Un dictionnaire de 8,4 milliards de "mots de passe" laché dans la nature... Et alors ?

Un utilisateur d'un forum de hacker a très récemment partagé ce qui est fort probablement la plus grosse compilation de mots de passe librement en circulation à ce jour. Il s'agit d'une collection massive dans un seul fichier TXT de 100 Go — téléchargeable par torrent pour ceux que ça intéresse — comportant pas moins de 8 459 060 239 entrées uniques. Dit comme ça, ça fait peur, mais notez que ce n'est absolument pas le fruit d'un ou plusieurs nouveaux hacks, mais essentiellement un dictionnaire compilé sur plusieurs années, parfois à partir de certaines fuites de données et de violations qui ont eu lieu précédemment, telles que la Compilation of Many Breaches, publiée en février dernier avec pas moins de 3,2 milliards de mots de passe de multiples origines et ceux-ci sont a priori inclus dans RockYou2021. Par ailleurs, le nom choisi par l'auteur fait très probablement référence à la fameuse fuite de données RockYou de 2009, où les serveurs du site en question avaient été hackés et près de 32 millions de mots de passe utilisateurs simplement stockés en texte sans aucun chiffrement avaient été dérobés.

Concernant la liste de RockYou2021, les mots inclus ont tous une longueur comprise entre 6 et 20 caractères, dont les espaces vides et les caractères non-ASCII ont été retirés. Du coup, quels sont les risques ? À vrai dire, il n'y a pas vraiment de (nouveau) danger immédiat et imminent contrairement à ce que beaucoup suggèrent, bon nombre des mots de passe compromis se baladaient déjà dans la nature depuis un moment et beaucoup (la majorité) n'en sont d'ailleurs pas réellement, car la liste inclut aussi des « mots de passe » jugés probables, des mots tirés d'articles de Wikipédia, des mots communs et d'autres tirés de livres...

Ayant désormais accès à une nouvelle belle base de données plus que complète à ajouter à leur arsenal, des individus mal intentionnés pourront évidemment s'en servir pour affiner encore un peu leurs attaques par force brute ou pulvérisation de mot de passe, et autres attaques hybrides sur les très nombreux comptes et services en ligne qu'un internaute peut utiliser. Le risque peut être d'autant plus important que les habitudes en matière de mot de passe laissent dans l'ensemble toujours autant à désirer, sans même parler complexité, trop nombreux sont encore les mots de passe à être réutilisé et recyclé par une personne pour ses différents comptes.

Il est tout à fait possible d'aller vérifier si l'un de votre mot de passe fait partie de la nouvelle grosse liste et la tentation pourrait effectivement être forte de le faire, mais on ne peut que mettre en garde contre ce genre d'outil qui vous invite à entrer l'un ou l'autre de vos mots de passe pour la « vérification », quand bien même le fournisseur du service garantit la sécurité des entrées et lors de la recherche dans la base de données. De manière générale, il vaut toujours mieux garder ses mots de passe jalousement pour soi et il convient de rappeler encore une fois qu'il ne s'agit pas réellement d'une liste intégralement constituée de mots de passe « pwned ». Dans le doute et pour se rassurer, le plus prudent reste de modifier les mots de passe au moins des comptes les plus sensibles et de le faire en se servant d'un gestionnaire afin d'avoir uniquement des mots de passe uniques et complexes, et de veiller à toujours bien activer l'authentification à deux facteurs dès que possible, bien entendu. Bref, pas de panique, mais c'est toujours l'occasion parfaite pour rappeler certaines bases. (Source)

Ou pas.