Have I Been Pwned est un site Web qui suit les services qui ont perdu des données utilisateur, avec des millions de mots de passe dans la base de données qui augmente continuellement à mesure que de nouvelles violations se produisent. Il n’est donc pas surprenant que le dernier ajout soit une collection massive de 635 millions de mots de passe, ni que la source soit le FBI.
Ce lot de plus d’un demi-milliard d’identifiants n’est que l’intersection la plus récente des forces de l’ordre américaines et du site australien de recherche sur les violations de données. Au cours des quatre dernières années, le FBI a envoyé des mots de passe découverts lors d’enquêtes. Comme l’a décrit Troy Hunt, propriétaire du site HIBP et expert en sécurité, dans un article de blog récent, ce dernier ensemble provient d’un seul suspect, qui a rassemblé ces données sur le Web, les marchés basés sur Tor, Telegram et les logiciels malveillants infostealer.
Mais dans ce court article, le plus frappant est le contraste des chiffres, plutôt que l’ampleur même de l’infodump. Hunt mentionne que lorsque le partenariat HIBP-FBI a débuté il y a près de cinq ans, Have I Been Pwned effectuait en moyenne 1,6 milliard de recherches par mois. Désormais, le site reçoit en moyenne 17,45 milliards de requêtes par mois.
Pendant ce temps, dans le lot de mots de passe qui vient d’être ajouté, 7,4 % étaient de nouveaux ajouts à la base de données, ce qui ne semble pas grand-chose jusqu’à ce que vous fassiez le calcul. Avec 46 millions de mots de passe inédits, cela représente un nombre important de comptes concernés que les utilisateurs doivent protéger contre les attaques.
En d’autres termes, les cyberattaques (et les efforts pour s’en défendre) se sont considérablement développées, avec une augmentation rapide du vol d’informations et une recirculation tout aussi importante de détails connus. Les 484,584 millions de mots de passe restants de cet ensemble du FBI ont obtenu une autre notation de prévalence, comme le décrit Hunt.
Si vous n’avez pas encore enregistré votre ou vos adresses e-mail sur Have I Been Pwned, je vous recommande fortement de le faire. Recevoir une alerte indiquant que vos données ont été compromises (ou continuent de flotter parmi les habitants du Dark Web) peut vous aider à rester au courant de la mise à jour des mots de passe. Et le service est entièrement gratuit pour les consommateurs : les seuls qui doivent payer sont les entreprises et les gouvernements qui ont besoin d’un accès plus approfondi aux données.
