C’est un record dont on se serait bien passé et qui survient quelques mois seulement après le précédent : une collection de mots de passe circule sur Internet, sur des sites de hackers et des forums spécialisés. Selon les chercheurs, c’est le plus important fichier de ce type jamais créé… qui bat à plate couture le précédent record datant de février 2021.
RockYou2021 : plus de mots de passe qu’il y a d’internautes
Population mondiale ? Environ 8 milliards de personnes. Nombre d’internautes dans le monde 4,7 milliards. Nombre de mots de passe présents dans le fichier RockYou2021 identifié par les experts en cybersécurité ? 8,459 milliards… mots de passe uniques (sur 82 milliards d’entrées). Une compilation inédite dans un fichier texte de 100 Go.
Voilà l’étendue de RockYou2021 qui détient désormais le record. Le précédent était celui de COMB, ou Combination of Many Breaches : découvert en février 2021, il contenait 3,2 milliards de mots de passe… avec une différence de taille. COMB était une compilation de couples login/mot de passe uniques issus de précédentes failles ; RockYou2021 ne contient que des mots de passe, sans les login associés. Mais ça ne fait pas de lui un fichier moins dangereux pour la sécurité.
Des potentielles attaques à venir ?
Comme l’explique CyberNews qui a dévoilé l’existence du fichier RockYou2021, cette liste permettrait facilement à des pirates informatiques de créer des bases de données en associant les mots de passe qui y sont contenus avec des listes d’adresses mails, logins ou comptes ayant également fuité. Avec la possibilité de lancer des attaques majeures en ligne, surtout contre des comptes peu sécurisés et des sites n’utilisant pas l’authentification forte (authentification à deux facteurs).
Il est possible de vérifier si vos identifiants ont fuité : CyberNewws propose un vérificateur de mots de passe ainsi qu’un vérificateur de données personnelles (comme l’adresse mail). Il convient aussi de vérifier les fuites sur Have I Been Pwned ? et d’autres sites, notamment car les bases de données de ces sites ne sont pas identiques et des fuites peuvent apparaître sur l’un mais pas sur l’autre.