Société

Sécurité informatique et surveillance

Un hacker russe pirate 272 millions d’adresses e-mails

Publié le 6 mai 2016

Plus de 272 millions de comptes mails viennent d’être piratés par un jeune hacker russe. Les conséquences ? Autant de mots de passe, et pour chacun d’eux l’adresse e-mail correspondante, sont contenus dans cette liste que ce hacker, plus pour la gloire que pour l’argent, proposait de vendre sur le marché noir contre la modique somme d’un euro symbolique, avant qu’une société de sécurité informatique américaine ne l’en dissuade.

Jean-Numa Lascar

Massive, cette collecte de données de connexion touche les clients des principaux fournisseurs d’adresses électroniques gratuites (Gmail, Hotmail, Yahoo, ou encore le principal fournisseur russe Mail.ru), ainsi que diverses entreprises américaines. Selon l’agence de société à l’origine de la découverte, ce ne serait cependant pas ces services de messagerie qui seraient responsables de la faille, mais d’autres sites internet sur lesquels les utilisateurs auraient enregistré leur compte en utilisant le même mot de passe que celui utilisé pour leur adresse e-mail. Cela touche plus particulièrement les internautes qui ne changeraient pas de jeu de clés pour chaque compte en ligne ou encore qui ne modifieraient pas leurs mots de passe régulièrement.

Car, comme l’indique l’agence Hold Security, la majeure partie des données contenues dans la liste divulguée ces jours-ci appartenaient déjà à diverses listes connues, dont la plus importante, communiquée à l’été 2014 par un autre hacker russe, renfermait plus d’un milliard d’identifiants et de mots de passe, que les utilisateurs auraient laissé inchangés.

* * * * * * * * * * * * * *

Conseils pour un mot de passe
1) Évitez les mots de passe les plus courants : 123456, azertyuiop, motdepasse.
2) Évitez d’utiliser des mots qui se trouvent dans le dictionnaire. Pour cela :
- vous pouvez utiliser le langage SMS : « in » par 1, « de » par « 2 », « G » pour « j’ai », etc.
- vous pouvez remplacer des lettres par des caractères qui leur ressemblent : « o » par « 0 », « i » par « 1 », « e » par « 3 », « x » par « + », « a » par « @ », « c » par « ( » ou « ç », etc.
- vous pouvez trouver un mot constitué par les premières lettres des mots d’une phrase : « un tien vaut mieux que deux tu l’auras » donnera « 1tvmQ2tl’A ».
3) Utilisez un mot de passe d’au moins 8 caractères, idéalement de 14 caractères.
4) Ne mettez pas le même mot de passe pour tous les comptes. Vous pouvez ainsi mettre le même mot de passe de base et rajouter un chiffre différent à la fin.

* * * * * * * * * * * * * *

Loin d’être inutiles, ces données de connexion sont ainsi de véritables mannes financières pour les personnes qui les possèdent. En effet, dès lors qu’on connaît l’identifiant et le mot de passe d’une boîte mail, il devient possible d’utiliser cette adresse pour envoyer en masse de la publicité, selon la technique du spamming. Si un achat se produit en moyenne pour 10 000 e-mails envoyés, la technique devient très rentable à partir du moment où l’envoi de millions d’e-mails ne coûte rien ou presque. Les « hackers » ou simples bidouilleurs de l’informatique peuvent alors vendre leurs services à des entreprises en quête d’acheteurs.

C’est pour cette raison, notamment, qu’il est tout à fait probable que cette nouvelle liste de mots de passe ait été revendue sur le marché noir des données personnelles, comme l’ont été les précédentes. Quand bien même elle ne l’aurait pas encore été, cette liste a de toute façon été divulguée à une entreprise de sécurité informatique qui, elle aussi, peut tout à fait la vendre ou être contrainte de la communiquer aux services de renseignement intéressés. Toutes les raisons sont là pour modifier dès maintenant les mots de passe de ses comptes en ligne importants, même si, cela est évident au moins depuis les révélations d’Edward Snowden, la surveillance des internautes est massive, comme l’illustre le programme PRISM mis en place par la NSA, offrant un accès direct au contenu des boîtes des principaux fournisseurs d’adresses e-mails. Qui avaient secrètement collaboré, et collaborent encore.

Pour en savoir plus sur le programme PRISM :