Mots de passe volés: Pourquoi il ne faut pas paniquer

INFORMATIQUE L'entreprise qui révèle ce casse est loin d'être transparente sur l'ampleur réelle du problème...

Philippe Berry

— 

Illustration d'un clavier d'ordinateur.
Illustration d'un clavier d'ordinateur. — D.DOVARGANES/AP/SIPA

Peur sur le Net. Le vol présumé d’1,2 milliards de mots de passe et logins par des hackers russes, révélé mardi, constituerait, selon Hold Security, le plus grand casse de données de l’histoire d’Internet. Mais la firme, qui propose aussitôt un service de protection payant, semble un peu trop pressée d’exploiter la panique.

Combien de personnes sont vraiment concernées?

Dur à dire, mais clairement pas 1,2 milliard, alors que la planète compte un peu plus de 2,5 milliards d’internautes. Ces informations de connexion dérobées comptent de nombreux doublons, et Hold Security avance le chiffre de 500 millions d’adresses mails uniques. Parce que de nombreuses personnes utilisent deux ou trois adresses pour s’inscrire à différents services, le nombre d’individus touchés est a priori plus faible.

Quels sites ont été touchés?

Là encore, Hold Security entretient le mystère, officiellement car certains «sont toujours vulnérables». Sur 400.000 sites compromis, on trouverait «des leaders dans toutes les industries ainsi que des petits acteurs». Des géants critiques, comme Google, Amazon, Facebook, Apple et Microsoft ont-ils été touchés? On l’ignore. Mais la technique utilisée, une «injection SQL», qui permet d’attaquer des bases de données, est tout sauf nouvelle.

Quantité vs qualité?

Comme le relève le site The Verge, on ne sait rien sur les données volées. Les mots de passe sont-ils cryptés ou en clair? Sont-ils encore valides ou s’agit-il de vieilles données? Hold Security dit que les hackers ont commencé par acheter en masse des listings au marché noir avant de pirater eux-mêmes certains sites. Il pourrait donc s’agir d’un agrégat de données déjà dérobées.

L’attitude suspecte de Hold Security

«Vous avez été hacké», commence l’entreprise. Qui, comme note le Washington Post, «fournit peu de détails mais s’empresse de proposer une protection payante» de 10 dollars par mois. Après le cafouillage initial – un tweet a notamment été effacé – Hold Security est en train de mettre en place un système gratuit qui permettra de vérifier si son adresse email ou mot de passe font partie de la base de données compromise.

Des données pas encore revendues

Pour l’instant, les hackers semblent surtout avoir utilisé ces données pour des campagnes de spam sous Twitter. Selon le New York Times, elles n’ont pas encore été revendues en masse sur le marché noir, ce qui pourrait indiquer qu’elles sont de piètre qualité.

Que doit faire l’utilisateur?

Ça dépend. Vous utilisez un seul mot de passe pour tous vos sites préférés? Qu’il ait été compromis ou pas, il faut le changer. Ceux qui ont une bonne mémoire peuvent choisir une base commune et ajouter une variante selon les services. Les autres peuvent se tourner vers un gestionnaire de mots de passe comme LastPass, qui propose une formule de base gratuite. Les experts recommandent d’activer la double identification sur les services critiques comme Gmail, Facebook et Twitter. Et pour ceux qui ont déjà adopté ces bonnes pratiques? Ils peuvent souffler un coup, et attendre d’en savoir davantage sur ce dernier épisode.