Je l’ai déjà dit, mais je pense qu’il faut réitérer le message, tant il est important. N’ouvrez JAMAIS une pièce jointe dans un e-mail, si c’est un .exe (bien sûr), un .bat, un .pdf, un .ppt, enfin en ce qui me concerne c’est assez simple à part les .jpg (et encore !) je n’ouvre jamais RIEN, ne cliquez sur AUCUN lien dans un email. L’intitulé peut paraître sûr, mais l’hyperlien vous envoit vers un site copié/détourné de votre banque, de la CAF, ou je ne sais quoi, pour vous faire saisir vos identifiants (Rendez-vous directement sur les sites que vous voulez consulter via la barre d'adresse de votre navigateur ou vos favoris).
Plus généralement, soyez totalement paranoïaque en matière d’informatique, et assumez-le. Andrew S. Grove l'ancien PDG d’Intel avait pour coutume de dire « seuls les paranoïaques survivent... » et dans son secteur fortement concurenciel il savait de quoi il parlait...
Attention, je ne dis pas que cela vous permettra de dormir sur vos deux oreilles, mais disons que ce sera déjà un énorme plus.
Je vous conseille aussi de vous inscrire sur le site https://haveibeenpwned.com/ (ou celui de Zataz en français), afin d’être averti si vos e-mails ou mots de passe ont été compromis dans une fuite majeure de données (comme en ont été victimes ces C......... de Dailymotion par exemple, exposant ainsi par négligeance les e-mails et mots de passe de millions d'internautes).
Un gigantesque répertoire contenant 2,2 milliards d'identifiants volés, l'un des plus gros de l'histoire, a été découvert et partiellement analysé par des experts en cybersécurité.
Cette découverte est directement liée à celle de la Collection 1, une banque de données dont le chercheur en sécurité informatique Troy Hunt avait appris l’existence il y a deux semaines. Cette première collection contenait 772 millions d’adresses courriel et 21 millions de mots de passe volés au fil des ans par différents pirates.
Rapidement, d’autres chercheurs ont appris qu’il existait quatre autres banques de données du même genre, les Collections 2 à 5. Celles-ci portent le total à 2,2 milliards d’identifiants compromis.
Ces nouvelles collections occupent 845 Go d’espace de stockage, soit l’équivalent de 845 fois l’Encyclopædia Britannica, qui contient 44 millions de mots.
Une mine d’or pour les pirates
Ces milliards d’identifiants peuvent servir à mener des attaques par bourrage d’identifiants. Ce type d’attaque consiste à utiliser un programme informatique pour tenter de se connecter à de multiples sites en se servant d’identifiants volés ailleurs sur le web. Cette méthode s’appuie sur le fait que de nombreuses personnes utilisent le même mot de passe sur plusieurs services.
Des pirates peuvent ainsi avoir accès à énormément de données sur une personne, ce qui permet de la menacer avec du chantage en échange d’argent. Dans certains cas, les attaquants pourraient même parvenir à accéder au compte bancaire d’une victime et lui dérober de l’argent.
Un répertoire bien connu
Les Collections 1 à 5 semblent être bien connues dans le milieu du piratage, puisque des indices montrent qu’elles ont déjà beaucoup circulé. Chris Rouland, un chercheur en cybersécurité interrogé par Wired, a remarqué que le fichier qu’il a téléchargé était partagé par 130 personnes et avait déjà été obtenu par 1000 internautes.
Ce répertoire a beaucoup de valeur pour les pirates, puisqu'il contient plusieurs centaines de millions d'identifiants qui n'avaient, apparemment, jamais été volés auparavant. De nombreux identifiants semblent toutefois provenir de piratages relativement vieux : une bonne partie est issue des attaques contre LinkedIn et Dropbox, en 2012.
Comment se protéger?
Il est fortement recommandé d’activer la validation en deux étapes sur tous ses comptes en ligne, lorsque ce service est offert. Les sites qui l’utilisent vous demanderont alors d’entrer votre mot de passe pour vous connecter ainsi qu’un code unique envoyé par le biais d’une application ou par message texte. Cela minimise les risques qu’une personne autre que vous puisse se connecter à votre compte.
Il est également conseillé d’utiliser des mots de passe différents pour chaque service web et de les changer régulièrement pour se protéger contre des attaques par bourrage d’identifiants. Des gestionnaires de mots de passe comme 1Password ou LastPass peuvent faciliter cette pratique.
Enfin, vous pouvez vous rendre sur le site de l’ (Nouvelle fenêtre)Hasso Plattner Institute pour vérifier si votre adresse courriel fait partie de celles contenues dans les Collections 1 à 5.
Source : Ici.radio-canada.ca
Informations complémentaires :
