1,9 milliard de mot de passe GMail piratés

Il y a 1,9 milliard de mots de passe et de noms d’utilisateurs piratés disponibles sur le marché noir et jusqu’à 25 % d’entre eux continueront à fonctionner sur un compte Google.

– Des milliards de noms d’utilisateurs et de mots de passe piratés sont disponibles sur les forums du marché noir.
– En utilisant des données internes de Google, les chercheurs ont trouvé entre 7 % et 25 % de ces mots de passe piratés sur un compte Google ou GMail.
– Les utilisateurs GMail, Yahoo et Hotmail représentent 50 % des victimes de mots de passe hackés dans l’étude même si les mots de passe ont été piratés à partir de différents services tels que MySpace ou LinkedIn.

Il y a des centaines de millions de noms d’utilisateur et de mots de passe échangés sur les marchés noirs qui peuvent être utilisés pour accéder aux comptes Google, écrire Google et chercheurs Berkeley dans un nouveau document majeur.

L’étude, publiée le week-end, utilise les «données propriétaires» internes de Google, soigneusement contrôlées, pour voir si les mots de passe GMail piratés et autres comptes échangés sur des forums hackers et le web sombre fonctionnent réellement sur des comptes réels.

Il se trouve, écrivent les chercheurs, que jusqu’à 25 % des mots de passe exposés provenant des piratages de données échangées sur les forums du marché noir pourraient être utilisés pour prendre le contrôle d’un compte Google.

Il y a plus de 1,9 milliard de noms d’utilisateurs et de mots de passe sur les forums du marché noir, écrivent les chercheurs.

Fondamentalement, cela signifie que beaucoup de gens ont utilisé le même mot de passe pour leur compte MySpace et leur compte Google, puis lorsque la base de données de MySpace a été piratée, les pirates pouvaient simplement essayer tous les mots de passe piratés sur Google.

MySpace n’est pas le seul grand site qui a vu sa base de données de noms d’utilisateurs et de données de mot de passe associées enfreintes.

Ce problème de réutilisation des mots de passe a donné lieu à certains des «hacks» les plus médiatisés de ces dernières années. Par exemple, le PDG de Facebook Mark Zuckerberg a utilisé le même mot de passe «dadada» pour ses comptes Twitter et Pinterest, qui ont été brièvement repris en 2016 par des pirates informatiques se faisant appeler l’équipe OurMine.

OurMine, qui aurait utilisé des mots de passe piratés, a également ciblé le PDG de Google, Sundar Pichai, l’acteur Channing Tatum et le directeur technique d’Amazon Werner Vogels.

Les chercheurs ont également examiné les éléments spécifiques des logiciels malveillants utilisés pour le phishing et pour enregistrer secrètement ce qu’un utilisateur tape.

Les outils d’hameçonnage sont utilisés pour inclure des liens dans de faux courriels affichant des sites Web qui ressemblent à Yahoo ou à Hotmail, de sorte qu’un utilisateur non averti tape simplement ses mots de passe dans le site sommaire. Il y a 12,4 millions de victimes potentielles de ces kits, écrivent les chercheurs.

Il existe également des milliers de « keyloggers » différents, qui s’exécutent sur l’ordinateur d’une victime et transmettent des informations à un attaquant, selon le rapport. Ces keyloggers ont des noms comme « HawkEye » ou « Cyborg Logger ».

Il s’avère, bien qu’il y ait beaucoup de développeurs qui vendent et distribuent ce type de malware, il n’y a pas eu de mises à jour sur la façon dont la technologie de base fonctionne depuis des années.

« Comparé aux capacités des keyloggers et des kits d’hameçonnage datant du milieu des années 2000, nous observons un manque marqué de pression sur les développeurs de blackhat pour qu’ils développent leurs technologies de base », écrivent les chercheurs.

« Les kits d’hameçonnage rapportés il y a près d’une dizaine d’années s’appuient toujours sur le même squelette PHP et sur la même approche pour signaler les informations d’identification volées ».
Les chercheurs disent qu’il existe quelques étapes faciles entreprises comme Google et les utilisateurs peuvent prendre pour se protéger.

Les chercheurs recommandent l’authentification à deux facteurs, ce qui signifie que lors de la connexion, un utilisateur aurait besoin d’une clé de sécurité spéciale ou de taper un code envoyé par un message texte pour accéder à un compte.

Les chercheurs recommandent également d’utiliser un gestionnaire de mot de passe, qui crée un nouveau mot de passe aléatoire pour chaque site, donc si un site est piraté, alors les pirates n’ont pas accès à vos autres comptes, surtout votre email.

Une autre chose facile à faire est de ne pas utiliser un mot de passe GMail non sécurisé, en particulier l’un des mots de passe les plus couramment utilisés comme « 123456 » ou « abc123 », surtout si vous êtes un Américain quatre fois plus inquiet que tué.

« Pour tous les utilisateurs de Google dans notre ensemble de données, nous re-sécurisé tous les comptes via une réinitialisation forcée mot de passe dans le cas où leurs pouvoirs réels ont été exposés », ont noté les chercheurs.

Des entreprises comme Google devraient envisager d’encourager leurs utilisateurs à suivre ces pratiques aussi, écrivent les chercheurs. L’ensemble du rapport est disponible auprès de Google.

Lisez nos méthodes pour changer son mot de passe sur Gmail.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage