Les mails d’Have I been pwned ne font pas partie de ceux qu’on aime recevoir un lundi matin. Le service alerte ses utilisateurs sur les fuites de données dans lesquelles votre numéro de téléphone ou votre mail se trouvent. Et dans la nuit du 5 au 6 décembre 2021, le site créé par Troy Hunt a notifié d’une nouvelle fuite qui touche quasiment 114 millions de comptes. Rien que ça.
La faille date d’octobre 2020 et vient de Gravatar, un service d’avatar en ligne qui permet a ses utilisateurs d’utiliser une image sur plusieurs sites, notamment sur Wordpress ou GitHub. Il ne s’agit pas à proprement parler de la fuite d’un fichier d’utilisateur, mais d’un « scraping », c’est-à-dire la récolte d’informations publiques ensuite rassemblées dans un seul fichier. C’est notamment ce qu’il s’était passé pour le fichier regroupant les numéros de plus de 500 millions de comptes Facebook. Une partie des utilisateurs de Linkedin également.
Un suraccident bien plus grave est possible
Have I been pawned a notifié ses utilisateurs que des adresses mails associées aux noms et aux noms d’utilisateurs étaient présents dans le fichier. Ces informations restent utilises à des arnaqueurs pour mener des campagnes de phishing, mais elles ne permettent qu’un ciblage relativement faible, par le peu de précisions dans les données associées au mail (pas de localisation, de numéro de téléphone, de genre etc.).
Interrogé par Cyberguerre, Troy Hunt confirme que seules ces informations (mails, noms et noms d’utilisateurs) étaient dans le fichier. Mais la faille est en réalité plus grave. Comme l’explique le chercheur Carlo Di Dato à Bleeping Computer en octobre 2020, il était possible d’accéder à bien plus de données. À partir d’une faille, le chercheur a montré qu’il est possible d’accéder à une liste de comptes liés à l’utilisateur, mais aussi, dans certains cas, de retrouver des adresses de portefeuilles BitCoin, des numéros de téléphone ou encore des données géographiques. Ce serait le manque de réaction de Gravatar qui a amené Carlo Di Dato à parler à la presse, une situation malheureusement assez commune.
« Bien sûr qu’à partir [du leaks notifié par Have I been pawned] on peut retirer plus de données directement dans Gravatar, donc il est certainement possible que l’impact soit plus grand si des gens le font », réagit Troy Hunt auprès de Cyberguerre. Mais la menace reste difficile à préciser dans la mesure où un tel fichier n’a pas encore été observé. Si vous êtes concernés par cette fuite, il est surtout conseillé de rester attentifs à de potentielles campagnes de phishings personnalisées.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !