La semaine dernière, une information de Hold Security a fait beaucoup de bruit. La société de sécurité a évoqué le vol de 1,17 milliard de données dont des noms d'utilisateur et mots de passe en relation avec des adresses email. Après analyse, Hold Security a déterminé que cet énorme butin amassé par un hacker russe était en réalité constitué de 272 millions de données d'identification uniques.
Sur un forum en ligne, ledit hacker demandait 50 roubles pour l'accès aux données volées… soit même pas 1 €. Un prix totalement ubuesque au marché noir pour une telle quantité de données volées. En flattant l'ego du prétendu hacker avec un J'aime à la manière d'un commentaire sur un réseau social, Hold Security a même pu mettre gratuitement la main sur un fichier compressé de 10 Go.
Dans un communiqué, Hold Security a comparé le hacker russe à un " collectionneur " ayant tiré parti de plusieurs brèches de sécurité, tout en laissant entendre que son butin n'était pas de première fraîcheur. Sur les 272 millions de données d'identification uniques, 42,5 millions n'auraient pas été précédemment repérées dans des fuites.
La curieuse attitude du hacker russe a légitimement attiré la suspicion sur un coup de com', et y compris de la part de Hold Security. Par ailleurs, il faut garder à l'esprit que les mots de passe découverts peuvent être en rapport avec des comptes en ligne où l'adresse email est utilisée comme nom d'utilisateur, et pas pour le compte mail lui-même.
Parmi les fournisseurs de messagerie concernés, Mail.Ru - qui serait le plus touché avec 57 millions de comptes - écrit que 99,9 % des données de la base de données reçue par Hold Security sont invalides. Mail.Ru ajoute que seulement 0,018 % des combinaisons de nom d'utilisateur et mot de passe dans l'échantillon analysé auraient fonctionné. Les utilisateurs affectés ont été prévenus pour une réinitialisation de leurs mots de passe.
Ars Technica a également obtenu une réponse de Google (23 millions d'adresses Gmail affectées). Plus de 98 % des identifiants de comptes Google dans la fameuse base de données sont considérés comme faux. De son côté, Yahoo (40 millions de comptes potentiellement compromis) estime qu'il n'y a aucun risque important pour ses utilisateurs.