Une fuite de 16 milliards d’identifiants ? Tout sauf une surprise

La nouvelle a fait l’effet d’une bombe, dans la nuit du 19 au 20 juin : un trésor de 16 milliards d’identifiants aurait été découvert par Cybernews. « Des réseaux sociaux et plateformes d’entreprise aux VPN et portails de développeurs, tout a été passé au crible ». Impressionnant.

Sans surprise, la nouvelle a vite été largement reprise à travers le monde, avec des titres plus ou moins sensationnels, et les commentaires de multiples experts prompts à proposer leurs commentaires par le truchement de leurs attachés de presse zélés. Certains commentateurs sont même allés jusqu’à parler de « cyberattaque géante », d’événement « sans précédent dans l’histoire de la cybersécurité ». Angoisse. Ou pas.

Sur un canal Telegram spécialisé dans la distribution de logs de cleptogiciels, ou infostealers, nous avons vu passer, le 19 juin, de l’ordre de 30 Go d’archives compressées de données d’authentification. Sur un seul canal. C’est beaucoup pour une seule journée. Mais ce n’est probablement qu’une compilation.

Souvenez-vous : il y a un an, Troy Hunt, créateur de Have I Been Pwned, recevait 122 Go de données issues de cleptogiciels. Il s’agissait d’environ 1 700 fichiers contenant plus de 2 milliards de lignes de combinaisons d’identifiant et mot de passe, parfois complétées des URL des services en ligne où ont été créés les comptes correspondants.

Au total, il y a environ 361 millions d’adresses e-mail uniques, dont près de la moitié était jusque-là inconnue de Have I Been Pwned.

Il s’agissait de combolists vraisemblablement constituées en tout ou partie à partir des innombrables logs d’infostealers partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées.

L’une de ces listes a tout récemment été constituée et partagée par Stormous pour certains services et applicatifs numérique de l’Éducation nationale.

Pour mémoire, Recorded Future a compté plus de 43 638 000 identifiants compromis en France en 2023, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock avait, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023. En 2024, il fallait compter avec plus de 25 millions d’identifiants compromis en France par cleptogiciel, selon Recorded Future.

Récemment, à l’occasion de la présentation de son rapport d’activité pour l’année écoulée, le CERT Santé relevait que « le déploiement de ces rançongiciels est souvent lié à l’utilisation d’infostealers dans les chaînes d’infection », soulignant la menace que représentent encore actuellement les cleptogiciels. Chaque semaine, depuis plusieurs années, le CERT Renater recense des détections de compromission par infostealer de dizaines, voire de centaines, de PC connectés à son réseau.

De son côté, Mandiant avait indiqué que, pour près de 40 % des cyberattaques sur lesquelles ses équipes étaient intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par infostealers. Pour les cas référencés par ransomware.live en 2024, ce sont plus de 45 % qui présentent la marque possible d’un cleptogiciel, selon les données d’Hudson Rock.

La trouvaille de Cybernews aura peut-être, avec l’écho dont elle bénéficie, un effet bénéfique, à compter qu’elle puisse servir d’électrochoc pour cette menace encore méconnue des cleptogiciels, malgré les alertes répétées des dernières années.