RockYou2021 : 8,4 milliards de mots de passe dans la nature, pour un fichier de quelque 100 Go

Alexandre Boero
Chargé de l'actualité de Clubic
09 juin 2021 à 09h11
20
© Markus Spiske - Unsplash
© Markus Spiske - Unsplash

Une liste impressionnante de milliards de mots de passe a été publiée sur une célèbre plateforme de hackers. Celle-ci proviendrait de diverses fuites précédemment compilées.

Sommes-nous face à la plus grande révélation de mots de passe de l'histoire de l'information ? Les chiffres laissent en tout cas peu de place au doute. Nos confrères de CyberNews ont en effet découvert une sorte de pépite massive sur un forum de hackers très populaire du vaste dark web. L'un des utilisateurs de la plateforme a posté un fichier au format .txt qui déjà impressionne par son poids : 100 Go. Celui-ci contiendrait plus de 8 milliards de mots de passe.

Lire aussi :
Les États-Unis ont réussi à récupérer une partie de la rançon payée aux hackers de Colonial Pipeline

Une fuite de mots de passe record

Le fichier RockYou2021 (ou rockyou2021.txt) compile plus exactement un total de 8 459 060 239 entrées uniques, chacune correspond à un mot de passe. Si l'on insiste un peu, on risque vite d'être à court de superlatifs, alors mieux vaut se contenter des faits dont nous avons connaissance aujourd'hui.

Selon l'utilisateur qui a posté le fichier sur le forum pirate, les mots de passe contenus dans ce dernier comportent entre 6 et 20 caractères, espaces retirés notamment.

Pour avoir conscience de l'ampleur de la chose, ayons à l'esprit deux choses. La première, c'est que la plus grande compilation de fuite de données jamais réalisée jusqu'à maintenant ne comportait « que » 3,2 milliards de mots de passe. Il s'agissait de la fuite baptisée COMB (Compilation of Many Breaches), qui rassemblait des identifiants et mots de passe issus de services, messageries et réseaux mondialement reconnus, comme Gmail, Hotmail, Netflix ou LinkedIn. Ensuite, ayons conscience qu'avec 4,7 milliards de personnes officiellement « connectées » sur notre planète, le fichier RockYou2021 couvre à lui seul presque deux fois la population connectée en ligne. On n'exagérera pas alors en vous encourageant à vérifier si votre, ou plutôt vos mots de passe ne font partie de la fuite.

Lire aussi :
Antivirus et VPN sont-ils les garants de ma sécurité et de ma vie privée en ligne ?

Des vagues d'attaques attendues

Il existe justement deux outils basés sur les fichiers présents sur les forums de hackers qui vous permettent de savoir si vos données circulent en ligne. Pour cela, vous devez vous rendre sur le site de CyberNews, en renseignant votre adresse email ou votre numéro de téléphone. Et pour vérifier si l'un de vos mots de passe a été divulgué, le site spécialisé propose un second outil. Si lorsque vous entrez vos données, vous voyez du rouge s'afficher, alors procédez le plus rapidement possible au changement du mot de passe ou à la récupération de compte.

N'oubliez pas 👇

Pour vérifier si votre adresse électronique (et les données que vous avez pu associer avec cette dernière sur les divers sites qui la supportent) est associée à une fuite de données récente, l'outil de référence que nous vous conseillons reste HaveIBeenPwned.com.

CyberNews alerte enfin, et à juste titre, sur le fait que les 8,4 milliards de mots de passe uniques, compilés à d'autres fuites et regroupés avec des noms d'utilisateur et des adresses électroniques déjà connus, pourraient provoquer des dégâts colossaux. RockYou2021 pourrait en effet occasionner un grand nombre d'attaques de comptes en ligne dans les semaines et mois à venir.

