Infostealers et brèches : le retour de la menace des combolists

Hier 25 février, Have I Been Pwned (HIBP) a ajouté à sa base de données d’identification de comptes compromis celles de près de centaines de millions d’entre eux. Le chiffre est impressionnant, mais il ne s’agit pas d’une fuite véritablement inédite, plutôt d’une compilation.

La liste en question, baptisée ALIEN TXTBASE provient d’une chaîne Telegram, accessible uniquement sur invitation, où deux fichiers texte de détails de comptes compromis sont divulgués chaque jour. Chacun pèse plus de 3 Go non compressé et compte près de 5 millions de lignes, en moyenne. Ces fichiers sont numérotés. A l’heure où sont publiées ces lignes, ils ont déjà été plus de 770.

Troy Hunt, créateur et administrateur de HIBP, indique, dans un billet de blog, avoir traité de l’ordre de 1,5 To de données, à partir de fichiers contenant 23 milliards de lignes avec 492 millions de couples adresse e-mail/site Web uniques, et affectant 284 millions d’adresses e-mail uniques.

Ce n’est pas une première. En juin 2024, le célèbre service permettant de vérifier – et d’être alerté – si des identifiants de ses collaborateurs ont été compromis s’est enrichi de données relatives à 151 millions d’adresses e-mail jamais vues jusqu’ici.

Ces données provenaient combolists vraisemblablement constituées en tout ou partie à partir des innombrables logs d’infostealers partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées.

Mais ce n’est pas tout. Les équipes de d3lab se sont penchées sur les données tout juste intégrées à HIBP. Leurs analyses font ressortir la présence de données aléatoires et recyclées, voire corrompues ou structurellement erronées. 

Pour d3lab, c’est simple, « ALIEN TXTBASE n’est pas une brèche de données majeure mais plutôt un mélange chaotique de jeux de données sans rapport les uns avec les autres ». Certains sont vieux, « fabriqués ou volés de fuites précédentes ».