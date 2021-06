Eric Zeman

Je regardais la télévision récemment lorsqu’une alerte mobile est apparue sur mon téléphone. L’alerte m’a indiqué que plusieurs de mes mots de passe avaient été compromis lors d’une récente faille de sécurité et m’a suggéré de les modifier immédiatement. Ayant vu des alertes similaires dans le passé, j’ai été tenté de les ignorer. Quelque chose a piqué mon intérêt cette fois, cependant, et j’ai décidé de cliquer sur la notification.

Wow, je suis content de l’avoir fait.

RockYou2021 : Vos mots de passe sont compromis

Jimmy Westenberg / Autorité Android

Début juin, la nouvelle a éclaté d’une nouvelle fuite de mot de passe dans ce qui pourrait être la plus importante de tous les temps. Un utilisateur d’un forum de hackers populaire a publié un fichier .txt de 100 Go contenant environ 8,4 milliards de mots de passe. On pense que la liste est un ensemble combiné de fuites plus anciennes. Cette nouvelle fuite surpasse facilement la précédente plus importante, qui contenait quelque trois milliards de mots de passe. La nouvelle fuite s’appelle RockYou2021, apparemment en hommage à la violation de données de 2009 du même nom.

À quel point est-ce mauvais? Mal. Vraiment mauvais.

Selon CyberNews, ceux qui cherchent à s’introduire dans les comptes en ligne des autres n’ont qu’à combiner les noms d’utilisateur et les adresses e-mail pour se lancer dans des attaques par dictionnaire de mots de passe et par pulvérisation de mots de passe.

« Étant donné que la plupart des gens réutilisent leurs mots de passe sur plusieurs applications et sites Web, le nombre de comptes affectés par les attaques de bourrage d’informations d’identification et de pulvérisation de mots de passe à la suite de cette fuite peut potentiellement atteindre des millions, voire des milliards », a écrit CyberNews.

Considérez-moi secoué

Le moment de la notification push sur mon téléphone personnel (un iPhone) a coïncidé avec l’actualité de RockYou2021. J’ai interrogé Apple sur la notification et si les deux étaient connectés. En réponse, Apple a déclaré dans un e-mail qu’il semblait que la fonction de surveillance des mots de passe d’iOS 14 fonctionnait comme prévu. Lisez dedans ce que vous voulez.

Selon sa documentation publique, la surveillance des mots de passe d’Apple « fait correspondre les mots de passe stockés dans le trousseau de saisie automatique du mot de passe de l’utilisateur à une liste continuellement mise à jour et organisée de mots de passe connus pour avoir été exposés dans des fuites ». Si les utilisateurs ont activé cette fonctionnalité, le moniteur de mots de passe recherchera toujours des correspondances entre les mots de passe que vous utilisez et ceux qui sont divulgués en ligne et vous avertira en cas de problème.

J’avais un probleme.

J’utilise des mots de passe complexes depuis des années, mais comme beaucoup, je suis parfois coupable de les réutiliser sur plusieurs comptes. Suite à l’alerte mobile, le gestionnaire de mots de passe de l’iPhone m’a alerté des recommandations de sécurité. Lorsque j’ai vérifié ce qu’ils étaient, pas moins de 20 de mes mots de passe étaient « apparus dans une fuite de données », ce qui mettait les comptes à « un risque élevé de compromission ». Le gestionnaire de mots de passe d’Apple m’a recommandé de changer les mots de passe immédiatement.

Heureusement, bon nombre des mots de passe divulgués étaient anciens ou obsolètes, mais ils étaient exacts et il est inquiétant qu’ils aient été trouvés si facilement en ligne. Le gestionnaire de mots de passe d’Apple signale également quels mots de passe sont réutilisés et doivent être mis à jour.

Prenez garde

Apple n’est bien sûr pas la seule plate-forme à fournir ces alertes. Le navigateur Chrome de Google m’a mis à jour ces derniers temps sur mon bureau pour mettre à jour au moins une douzaine de mots de passe et j’ai été tout aussi laxiste à ce sujet. Chrome vous montre également quels mots de passe ont été violés et lesquels sont réutilisés ou sont faibles. Il envoie également des alertes mobiles, bien que je n’en ai pas encore reçu, y compris après cette récente violation. Le navigateur Edge sur les machines Windows fait la même chose. L’alerte mobile d’Apple était un peu plus dans mon visage, et comme elle incluait des mots de passe et des comptes semi-récents, je l’ai prise au sérieux et j’ai agi tout de suite.

Quelle que soit l’application qui envoie la notification, ces outils sont en place pour une raison et, dans ce cas, ont fonctionné comme prévu. Faites attention. Lorsque votre navigateur ou votre téléphone vous demande de mettre à jour votre mot de passe, il est préférable de prendre des mesures avant que les pirates ne prennent des mesures contre vous.

Et au cas où vous seriez intéressé, vous pouvez vérifier si vos mots de passe ont été divulgués dans la violation RockYou2021 ici.