« Le monde entier concerné par la plus grosse fuite de mots de passe de l’histoire », titre Le Point. « Plus de 8,4 milliards de mots de passe ont fuité sur Internet », annonce Ouest-France. Les deux journaux parlent d’un fichier texte nommé « RockYou2021 », repéré le 7 juin sur un forum bien connu par le site anglophone CyberNews.

Muriel_marland_militello.jpg

Plus d’une dizaine de sites de presse ont repris l’information fausse. // Source : Capture d’écran Numerama

Les articles de la presse française (généraliste comme spécialisée)  reprennent mot pour mot ses arguments, pourtant incorrects pour la plupart. Par exemple, le site explique en suivant un raisonnement bancal que puisque 4,7 milliards de personnes utilisent Internet dans le monde, la base contiendrait 2 mots de passe par personne.

Les médias français vont jusqu’à inciter leurs lecteurs à utiliser l’outil de vérification de… Cybernews, et à changer de mots de passe. Pourtant, ces précautions sont inutiles. La raison ? RockYou2021 n’est ni une fuite de données, ni une compilation de mots de passe.

8,4 milliards de mots, pas de mots de passe

D’après les nombreux articles, le fichier texte de plus de 100 gigaoctets contiendrait 8,4 milliards de mots de passe… mais c’est faux. Troy Hunt, fondateur du site HaveIBeenPwned et référence sur la question des fuites de données, s’étonne de l’ampleur prise par le sujet : « c’est comme si les personnes ne lisaient pas les articles avant de les partager ». Son site, qui compile les fuites de données depuis 2013, n’héberge ‘que’ 613 millions de mots de passe. Comment expliquer la différence de volume avec RockYou2021 ? Tout simplement, car le fichier n’est pas une compilation de mots de passe.

Dans le jargon, RockYou2021 est ce qu’on appelle un « dictionnaire » : c’est une simple liste de mots. Alors oui, certains d’entre eux sont des mots de passe issus de fuites — par exemple, la base contient les 32 millions de mots de passe du réseau social RockYou, fuités en 2009, et désormais très facilement accessibles. Mais « la vaste majorité [des mots] n’ont *jamais* été des mots de passe », insiste Troy Hunt. Par exemple, la liste contient tous les mots de Wikipedia, ou encore des mots aspirés sur des ebooks gratuits. Autrement dit, RockYou2021 n’est pas une compilation de fuites, ni une compilation de mots de passe, mais simplement une compilation de dictionnaires.

Et ce n’est pas tout : les milliers de  « vrais » mots de passe issus de la fuite circulent déjà depuis longtemps, et s’ils devaient être utilisés par des malfrats, ils l’ont déjà été.

Image d'erreur

RockYou2021 a été publié deux mois avant l’article de Cybernews. // Source : Capture d’écran Numerama

RockYou2021 a fait l’objet d’un article le 7 juin, mais il a été publié sur le plus populaire des forums de « hackers » 2 mois plus tôt, le 16 avril. Dans son message, l’utilisateur indiquait certaines sources du fichier — et il ne laissait aucun doute sur le fait que c’était un dictionnaire. Ni Cybernews ni la presse française n’en parle dans leur article.

Dernier point sur la mauvaise compréhension du sujet : RockYou2021 n’associe les mots de passe avec aucune autre information. Or, un mot de passe seul n’a pratiquement aucune valeur, car il n’est pas exploitable à des fins malveillantes. Comment un cybercriminel pourrait-il savoir à quelle personne il appartient ? Une fuite de mot de passe devient seulement dangereuse quand elle permet de l’associer à un nom ou une adresse mail.

À quoi peut servir une base de 8,4 milliards de mots ?

Vous vous demandez sûrement à quoi sert cette base de 8,4 milliards de mots, si elle ne permet pas de voler des comptes. Et bien, les dictionnaires permettent de découvrir des mots de passe protégés par une fonction de hash. Peut-être que vous venez de buter sur le terme « hash » ? Alors voici quelques explications.

Souvent, quand les mots de passe « fuitent » ou « leakent », ils n’apparaissent pas en clair dans le fichier volé. Et pour cause : par sécurité, de nombreuses entreprises ne stockent pas le mot de passe sous la même forme que celle que vous entrez de votre côté. Autrement dit, si votre mot de passe est « D4rkBGdu28! », ce n’est pas ce qui figurera sur les serveurs de l’entreprise. Dans le détail, elle applique une fonction de hash au mot de passe qu’elle reçoit. Il en existe plusieurs différentes, plus ou moins complexes : Bcrypt, SHA 1, SHA 2, MD5…

Reprenons l’exemple du mot de passe « D4rkBGdu28! ». Passé à la fonction de hash MD5, il devient « dbd85c60cca1c84618ce6d86b1e70f8f ». C’est cette chaîne de caractère (aussi appelé hash) que l’entreprise va stocker. Il faut savoir qu’elle est unique à ce mot de passe, mais n’essayez pas de voir un quelconque lien logique entre les deux à l’œil nu. Si on change un caractère, et qu’on utilise par exemple « D4rkBGdu38! », la chaîne générée sera « 0fad34e5ce5f57cd7ab82434e6d57157 ». Vous remarquerez qu’elle n’a rien à voir avec la chaîne du premier mot de passe, alors que les deux mots de passe n’ont qu’un caractère d’écart. De plus, quelle que soit la longueur du mot de passe, son hash MD5 fera 32 caractères.

Tous les mots ne sont pas pertinents

Ces propriétés font qu’il est très compliqué de deviner le mot de passe derrière la chaîne de caractères. Compliqué, mais pas impossible : c’est là qu’interviennent les dictionnaires. Quand les cybercriminels récupèrent une fuite de données avec des mots de passe hashés, ils sont généralement attachés à d’autres informations comme une adresse email ou un nom.

Pour deviner le mot de passe derrière les hashs, les malfrats vont hasher de leur côté toutes sortes de combinaisons de caractères, et comparer les hashs obtenus avec ceux de la base. Ils vont commencer par rechercher dans la base de données les hashs des mots de passe les plus utilisés comme « motdepasse», « azerty » ou encore « 123456 ». S’ils trouvent une correspondance, ils pourront lier le mot de passe de leur liste avec le hash de la base de données et les autres informations qui y sont attachées.

Informations contenues dans la fuite Ce que sait le malfrat
Jérémy Dupont ; jé[email protected] ; e10adc3949ba59abbe56e057f20f883e MD5(123456)=e10adc3949ba59abbe56e057f20f883e 

L’exemple ci-dessus illustre comment le malfrat découvre que le mot de passe de Jérémy Dupont est « 123456 ». Grâce à sa réussite, il possède désormais une combinaison email / mot de passe, dont il va pouvoir se servir pour tenter de se connecter à plusieurs comptes de la victime.

Les 8,4 milliards de mots de « RockYou2021 » peuvent alimenter ce processus de découverte, mais faut-il encore que ces mots soient pertinents. Par exemple, chercher à découvrir des mots de passe de Français avec un dictionnaire anglais est peu efficace. Les utilisateurs francophones peu soucieux utiliseront « azerty» ou « motdepasse » là où leurs homologues anglophones utiliseront « qwerty » ou «password».

En février 2021, Cybernews avait déjà déclenché un vent de panique inutile dans la presse française. Mais dans ce premier cas, c’était l’interprétation de son article qui était à revoir. Cette fois, c’est le site lui-même qui a publié des informations inexactes.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !