[INFO] 149 millions de mots de passe Gmail, Apple, Facebook, Netflix, TikTok et Binance ont été piratés

[Starman]

Près de 150 millions d’identifiants et de mots de passe ont été piratés par des malwares. Laissés en libre-service sur Internet, ils permettent d’accéder à des comptes Gmail, Facebook, Apple, Netflix ou encore Binance. Des coordonnées bancaires sont également concernées.

(...)

Au sein du répertoire, le chercheur a déniché 149 404 754 millions d’identifiants compromis, accompagnés de leur mot de passe. Avec les identifiants et les mots de passe, il est possible de se connecter au compte concerné, pour peu que la double authentification n’ait pas été configurée par le propriétaire en amont.

48 millions de comptes Gmail vulnérables

Une grande variété de services en ligne est touchée. Le chercheur a débusqué des identifiants de comptes Gmail (48 millions), Yahoo (4 millions), Outlook (1,5 million), iCloud (900 000), Facebook (17 millions), Instagram (6,5 millions), TikTok (780 000), Netflix (3,4 millions), OnlyFans (100 000), et Binance (420 000). HBO Max, Disney+, Roblox font aussi partie des services évoqués dans le répertoire.

Les identifiants appartiennent à des internautes en provenance du monde entier. Par ailleurs, la base de données contient également des identifiants bancaires, ainsi que des données donnant accès aux services en ligne de plusieurs administrations publiques. La « base de données étant accessible à tous, quiconque la découvrait pouvait potentiellement accéder aux identifiants de millions de personnes », regrette le chercheur à l’origine de l’enquête.

(...)

Ce n’est pas la première fois que Jeremiah Fowler met la main sur des bases de données exposées sur Internet. L’an dernier, le chercheur a découvert 2,7 milliards de mots de passe Wi-Fi et d’adresses IP, suivis par 184 millions de mots de passe piratés quelques mois plus tard.

Les risques d’une attaque de « credential stuffing »

Comme l’explique le chercheur, les identifiants volés pourraient aboutir à une attaque de « credential stuffing », ou « bourrage d’identifiants » en français. Cette tactique criminelle de plus en plus répandue consiste à employer des paires d’identifiants (noms d’utilisateur et mots de passe) volées lors de violations de données antérieures pour tenter d’accéder frauduleusement à des comptes sur des services en ligne. Le procédé est à l’origine d’une partie des fuites de données enregistrées en France ces dernières années. Avec des identifiants relatifs à Facebook ou iCloud, des pirates pourraient tenter de se connecter à un compte Binance, PayPal ou Gmail. Les cybercriminels sont bien conscients que de nombreux internautes continuent de recycler leurs mots de passe, au grand dam des chercheurs en sécurité. Pour commencer, cessez donc de réutiliser les mots de passe d’un compte sur un autre.

Pour vous protéger contre l’exploitation de ces identifiants compromis, on vous recommande aussi chaudement d’activer la double authentification sur tous vos comptes. L’authentification multifactorielle est susceptible de bloquer un pirate qui tenterait de pénétrer dans votre compte avec vos identifiants.

Source

[ThiWeb]

M'en fout, 2FA partout.

ThiWeb

[Starman]

Effectivement, c'est la base.

Et depuis cet été (avec le hack de Bouygues) je mets des adresses de contact spécifiquement dediées pour les FAI exclusivement.

Ils peuvent se faire hacker autant qu'ils veulent, ça m'évitera de (re)demenager certains (heureusement pas tous) contacts que j'ai cru utile d'associer (par confort/flemme précédemment)...

J'ai même une neuf.fr de 2004 qui tient toujours (propre) et jamais "tremblée" lol

[GUW]

C’est un rappel brutal mais nécessaire : tant qu’on continuera à réutiliser les mêmes mots de passe partout, ce genre de fuite fera des dégâts massifs.
On parle ici de 149 millions d’identifiants siphonnés par des malwares, puis laissés en libre‑service. Gmail, Facebook, Apple, Netflix, Binance… rien n’y échappe. Et le pire, c’est que la base contenait aussi des accès bancaires et administratifs.

Le vrai problème, ce n’est pas seulement la fuite :
c’est que ces données alimentent des attaques de credential stuffing à la chaîne.
Les pirates n’ont même plus besoin d’être bons : ils testent vos identifiants volés partout, en espérant que vous ayez recyclé le même mot de passe. Et vu les chiffres, ils ont raison d’essayer.

Deux règles simples pour éviter de finir dans la prochaine vague :

Un mot de passe unique par service.
Un gestionnaire de mots de passe règle 99 % du problème.

Activez la double authentification.
Même si votre mot de passe traîne dans une base pirate, un code 2FA bloque l’accès.

Ce genre de fuite va continuer, mais l’impact dépend entièrement de nos pratiques.
Ce n’est pas la fuite qui ouvre la porte : c’est la réutilisation des clés.

[Evamirela]

C'est quoi cette denguerie !

[Keith]

Cité inutilement.

Bonjour,
C'est très juste et merci pour le rappel des règles qu'on aime ignorer

[ThiWeb]

tant qu’on continuera à réutiliser les mêmes mots de passe partout, ce genre de fuite fera des dégâts massifs

Pas du tout...
Le mot de passe de tous mes comptes, c'est 123soleil.

Ce mot de passe est connu et déjà piraté dans le monde entier.
Mais je m'en branle total, car j'ai du 2FA partout.

Donc le sujet, c'est pas d'avoir un bon mot de passe ou un mot de passe différent partout, c'est d'avoir 2FA PARTOUT !
Et là, la question ne se pose pas et ne se posera jamais.

Microsoft a déjà proposé de supprimer les mots de passes de ses comptes.
Ce que j'ai fait.
Car un mot de passe complexe ou pas, est au final, totalement inutile !

