Début mai, Jeremiah Fowler, chercheur en cybersécurité, a découvert une énorme faille : une base de données non protégée qui rassemble des millions d’identifiants et de mots de passe. Cette affaire montre bien que les sécurité des données sur internet restent vulnérables et que ça peut poser de gros problèmes pour les utilisateurs partout dans le monde.
Ce qui a été découvert et contenu de la base
La base, hébergée sur les serveurs du World Host Group, était accessible sans aucun mot de passe. Jeremiah Fowler a immédiatement alerté Website Planet pour signaler cette faille. La base renfermait plus de 184 millions d’identifiants uniques et pesait 47,42 Go. Les infos divulguées incluaient des emails, noms d’utilisateur, mots de passe ainsi que des liens URL qui permettent de se connecter ou d’obtenir certaines autorisations.
Parmi les services touchés, on compte :
- Microsoft
- Snapchat
- Roblox
- Amazon
- Netflix
- PayPal
- Apple
- Discord
On a aussi retrouvé des données concernant des comptes bancaires, financiers et même des portails gouvernementaux dans plus de 29 pays, comme les États-Unis, l’Australie, le Canada, la Chine, l’Inde, Israël, la Nouvelle-Zélande, l’Arabie Saoudite et le Royaume-Uni.
Comment ils ont réagi et les mesures prises
Dès la découverte, Jeremiah Fowler a envoyé un avertissement de divulgation responsable au fournisseur d’hébergement. Grâce à sa réactivité, l’accès public à la base a été limité peu de temps après. Le PDG du World Host Group a expliqué que le serveur était contrôlé par un client frauduleux et a indiqué qu’il collaborait avec les autorités compétentes.
Même avec ces mesures en place, l’origine précise de cette fuite reste floue. Un indice intéressant est le champ « senha », ce qui laisse penser à une possible origine brésilienne ou portugaise. Toutefois, le fait que l’interface soit en anglais complique la piste pour retrouver le responsable.
Méthodes de récolte des données et dangers possibles
Les cybercriminels utilisent plusieurs techniques pour récolter ce genre de données sensibles : emails de phishing, sites web piégés ou fraude par SMS.
Parmi les dangers, le credential stuffing permet aux attaquants d’essayer automatiquement les combinaisons email/mot de passe volées sur plein de sites web. De plus, si la double authentification n’est pas activée, les comptes peuvent être facilement pris en main.
Les conséquences possibles : accès non autorisé à des données sensibles, usurpation d’identité ou phishing ciblé. Ces pratiques représentent une menace tant pour les particuliers que pour les organismes professionnels ou gouvernementaux dont les systèmes pourraient être infiltrés.
Vérification des données et conseils pratiques en cybersécurité
Pour vérifier l’exactitude des données exposées, Jeremiah Fowler a contacté plusieurs adresses email figurant dans la base. Plusieurs personnes ont confirmé que leurs mots de passe étaient corrects et valides. Face à ce type de dangers grandissants, il est vivement conseillé de prendre quelques mesures par mesure de sécurité.
Il est recommandé de ne pas utiliser le même mot de passe pour plusieurs comptes et de les changer régulièrement. Utiliser des mots de passe uniques et difficiles à deviner est aussi une bonne pratique. Par ailleurs, activer l’authentification en deux étapes (2FA) permet de renforcer la sécurité. Des services comme « haveibeenpwned » aident également à vérifier si vos identifiants ont déjà été compromis.