Meilleur gestionnaire de mots de passe, le comparatif en février 2024

Il n'est jamais trop tard pour adopter les bons réflexes en ligne, n'est-ce pas ? La première étape consiste à télécharger un gestionnaire de mots de passe. Pour vous guider vers le meilleur choix, nous avons comparé ici les meilleurs d'entre eux en février 2024.
Lire la suite

Source : CyberNews

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

UncleJul
Chose importante à signaler, vos adresses gmail et hotmail ont de forte chances de figurer dans la liste, mais probablement parcequ’elles étaient utilisé sur d’autres sites, cela ne veut pas dire que vos messageries sont exposées, à moins d’utiliser le même mot de passe partout.
GRITI
D’après le premier outil, deux de mes quatre adresses mail ont un problème. Mais avec quel mot de passe? Pour quel site? Sachant que j’ai un mot de passe par site.<br /> Par contre, le second outil où il faut rentrer ses mots de passes…Non merci. Si je le fait, il faudra que je change tous mes mots de passe
Yorgmald
Avec les CLIQUANT ICI comme ça bah j’ai l’impression que c’est ça l’arnaque.
AlexLex14
Tu penses bien que jamais on ne s’amusera à livrer des liens bidons.<br /> Au contraire, le but, c’est de les faire ressortir au mieux, pour que les lecteurs ne les loupent. C’est dans un intérêt de sécurité qu’on fait cela mais ça tu le sais
Fodger
En fait ce genre de news veut tout et rien dire : il n’y aucune information réelle et sérieuse sur l’ancienneté des informations contenues, la provenance etc.<br /> De même que même si Personal Data Leak Checker: Your Email &amp; Data - Breached? | CyberNews vous dit que votre email est dans leur base ça ne veut pas dire du tout que des informations personnelles circulent. Ca veut simplement dire avec certitude qu’un moment une source de données contenait votre adresse mail, ce qui est tout à fait courant dès que vous vous inscrivez quelque part avec la revente de données.
nicgrover
Adresses Gmail et Hotmail compromises mais les mots de passe sont de très vieux mots de passe datant de plus de 10 à 15 ans que je n’utilise plus depuis bien longtemps, donc pas de soucis pour moi. A priori…
DrGeekill
Je suis allé sur le site de l’article et on fait franchement mieux que ça. Il servira tout au plus à faire flipper ceux qui verront le message rouge bien alarmant sans qu’ils n’aient aucune information supplémentaire.<br /> J’y ai rentré deux adresses qui avaient été piratées il y a longtemps.<br /> Ce n’est pas pour faire de la pub mais Firefox monitor est beaucoup plus performant et précis et de loin. Il donne l’origine de la fuite (site, date, …)<br /> Y a pas photo sur ce point.<br /> Vôtre lien va stresser les utilisateurs plus qu’autre chose vu qu’il n’auront aucune précision. Je trouve que c’est un manque réel de sérieux que de ne citer que vos propres sources sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé.
Squeak
Rien de bien nouveau, ce genre de listes a déjà été publié à certains moments, d’ailleurs il y a quelques mois ça portait le nom de «&nbsp;Comb&nbsp;», une collection de plusieurs leaks regroupés.<br /> Pour éviter des tracas, les règles de base sont encore une fois assez simples : avoir des mots de passe différents, et les changer de temps en temps + authentification à double facteurs sur les comptes principaux ça permet quand même de limiter très fortement les risques.<br /> J’ai opté pour un gestionnaire de mots de passe hors ligne : Secret Space Encryptor sur Android, il dispose d’un coffre fort (Password Vault) et fonctionne assez bien. Il peut aussi exporter un fichier chiffré qui contient toutes les infos pour pouvoir le sauvegarder soi-même où l’on veut.
twenty94470
Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,
Space_Boy
C’est simple: via Clubic, vous allez alimenter le fichier TXT avec vos mot de passe unique pas encore répertorié. C’est malin!
AlexLex14
Je perçois quand même pas mal de mauvaise foi chez certains d’entre vous… les premiers à grogner seront les premiers à jouer les étonnés s’ils s’aperçoivent un jour que «&nbsp;ça n’arrive pas qu’aux autres.&nbsp;»<br /> En matière de cybersécurité, pousser un maximum les utilisateurs à être prudents ne coûte rien. Du moment qu’il y a de la pédagogie, je ne vois pas où est le problème. Mieux vaut ça que dire que tout baigne et qu’en mettant un mot de passe béton ils ne risqueront rien. Hélas, ça n’est pas aussi simple que cela.<br /> Et CyberNews rapporte une vraie info. Il n’y a rien d’inventé là-dedans. Puis si évidemment certaines fuites sont plus anciennes (on le précise d’ailleurs dans l’article, c’est écrit noir sur blanc !), le chiffre de 8 milliards suffit à lui seul à interpeller. 8 milliards de mots de passe, même sur 10 ans de fuites, imaginez à quel point cela est colossal.<br /> On ne parle pas d’un leak de 300 000 et 400 000 MDP.<br /> Bref, avant de crier au scandale, essayons de prendre conscience de la gravité de la chose, et d’inciter à la prudence.
AlexLex14
Et évidemment, l’outil de référence reste https://haveibeenpwned.com/ pour vérifier si votre mail est associé à une fuite de données. Un outil maintes et maintes fois cité sur Clubic
max_971
Perso, pour les connexions sensibles : compte mail pro et perso, je change chaque mois le mot de passe avec authentification à double facteur.<br /> Pour les sites d’achat, je n’enregistre jamais ma CB comme ça même si le hacker connait mon mot de passe, il devra utiliser sa propre CB .
AlexLex14
max_971:<br /> Pour les sites d’achat, je n’enregistre jamais ma CB comme ça même si le hacker connait mon mot de passe, il devra utiliser sa propre CB .<br /> Et tu as bien raison.<br /> J’en profite pour ressortir ce dossier-là, qui date déjà d’il y a un an… &gt; Amazon : des hackers auraient réussi à contourner la double authentification.
AlexLex14
twenty94470:<br /> Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,<br /> Il y a des sites plus ou moins fiables que d’autres. Je suis le premier à le dire. Mais, en 2021, dans le monde cyber et à ma connaissance, CyberNews n’est pas réputé pour ponctionner tes données.
AlexLex14
DrGeekill:<br /> sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé<br /> Tu as raison, et j’ai ajouté une micro partie à l’article, qui était nécessaire, effectivement
benben99
Le premier site web ne dit pas quel mot de passe est compromis, donc totalement inutile.<br /> Le deuxième site Web où il faut mettre votre mot de passe va juste servir à alimenter leur base de données de mot de passe. Et ensuite, cela va se retrouver dans les mains de qui ? Ça sent plutôt l’arnaque.
Myraloes
Ce genre d’information est utile. Merci de nous en avoir informé.
ti4444
C’est vrai que c’est dommage qu’on ne sache pas sur quel site, il y a eu des failles.<br /> Avec https://haveibeenpwned.com/ on peut connaitre certains sites mais pas tous et c’est fort dommageable.<br /> Enfin comme dit par plusieurs personnes si on utilise des mots de passe différents et qu’on ne stocke pas sa carte bleue le risque est diminué. Par contre, pour certains de mes comptes, je pense au compte google et comptes jeux (steam blizzard etc) j’ai activé le second facteur authentification
venexman
Mais la vrai question est quel est ce fameux forum du dark web ?
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Et le mot de passe le plus populaire en France est... Et le mot de passe le plus populaire en France est...
LastPass attaqué, que s'est-il passé ? LastPass attaqué, que s'est-il passé ?
Le mot de passe à usage unique : c'est pratique, mais ça a ses limites Le mot de passe à usage unique : c'est pratique, mais ça a ses limites
Vous cherchez un gestionnaire de mots de passe sécurisant et pas cher ? NordPass est là ! Vous cherchez un gestionnaire de mots de passe sécurisant et pas cher ? NordPass est là !
Mots de passe les plus courants : les internautes ne comprendront-ils donc jamais ? Mots de passe les plus courants : les internautes ne comprendront-ils donc jamais ?