C’est Troy Hunt qui a, le premier, découvert cet incroyable pot-aux-roses. Ce spécialiste australien de la sécurité sur le web passe son temps à repérer les méfaits des hackers et les données personnelles sensibles qu’ils récupèrent. Son service Have I been Pwned ? permet à tout un chacun de savoir si ses données personnelles ont été hackées.

Première découverte début janvier 2019

Début janvier, donc, il y ajoute pas moins de 773 millions d’adresses uniques et 21 millions mots de passe. Cette base de données piratées prend alors le nom de Collection #1, du nom de son fichier source partagé. Au total, ce sont 1,16 milliard de combinaisons mail-mot de passe.
Un fichier pesant pas moins de 87 Go. Un très gros poisson, donc, stocké sur MEGA, le service de cloud de Kim Dotcom. Ne le cherchez pas, il a disparu, les pirates l’ont supprimé dès que les médias ont révélé son existence.

Un tel nombre d’adresses rassemblées par les hackers, c’est déjà une première. « C’est le résultat de plusieurs années de collectes, provenant de diverses sources sur le darknet, à l’instar de la récente fuite de données qui a récemment affecté des personnalités politiques et publiques, ainsi que des journalistes en Allemagne, explique alors à Global Security Mag, Ladislav Zezula, chercheur chez Avast, société spécialisée dans la sécurité informatique. Le dévoilement de cette Collection #1 devrait servir d’électrochoc pour la population mondiale ».

Et d’annoncer que la Collection #1 allait bientôt servir pour élaborer des escroqueries de phishing et recourir au chantage.

Des données remontant à 2008

Selon Troy Hunt, la plus ancienne donnée date de 2008, d’autres enregistrements sont plus récents. La base a donc été constituée en concaténant divers piratages.
Evidemment, Troy Hunt et tous les experts de cyber-sécurité sonnent l’alarme invitent chacun à utiliser un gestionnaire de mots de passe. Les médias spécialisés relaient l’information.

Deuxième épisode

Deuxième épisode saison 1, le 30 janvier 2019. Des chercheurs allemands découvrent que Collection #1 a des petites soeurs : Collections #2-5.
Au total, ils découvrent que les pirates ont mis au point une base de données personnelles piratées qui pèsent pas moins de 845 Go et 25 milliards d’enregistrements en tout. Soit trois fois la taille du premier batch Collection #1 ! On atteint désormais 2,2 milliards d’adresses avec mots de passe.
Les voici quasiment en libre-service, accessibles aux petits malins du darknet.

« C’est la plus grande collection de violations que nous n’ayons jamais vue », déclare à Wired Chris Rouland, chercheur en cybersécurité et fondateur de la société de sécurité IoT, Phosphorus.io, qui a extrait Collections 1 à 5 ces derniers jours à partir de fichiers torrent.

Selon lui , la base a déjà largement circulé parmi les hackers underground: il a pu voir que le fichier de suivi qu’il avait téléchargé était « ensemencé » par plus de 130 personnes qui possédaient la copie de données et qu’il avait déjà été téléchargé plus de 1 000 fois.

Faut-il avoir peur ?

Certes, il y a, on l’a dit, beaucoup de vieilles données dans ces bases.
Le site Wired a pu examiner un échantillon de données. Il confirme qu’il s’agit principalement de mots de passe récupérés lors de fuites vieilles de plusieurs années.

Ceci étant dit, David Jaeger, chercheur au Hasso Plattner Institute, qui a étudié le reste des « collections » estime que certaines parties des données proviennent du piratage automatisé de sites Web plus petits, ce qui signifie qu’une partie importante des mots de passe sont divulgués pour la première fois.

Economie du piratage

Les chercheurs pensent surtout qu’on a là, pour la première fois, une sorte de partie émergée d’un iceberg correspondant à la monétisation de données de la fraude.

Tout en bas des données chères, rares et récentes pour les hackers les plus spécialisés. Une fois ces données utilisées, elles arrivent sur le marché « de l’occasion » pour des hackers moins doués, et ainsi de suite, jusqu’à arriver en quelque sorte dans le domaine public, ce qui vient de se produire.

Chris Rouland déclare à Wired que « ce n’est pas le plus gros piratage du monde, c’est en revanche la première fois qu’on voit cela circuler avec une telle fluidité ».

Et c’est sans doute cela le plus inquiétant. Ces Collection#1 à 5 ressemblent au lancement d’une édition à grand succès : « le phishing et l’art de la rançon pour débutant ».

On peut vérifier ici  si son nom d’utilisateur se trouve concerné à l’aide de l’outil de Hasso Plattner Institute.