Le site de référence Have I been pwned a notifié que presque 114 millions de personnes sont présentes dans un fichier à partir de données publiques « scrapées » de la plateforme Gravatar. Le risque du fichier découvert est pour l’instant limité, mais le chercheur qui a découvert la faille en 2020 montre que des données plus sensibles étaient également accessibles.

Les mails d’Have I been pwned ne font pas partie de ceux qu’on aime recevoir un lundi matin. Le service alerte ses utilisateurs sur les fuites de données dans lesquelles votre numéro de téléphone ou votre mail se trouvent. Et dans la nuit du 5 au 6 décembre 2021, le site créé par Troy Hunt a notifié d’une nouvelle fuite qui touche quasiment 114 millions de comptes. Rien que ça.

La faille date d’octobre 2020 et vient de Gravatar, un service d’avatar en ligne qui permet a ses utilisateurs d’utiliser une image sur plusieurs sites, notamment sur Wordpress ou GitHub. Il ne s’agit pas à proprement parler de la fuite d’un fichier d’utilisateur, mais d’un « scraping », c’est-à-dire la récolte d’informations publiques ensuite rassemblées dans un seul fichier. C’est notamment ce qu’il s’était passé pour le fichier regroupant les numéros de plus de 500 millions de comptes Facebook. Une partie des utilisateurs de Linkedin également.

Un suraccident bien plus grave est possible

Have I been pawned a notifié ses utilisateurs que des adresses mails associées aux noms et aux noms d’utilisateurs étaient présents dans le fichier. Ces informations restent utilises à des arnaqueurs pour mener des campagnes de phishing, mais elles ne permettent qu’un ciblage relativement faible, par le peu de précisions dans les données associées au mail (pas de localisation, de numéro de téléphone, de genre etc.).

Image d'erreur

Have I been pwned indique que les adresses mails, noms et noms d’utilisateurs ont fuité // Source : Capture écran Cyberguerre

Interrogé par Cyberguerre, Troy Hunt confirme que seules ces informations (mails, noms et noms d’utilisateurs) étaient dans le fichier. Mais la faille est en réalité plus grave. Comme l’explique le chercheur Carlo Di Dato à Bleeping Computer en octobre 2020, il était possible d’accéder à bien plus de données. À partir d’une faille, le chercheur a montré qu’il est possible d’accéder à une liste de comptes liés à l’utilisateur, mais aussi, dans certains cas, de retrouver des adresses de portefeuilles BitCoin, des numéros de téléphone ou encore des données géographiques. Ce serait le manque de réaction de Gravatar qui a amené Carlo Di Dato à parler à la presse, une situation malheureusement assez commune.

« Bien sûr qu’à partir [du leaks notifié par Have I been pawned] on peut retirer plus de données directement dans Gravatar, donc il est certainement possible que l’impact soit plus grand si des gens le font », réagit Troy Hunt auprès de Cyberguerre. Mais la menace reste difficile à préciser dans la mesure où un tel fichier n’a pas encore été observé. Si vous êtes concernés par cette fuite, il est surtout conseillé de rester attentifs à de potentielles campagnes de phishings personnalisées.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !