« Le monde entier concerné par la plus grosse fuite de mots de passe de l’histoire », titre Le Point. « Plus de 8,4 milliards de mots de passe ont fuité sur Internet », annonce Ouest-France. Les deux journaux parlent d’un fichier texte nommé « RockYou2021 », repéré le 7 juin sur un forum bien connu par le site anglophone CyberNews.
Plus d’une dizaine de sites de presse ont repris l’information fausse. // Source : Capture d’écran Numerama
Les articles de la presse française (généraliste comme spécialisée) reprennent mot pour mot ses arguments, pourtant incorrects pour la plupart. Par exemple, le site explique en suivant un raisonnement bancal que puisque 4,7 milliards de personnes utilisent Internet dans le monde, la base contiendrait 2 mots de passe par personne.
Les médias français vont jusqu’à inciter leurs lecteurs à utiliser l’outil de vérification de… Cybernews, et à changer de mots de passe. Pourtant, ces précautions sont inutiles. La raison ? RockYou2021 n’est ni une fuite de données, ni une compilation de mots de passe.
8,4 milliards de mots, pas de mots de passe
D’après les nombreux articles, le fichier texte de plus de 100 gigaoctets contiendrait 8,4 milliards de mots de passe… mais c’est faux. Troy Hunt, fondateur du site HaveIBeenPwned et référence sur la question des fuites de données, s’étonne de l’ampleur prise par le sujet : « c’est comme si les personnes ne lisaient pas les articles avant de les partager ». Son site, qui compile les fuites de données depuis 2013, n’héberge ‘que’ 613 millions de mots de passe. Comment expliquer la différence de volume avec RockYou2021 ? Tout simplement, car le fichier n’est pas une compilation de mots de passe.
Dans le jargon, RockYou2021 est ce qu’on appelle un « dictionnaire » : c’est une simple liste de mots. Alors oui, certains d’entre eux sont des mots de passe issus de fuites — par exemple, la base contient les 32 millions de mots de passe du réseau social RockYou, fuités en 2009, et désormais très facilement accessibles. Mais « la vaste majorité [des mots] n’ont *jamais* été des mots de passe », insiste Troy Hunt. Par exemple, la liste contient tous les mots de Wikipedia, ou encore des mots aspirés sur des ebooks gratuits. Autrement dit, RockYou2021 n’est pas une compilation de fuites, ni une compilation de mots de passe, mais simplement une compilation de dictionnaires.
Et ce n’est pas tout : les milliers de « vrais » mots de passe issus de la fuite circulent déjà depuis longtemps, et s’ils devaient être utilisés par des malfrats, ils l’ont déjà été.
RockYou2021 a été publié deux mois avant l’article de Cybernews. // Source : Capture d’écran Numerama
RockYou2021 a fait l’objet d’un article le 7 juin, mais il a été publié sur le plus populaire des forums de « hackers » 2 mois plus tôt, le 16 avril. Dans son message, l’utilisateur indiquait certaines sources du fichier — et il ne laissait aucun doute sur le fait que c’était un dictionnaire. Ni Cybernews ni la presse française n’en parle dans leur article.
Dernier point sur la mauvaise compréhension du sujet : RockYou2021 n’associe les mots de passe avec aucune autre information. Or, un mot de passe seul n’a pratiquement aucune valeur, car il n’est pas exploitable à des fins malveillantes. Comment un cybercriminel pourrait-il savoir à quelle personne il appartient ? Une fuite de mot de passe devient seulement dangereuse quand elle permet de l’associer à un nom ou une adresse mail.
À quoi peut servir une base de 8,4 milliards de mots ?
Vous vous demandez sûrement à quoi sert cette base de 8,4 milliards de mots, si elle ne permet pas de voler des comptes. Et bien, les dictionnaires permettent de découvrir des mots de passe protégés par une fonction de hash. Peut-être que vous venez de buter sur le terme « hash » ? Alors voici quelques explications.
Souvent, quand les mots de passe « fuitent » ou « leakent », ils n’apparaissent pas en clair dans le fichier volé. Et pour cause : par sécurité, de nombreuses entreprises ne stockent pas le mot de passe sous la même forme que celle que vous entrez de votre côté. Autrement dit, si votre mot de passe est « D4rkBGdu28! », ce n’est pas ce qui figurera sur les serveurs de l’entreprise. Dans le détail, elle applique une fonction de hash au mot de passe qu’elle reçoit. Il en existe plusieurs différentes, plus ou moins complexes : Bcrypt, SHA 1, SHA 2, MD5…
Reprenons l’exemple du mot de passe « D4rkBGdu28! ». Passé à la fonction de hash MD5, il devient « dbd85c60cca1c84618ce6d86b1e70f8f ». C’est cette chaîne de caractère (aussi appelé hash) que l’entreprise va stocker. Il faut savoir qu’elle est unique à ce mot de passe, mais n’essayez pas de voir un quelconque lien logique entre les deux à l’œil nu. Si on change un caractère, et qu’on utilise par exemple « D4rkBGdu38! », la chaîne générée sera « 0fad34e5ce5f57cd7ab82434e6d57157 ». Vous remarquerez qu’elle n’a rien à voir avec la chaîne du premier mot de passe, alors que les deux mots de passe n’ont qu’un caractère d’écart. De plus, quelle que soit la longueur du mot de passe, son hash MD5 fera 32 caractères.
Tous les mots ne sont pas pertinents
Ces propriétés font qu’il est très compliqué de deviner le mot de passe derrière la chaîne de caractères. Compliqué, mais pas impossible : c’est là qu’interviennent les dictionnaires. Quand les cybercriminels récupèrent une fuite de données avec des mots de passe hashés, ils sont généralement attachés à d’autres informations comme une adresse email ou un nom.
Pour deviner le mot de passe derrière les hashs, les malfrats vont hasher de leur côté toutes sortes de combinaisons de caractères, et comparer les hashs obtenus avec ceux de la base. Ils vont commencer par rechercher dans la base de données les hashs des mots de passe les plus utilisés comme « motdepasse», « azerty » ou encore « 123456 ». S’ils trouvent une correspondance, ils pourront lier le mot de passe de leur liste avec le hash de la base de données et les autres informations qui y sont attachées.
| Informations contenues dans la fuite | Ce que sait le malfrat |
| Jérémy Dupont ; jé[email protected] ; e10adc3949ba59abbe56e057f20f883e | MD5(123456)=e10adc3949ba59abbe56e057f20f883e |
L’exemple ci-dessus illustre comment le malfrat découvre que le mot de passe de Jérémy Dupont est « 123456 ». Grâce à sa réussite, il possède désormais une combinaison email / mot de passe, dont il va pouvoir se servir pour tenter de se connecter à plusieurs comptes de la victime.
Les 8,4 milliards de mots de « RockYou2021 » peuvent alimenter ce processus de découverte, mais faut-il encore que ces mots soient pertinents. Par exemple, chercher à découvrir des mots de passe de Français avec un dictionnaire anglais est peu efficace. Les utilisateurs francophones peu soucieux utiliseront « azerty» ou « motdepasse » là où leurs homologues anglophones utiliseront « qwerty » ou «password».
En février 2021, Cybernews avait déjà déclenché un vent de panique inutile dans la presse française. Mais dans ce premier cas, c’était l’interprétation de son article qui était à revoir. Cette fois, c’est le site lui-même qui a publié des informations inexactes.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
