L’un des nombreux volets de notre offre de Threat Intelligence Serenety consiste à surveiller en permanence la publication de comptes compromis et publiés sur Internet. Ainsi, le CERT-XMCO collecte quotidiennement ce type d’informations mises à disposition publiquement sur Internet ou sur des espaces plus restreints. À ce jour, nous recensons plus de 2,5 milliards de comptes.
Dans ce cadre, une « combo-list » de 41 Go contenant 1,4 milliard d’identifiants a été diffusée cette semaine. Nous avons pu rapidement obtenir cette base de données sur Internet dans l’optique d’en analyser le contenu et de transmettre à nos clients les informations exploitables dans chacun de leurs contextes, qu’il s’agisse de sensibilisation générale des collaborateurs ou de communication spécifiques auprès des utilisateurs concernés et la réinitialisation de leurs mots de passe.
Il est en effet fréquent d’observer que les collaborateurs utilisent par facilité leur compte de messagerie professionnelle pour un usage personnel. Cette mauvaise pratique résulte régulièrement en une compromission de comptes de l’entreprise via la réutilisation des données rendues publiques.
La base identifiée est une « combo-list » ; c’est-à-dire un regroupement de 252 fichiers provenant de bases de données déjà publiées sur Internet. Par exemple, les bases Linkedin, MySpace, Antipublic et Exploit.in, dont nous disposions déjà sont présentes. La particularité de cette nouvelle publication tient dans le fait que l’ensemble des mots de passe (1,4 milliard) ont été cassés et sont disponibles en clair.
Elle a été identifiée tout d’abord par des chercheurs sur des forums du Dark Web et a été publiée plus largement sur Internet le 5 décembre.
Nous avons recueilli la base sur un forum populaire. L’utilisateur à l’origine de sa publication indique vouloir montrer l’importance de la problématique de réutilisation des mots de passe et de la facilité de cassage de ces derniers à l’aide d’outils open source. Il précise également que les données ont été indexées et classées d’après un ensemble de données beaucoup plus important, de près de 600 Go qu’il a également mis à disposition.
Les données se présentent sous la forme d’un dossier contenant des informations sur les bases incluses ainsi que divers scripts utilisés pour sa génération. Par exemple, un script facilite les recherches tandis qu’un autre facilite le calcul du nombre de comptes disponibles (1 338 362 568). Les données en elles-mêmes sont quant à elles disponibles dans un répertoire nommé « data » et classées dans des répertoires et sous-répertoires en fonction des premières lettres de l’adresse email de l’utilisateur.
Les données ont été analysées plus en profondeur par des chercheurs de la société 4iQ.
Le risque étant réel et important pour les entreprises, nous recommandons aux équipes de sécurité qui pourraient bénéficier de service similaire au nôtre de :
- contacter les collaborateurs concernés,
- réinitialiser les mots de passe compromis,
- sensibiliser les collaborateurs à ne pas utiliser leurs adresses professionnelles dans des contextes personnels,
- promouvoir l’utilisation de la fonctionnalité d’authentification à double facteur lorsque celle-ci est disponible.
Par ailleurs pour les utilisateurs finaux, nous recommandons :
- d’utiliser des mots de passe forts et différents pour chaque service,
- d’utiliser un gestionnaire de mots de passe pour le stockage des mots de passe,
- d’utiliser la fonctionnalité d’authentification à double facteur lorsque celle-ci est disponible.
En cas de question, le CERT-XMCO est à votre écoute à l’adresse suivante : cert@xmco.fr.