Mot de passe compromis : vérifier si un compte a été piraté

D’immenses bases de données contenant des millions voire des milliards de mots de passe de comptes en ligne circulent sur le Dark Web. Des services en ligne vous permettent de vérifier si vous êtes concerné.

En février 2021, une gigantesque base de données comprenant une compilation d’environ 3 milliards de mots de passe piratés durant plusieurs années avait été démasquée. Baptisée COMB (pour compilation of many breach ou compilation de nombreuses violations en français), elle comprenait, entre autres, des identifiants pour Netflix, LinkedIn mais aussi des comptes Gmail et Hotmail.

Début juin, une nouvelle base de données piratées a été diffusée sur des forums de hackers sur le Dark Web, comme l’ont détecté les spécialistes de CyberNews. Et il ne s’agit pas moins de la plus grosse compilation de sésames jamais élaborée jusqu’à présent. Au sein d’un fichier texte de 100 Go, figurent ainsi de 8,4 milliards de mots de passe interceptés par des pirates. Baptisé RockYou2021 – pour faire suite à une première fuite de sésames organisés dans un fichier nommé RockYou et décelée en 2009 –, ce fichier contient des mots de passe de composés de 6 à 20 caractères, sans caractères non ASCII et sans espaces. Un record !

Le volume surprenant de données qu’il contient est dû à deux facteurs. D’une part, il embarque les bases de données précédentes agrémentées de nouvelles données piratées. D’autre part, il accumule un grand nombre de mots de passe (non associés à un identifiant) provenant plusieurs dictionnaires. Ces mots de passe sont utilisés dans le cas d’attaques par force brute. Cette méthode consiste à utiliser un logiciel s’appuie sur un dictionnaire de mots de passe pour tenter d’accéder à un compte en les essayant les uns après les autres jusqu’à dénicher le bon sésame.