La collection de fuites de données, baptisée « Collection », compile désormais les informations de 2,2 milliards de comptes en ligne uniques.
Image : L'expert en sécurité Troy Hunt, qui a découvert la fuite, a retrouvé ses propres données dans cette base massive.
Il s'agit de la plus importante compilation de données utilisateur divulguées jamais enregistrée. Tout a commencé mi-janvier, lorsque Troy Hunt, expert en cybersécurité, a identifié une fuite sur le service cloud MEGA. Celle-ci impliquait 773 millions d'adresses e-mail uniques, 22 millions de mots de passe uniques, formant plus d'un milliard de combinaisons, pour un total d'environ 87 Go de données. Hunt l'a nommée Collection #1. Fin janvier, 845 Go supplémentaires ont été publiés sous les noms Collection #2 à #5. Après déduplication, les analystes estiment l'ensemble à 2,2 milliards de combinaisons uniques.
La majorité provient de breaches antérieures majeures comme celles de Yahoo, Dropbox ou LinkedIn, souvent datant de plusieurs années. Néanmoins, 750 millions d'entrées étaient inédites dans les bases de données publiques de mots de passe compromises. Quelle que soit leur origine, ces données sont une mine d'or pour les cybercriminels pratiquant le credential stuffing : une attaque automatisée testant des paires e-mail/mot de passe connues sur de multiples sites web.
Malgré son volume, le caractère hétéroclite des données suggère une circulation ancienne dans les cercles hackers. Les acteurs expérimentés ont probablement exploité ces informations depuis longtemps sur les grands services, avant de les diffuser publiquement.
Pour vérifier si vos données figurent dans ces collections, utilisez Have I Been Pwned ? ou l'Identity Leak Checker du Hasso Plattner Institute. Conseils essentiels : adoptez des mots de passe uniques et complexes pour chaque compte, stockez-les dans un gestionnaire comme LastPass ou 1Password, et activez l'authentification à deux facteurs (2FA) partout où possible. Ainsi, vous minimisez les risques du credential stuffing.