Ce qui est utile à l'inverse, c'est 2FA, point barre.

ThiWeb

[GUW]

Je suis d’accord, le 2FA c’est génial.
Mais dire que le mot de passe ne sert à rien, c’est un peu comme dire “j’ai un super système d’alarme, donc je laisse la porte grande ouverte”.

Le 2FA c’est la deuxième barrière.
Si ta première barrière c’est 123soleil connu de toute la planète, tu comptes à 100% sur la seconde en espérant qu’elle ne bug jamais, qu’il n’y ait pas de phishing malin, pas de vol de session, pas de service sans 2FA…

La sécurité, c’est pas un joker magique, c’est des couches.
Mot de passe unique + 2FA = tranquille.
Mot de passe public + 2FA = “bon ben on croise les doigts”.

Le 2FA c’est la ceinture.
Le mot de passe solide c’est les freins.

Perso, j’aime bien avoir les deux quand je roule

[GUW]

“Inviolable”, ça n’existe pas en sécurité.

Le 2FA est très efficace, surtout contre les attaques automatiques. Ça bloque énormément de tentatives basiques, clairement.

Mais ça peut quand même être contourné. Le SMS peut se faire détourner avec un SIM swap. Les codes via appli peuvent être phishés en temps réel si tu les entres sur un faux site. Si quelqu’un vole ton cookie de session, on ne te redemande même plus le 2FA. Et si ton PC est infecté, ça complique encore les choses.

Même les clés physiques FIDO2, qui sont ce qu’on fait de plus solide aujourd’hui, ne rendent pas un compte “impossible” à pirater. Elles rendent l’attaque beaucoup plus difficile.

Le 2FA, c’est une grosse couche de sécurité. Mais ce n’est pas un mode dieu.

[Starman]

...
Le SMS peut se faire détourner avec un SIM swap.
...

A ce sujet, c'était et l'est toujours,potentiellement via les hack (récurrents) des FAI dont Bouygues l'été, dernier. Alors que de notre côté, on s'efforce de rester "safe" dans nos process...

[INFO] Cyberattaque chez Bouygues Telecom

Car dans ce cas précis, pas moins, "Nom, prénom et coordonnées, Iban" et surtout ce qui importe le plus ici, "n°mobile" et ce qui induit (potentiellement) ce que tu précises à savoir concretement...

Une des parades est d’activer la double authentification sur les services que vous utilisez. Elle ajoute, en plus du mot de passe, une nouvelle étape d’authentification, comme un message avec un code, l’utilisation d’une clé de sécurité ou d’une application d’authentification. Si quelqu’un essaye d’accéder à votre compte après avoir piraté votre mot de passe, il devrait donc normalement être bloqué par la confirmation de votre identité, qui aura lieu sur votre smartphone.

En théorie, cela vous protège. Néanmoins, il est possible de se faire voler son numéro de téléphone, cette technique s’appelle le « SIM swapping ».

Qu’est-ce que le SIM Swapping ? Et comment cela fonctionne ?

Ce terme, SIM Swapping, est un terme qui désigne le fait de « voler » un numéro de téléphone portable. L’objectif des hackers est alors de transférer votre numéro depuis votre carte SIM jusqu’à une carte SIM en leur possession.

Ce n’est pas une technique compliquée et hors de portée. Bien souvent, les hackers contactent le service client de votre opérateur afin de se faire passer pour vous. Ils peuvent prétexter de la perte d’un téléphone, un vol ou problème de fonctionnement. Ils peuvent également soudoyer directement un employé d’un opérateur mobile.

Pour manipuler les opérateurs mobiles, ils usent d’informations personnelles comme votre date de naissance, votre adresse… des informations que l’on peut trouver sur le web, mais aussi dans les bases de données volées que l’on retrouve sur le dark web ou même sur des forums libres d’accès.

Une fois le numéro transféré, cela permet aux hackers de recevoir vos SMS et vos appels, et évidemment de débloquer l’accès à certains services avec double authentification. Un des exemples les plus courants est celui de Jack Dorsey, un des co-fondateurs de Twitter, qui s’est fait pirater son propre compte Twitter. Il y a aussi le cas Michael Terpin, un crypto-investisseur, il s’est fait voler 23 millions de dollars en utilisant la même méthode.

Source

Premier reflexe quand on se sait "fuité", c'est le mail de contact avec le FAI à changer dans l'instant (on doit nous le demander lors d'un contact avec le SAV comme procédure de sécurité) et "poubelliser" l'ancien, en rapatriant d'autres contacts y étant "associés"...

Depuis, il ne reste plus que les tentatives de phishing que je m'amuse à lire avant de signaler/bloquer...

...
Mais ce n’est pas un mode dieu.

A l'évidence, on le dit souvent "Ce qu’un homme fait, un autre peut le défaire"...

[Barca]

Sans oublier les applications d'authentification...
MS et Google pour les plus connues, mais il y a aussi proton (celui que j'utilise)

[ThiWeb]

@GUW : Chez Microsoft, 2FA n'est pas une seconde sécurité, c'est la seule !
Le mot de passe étant supprimé, il n'y a rien d'autre que 2FA.
Et c'est le top.

Les méthodes de contournement de 2FA ne sont que théoriques.
Dans les faits, c'est impossible.

A moins de connaitre spécifiquement la personne qu'on attaque.
A moins de connaitre son numéro de téléphone mobile.
A moins d'avoir cloné sa carte SIM.

Que des trucs délirants qui dans les faits, ne peuvent jamais arriver.
Pirater 2FA, c'est factuellement impossible !

ThiWeb

[nonodu12]

Moi par principe, je considère que rien n'est impossible, dans le futur, il faudra continuellement faire évoluer le niveau de sécurité.