriel référencées avec plusieurs mots de passe différents et certaines adresses n'étaient plus actives, probablement suite au départ de l'agent.

Il ne s'agit pas d'une fuite de données depuis notre site académique, mais probablement le résultat d'une utilisation des adresses académiques sur d'autres sites (réseaux sociaux, sites commerciaux, ...). On peut par exemple citer les fuites majeures de Last.fm en 2012 (43 millions de comptes), Dropbox en 2012 (68 millions de comptes), LinkedIn en 2012 (117 millions de comptes) et Yahoo en 2013 (1 milliard de comptes).

Les mots de passe présents dans la base concernant le domaine ac-strasbourg.fr ont tous été testés et ne correspondent pas ou plus au mot de passe académique mais il est possible qu'il corresponde encore au compte d'accès aux services des réseaux sociaux et sites commerciaux à l'origine de la fuite.

Pour les utilisateurs concernés, il est donc recommandé de modifier le mot de passe de tous les services sur lesquels ils sont enregistrés avec leur compte académique.

De manière générale, il est préconisé de modifier régulièrement les mots de passe et il convient de choisir des identifiants différents pour les accès dans les sphères privée et professionnelle.

Pour en savoir plus sur cette fuite de donnée (site en anglais) :
https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

Recommandations de sécurité relatives aux mots de passe :
http://cert.ssi.gouv.fr/site/CERTA-2005-INF-001/index.html

Bulletin d’actualité CERTFR-2017-ACT-045, relatif à cet incident :
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2017-ACT-045/