Depuis le 19 Novembre dernier, l’expert sécuritaire Troy Hunt (à qui l’on doit, entre-autres, I Have Been Pwned ?) a frappé un grand coup en mettant en lumière un ensemble de donnés sensibles : issues du site City0day – définitivement fermé par le FBI en Septembre dernier du fait de larges déversements de données – le chercheur a mis la main sur 13 Go de données compressées…
Ces dossiers portaient notamment une mention XSS qui correspond à Cross-Site-Scripting et qui fait référence à un type de cyber-attaque assez critique. Au total, les fichiers d’archive (.RAR) contenaient 23 618 fichiers. Après extraction, 226 883 414 adresses mails ont été mises à nue : si 65 % d’entre elles étaient déjà connu au bataillon (IHBP), le reste, 35 %, n’était pas inclus dans une quelconque brèche de donnée recensée ou existante. Le taux descend à 55 % environ pour l’échantillon analysé (74 450 e-mails) contre 45 %. Concrètement, les mots de passe liés à ces adresse mails (hash MD5) sont donc compromis.
Outre le fait d’éviter de contacter le chercheur sécuritaire (cela ferait plus de 226 M de demandes !), ce dernier recommande d’utiliser un gestionnaire de mots de passe tel que KeyPass par exemple et de toujours privilégier des mots de passe “unique et forts”… A veiller !
Source : TroyHunt – 19 Novembre 2020 – City0day : brèche sécuritaire exposant les comptes-utilisateurs à hauteur de 226 883 414 (mails).