RockYou2024 : beaucoup de bruit pour rien ?

Le site Cybernews a récemment annoncé la publication sur un sombre forum (non précisé) d’une compilation plutôt conséquente de 9.948.575.739 mots de passe uniques en fichier texte (aka RockYou2024.txt). Reprendre cette information avec une musique angoissante et quelques images de sympathiques bipèdes vêtus de l’emblématique hoodie noir, ça peut faire franchement peur… et d’ailleurs, ne nous leurrons pas, c’est bien le but ! Comme nous l’a enseigné maître Yoda, « La peur est le chemin du clic obscur. »

RockYou2024 : alors maître Yoda, c’est grave ?

Je vais être très clair : on s’en tamponne l’oreille avec une babouche (© Pen Of Chaos). Ce qu’il faut bien comprendre, c’est que, depuis que le cyberespace existe, il y a des mots de passe, et que depuis qu’il y a des mots de passe, il y a ce qu’on appelle des « leaks », c’est-à-dire des fuites. Généralement, ces fuites proviennent de bases de données de sites web mal sécurisés (e-commerces, forums, etc.) où les mots de passe des utilisateurs sont stockés en clair (ou presque, hasher en MD5 sans sel en 2024 c’est comme stocker en clair). Moyennant une basique (mais efficace) injection SQL, le pirate met ainsi la main sur un patrimoine fort intéressant de couples login/password qu’il peut à loisir exploiter sur divers sites où d’imprudents quidams ont potentiellement réutilisé le même login (généralement, c’est leur adresse email, donc ce n’est pas vraiment condamnable) et le même mot de passe (là par contre ça relève du pur nihilisme). Passer cette première phase d’exploitation opérationnelle, les données sont revendues plusieurs fois sur le marché noir (pour du phishing par exemple) jusqu’à finalement tomber dans le domaine public. Les emails viennent alors alimenter les carnets d’adresses des spammeurs, alors que les mots de passe vont enrichir les annuaires.

« Tu auras peur ! » (© Yoda)

Car c’est bien de ça dont on parle : RockYou2024.txt n’est au final qu’un simple annuaire de mots de passe destiné aux attaques en brute-force, que ce soit par des black hats (les méchants) ou des white hats (les gentils). Il ne s’agit donc pas d’une nouveauté majeure qui changerait fondamentalement l’équilibre des forces ou bouleverserait la sécurité du cyberespace. C’est juste la mise à jour avec les derniers leaks tombés dans le domaine public de RockYou2023, qui était lui-même le descendant de RockYou2022 et ainsi de suite.

Mais que faire ?

Ce que vous devriez déjà faire depuis des années pour éviter la problématique représentée par RockYou2024 :

1. Utilisez des mots de passe robustes et différents sur chaque site.
2. Activer le MFA/2FA pour tous les comptes critiques (Google, Microsoft, PayPal, banque en ligne, réseaux sociaux, etc.) : si vous perdez la maîtrise de ces comptes, votre vie numérique, mais aussi votre vie réelle peuvent devenir un cauchemar. Ça sera en revanche moins grave si vous ne le faites pas pour ce sombre site roumain où vous achetez vos nains de jardin émo.
3. Plus difficile, utilisez une adresse e-mail différente sur chaque site. Il suffit pour cela de disposer de son propre nom de domaine et de créer un nouvel alias à chaque création de comptes (ça coûte moins de 30€ TTC/an chez OVH). Le plus drôle, c’est que si vous mettez dans l’alias un indicateur qui vous permet de retrouver le site pour lequel il a été créé, vous serez un des premiers informés de la fuite. Accessoirement, une fois l’alias compromis, vous pourrez facilement le supprimer pour ne plus être spammé.
4. Utilisez un gestionnaire de mot de passe pour retenir tout ça (vous n’êtes pas un dieu/une déesse). Évitez comme la peste les gestionnaires en ligne qui ont été ou seront tous piratés un jour ou l’autre. Utilisez plutôt ce bon vieux Keepass qui est open source et dispose de clients pour tous les OS et synchronisez sa base de données (qui est chiffrée) sur vos différents terminaux (laptop, desktop, mobile, etc.) grâce à votre cloud préféré (Google Drive, One Drive, Dropbox, etc.).
5. Si vous voulez savoir si un de vos couples login/password a fuité, n’allez pas rentrer vos données n’importe où au risque de les faire fuiter vous-même. Utilisez plutôt HaveiBeenPwned.com qui est un moteur de recherche de leak de confiance utilisé par tous les bons professionnels.
6. Et sortez couverts !