2019 sera forte en mots de passe volés – le record est battu !

2019 sera forte en mots de passe volés – le record est battu !

 

2019 commence par un record battu ! 

Des compilations de plusieurs centaines de Giga sont apparues, d’abord en vente sur le darknet puis échangées par torrents à partir de plusieurs forums, sous les noms :« Collection #1 à 5 » ou « bigDB »

Un record battu ?

Nous avons pu additionner ces bases, et c’est un total de plus d’1To de fichiers contenant des identifiants volés.

Après analyse nous dénombrons un total de :

  • 189 Go soit plus de 8 milliards de comptes uniques compromis avec leur mot de passe en clair.
  •  301Go de mots de passe au total, qui vont agrémenter les dictionnaires de mots de passe des attaquants sur internet, pour mener d’autres attaques. On se rend alors vite compte des mauvaises pratiques de réutilisation du même mot de passe sur plusieurs sites ! 

C’est à coup sûr la plus grosse fuite de comptes sur le darknet !

 

Qu’y-a-t-il dans ces fuites ? d’où proviennent-elles ?

En une phrase : des listes d’adresses mail associées à leurs mots de passe en clair.

Le premier point à garder à l’esprit c’est que personne n’est en mesure de valider avec certitude que l’ensemble de ces mots de passe sont/ont été réels et qu’ils proviennent des sources citées dans les noms des fichiers.

Nous avons cependant pu valider avec certitude que certains de ces mots de passe figurent dans d’autres bases compromises lors d’attaques précédentes (des campagnes de phishing, des attaques par injections SQL ou des compromissions de bases accessibles à tous sur internet par exemple).

Ces bases pour certaines datent de 2010, les mots de passe ont donc été fonctionnels à un instant t.

Nous avons notamment découvert la présence de nombreuses fuites précédemment identifiées lors des attaques suivantes :

  • Adobe (2010)
  • Dropbox (2012)
  • Linkedin (2011-2013)
  • Badoo (2013)
  • Tumblr (2013)
  • Lastfm (2016)

Mais pas seulement ! 

Nous avons noté plus de 5500 sites uniques en « www » d’après les noms de fichiers, dont certains en extension FR.

On y retrouve tous les types de site web possibles : sites ministériels, militaires, institutionnels, e-commerce, bancaires, personnels, hébergeurs, forums… personne n’est épargné.

Ces mêmes noms de fichiers dévoilent des fuites liées à des attaques de Novembre et Décembre 2018, où même de 2019.

Enfin, de nombreux noms de fichiers génériques ne permettent pas de connaître la potentielle provenance de ces fuites.

Il semble donc que ces compilations soient :

  • Composées de mots de passe provenant directement de :
    • Bases de données volées en clair, ou dont l’empreinte a été cassée 
    • Campagnes de phishing

  • En provenance d’une ou de plusieurs personnes ayant collecté et assemblé des centaines de bases de mots de passe de sources diverses et variées :
    •  Des attaques connues et des bases déjà présentes sur internet
    •  Des attaques non connues du grand public et des bases de données échangées sur le darknet

Cependant, retracer l’origine et valider la véracité de chacun des mots de passe fuités est impossible pour plusieurs raisons :

  • Les mots de passe présents peuvent parfois avoir été générés pour augmenter la valeur d’une fausse base de données lors d’une revente sur le darknet
  • Ils peuvent avoir été corrompus par les manipulations des divers pirates ayant récupéré ou compilé ces bases
  • Ils peuvent avoir été changés depuis leur vol et ne sont donc plus fonctionnels
  • La personne ayant diffusé les bases n’est pas forcément celle qui les a volées

D’autre part, la mauvaise pratique de l’utilisation d’un même mot de passe sur plusieurs sites ne permet pas de deviner l’origine de la fuite à partir de celui-ci. La seule personne capable de valider la véracité des données est alors la victime de chacun de ces vols.

 

A quoi servent ces fuites de mots de passe pour les attaquants ?

Il est possible de lancer des attaques grâce à ces informations volées :

  • Par opportunisme : en utilisant chaque compte fonctionnel, peu importe la cible
  • Ou des attaques ciblées : rechercher une personne ou une entreprise en particulier, et les mots de passe associés

Les buts souhaités par les attaquants sont en majorité lucratifs : 

  • Récupérer directement des données personnelles (voire d’autres identifiants) afin de les revendre ou les usurper 
  • Usurper les accès à des systèmes de paiement 
  • Récupérer des accès à des messageries voire des systèmes d’information (via les accès distants VPN et Remote Desktop notamment) afin de :
    • Déployer des « ransomwares » (rançongiciel, cryptolocker). A noter que depuis Décembre 2018 nous notons une recrudescence des attaques de botnets Remote Desktop liés à ces malwares.
    • Déployer des « mineurs » de cryptomonnaies
    • Revendre les accès 
    • Faire chanter les victimes de ces vols de mots de passe en leur réclamant une rançon directement par mail 

Comment savoir si on est impacté ?

Il existe plusieurs méthodes pour découvrir si un de nos compte est compromis : la vérification dans la fuite ou… les journaux d’accès :

  • On peut vérifier si on est impacté à partir de l’adresse mail en fouillant ces fuites de données, sous réserve d’avoir pu les récupérer, ce qui n’est pas toujours possible, et qui nécessite des capacités de veille permanente, ainsi que du stockage et une bande passante conséquente.
  • Des services en ligne sont également en place pour être alerté lors d’une nouvelle fuite ou pour vérifier si notre compte est présent dans celles déjà connues : on note notamment le site réputé www.haveibeenpwned.com de Troy Hunt, ou les extensions Firefox Monitor ou Google Password Checkup.

Cependant, la transmission de l’adresse mail (voire le mot de passe) vers le service en mode SaaS est nécessaire, ce qui peut être embarrassant.

  • Les journaux d’accès lorsqu’ils existent et qu’ils sont correctement configurés permettent de consulter les tentatives de connexions échouées et/ou réussies.

La présence d’adresses IP inconnues ou une recrudescence du nombre de tentatives échouées ou même de connexions réussies doit alors immédiatement alerter et demander un changement immédiat du mot de passe. Par mesure de sécurité, il est recommandé de changer l’ensemble des mots de passe vitaux régulièrement pour ce type de risque.

 

Comment se protéger ?

Pour se protéger des fuite de données et des attaques qui peuvent en découler, il faut adopter une stratégie de défense en profondeur. Les points d’entrée pouvant mener à une fuite de données sont malheureusement très nombreux. Un bon point de départ est évidemment le test de sécurité, pour rechercher les failles. Pour les organisations les plus matures, l’approche « red team » ciblée sur un scénario de vol de données prend également tout son sens.

Au-delà de l’audit, il faut également déployer des mesures de réduction du risque. En ce qui concerne le mot de passe, tout a été dit à ce sujet. Tout et son contraire ? Les annonces du NIST en 2017 ont ébranlé les convictions de certains. Pour d’autres, il faut toujours un bon vieux mot de passe, très robuste et fait de caractères tout aussi variés que complexes. Il n’en reste pas moins un sujet délicat à gérer.

 

Pour aller plus loin, il est temps d’adopter l’authentification à deux facteurs. Même après un vol de mot de passe, les identifiants ne pourront plus être utilisés. Les solutions sont de plus en plus accessibles et sont particulièrement adaptées aux services en ligne et aux grands clouds bureautiques… s’ils ne tombent pas en panne !

Jérémy L, Auditeur Sécurité, Advens