Un pirate diffuse 258 268 714 nouvelles lignes de données piratées. On vous explique le contenu d’un fichier qui pourrait rapidement devenir votre problème sur Internet.
Il y a quelques jours, la presse reprenait un communiqué annonçant la découverte d’une base de données de 16 milliards d’informations piratées chez Google, Facebook et autres comme Instagram. Rien de « nouveau », même si de nombreux médias ont repris l’information comme une fuite exceptionnelle, alors qu’il n’en était rien. Trois mois auparavant, c’était plus de 20 milliards qui étaient affichés par une autre entreprise américaine. Bref, une addition de plusieurs bases de données constituées par des pirates, sur plusieurs années. Des bases de logs.
Sauf que derrière ces effets d’annonce, une triste réalité : l’infiltration d’ordinateurs par des outils malveillants baptisés Infostealer (ou encore Cheval de Troie, Trojan, RAT, …). Voici un exemple repéré par ZATAZ.
Moissonneurs de données piratées
Un groupe de pirates spécialisés dans les stealers diffuse, quatre fois par jour (sic!), entre 10 et 20 millions de lignes de logs (URL : ID : mot de passe). Soit, 40 à 80 millions de logs par jour ! Ils diffusent d’abord dans leur espace VIP (ce qui est le cas pour cette analyse), puis ensuite, entre une semaine et un mois plus tard, en public, sur différents canaux de communication sur le web et dark web. Ces hackers malveillants exploitent ces logiciels pirates sous au moins 5 noms différents.
Pourquoi diffuser ces contenus ? Pour promouvoir leur outil pirate qu’ils louent ou encore pour inviter à utiliser leurs boutiques installées dans le dark net (dark web et sur des bots Telegram).
Cette semaine, ZATAZ et le Service Veille de ZATAZ ont pu mettre la main sur 258 268 714 logs différents, diffusés par ces pirates malveillants.
En voici une analyse pour bien comprendre le fond du problème.
Géographie des données compromisesDans ces 258 millions de logs, 1 405 854 concernent des Français et des Françaises. La Belgique s’en sort plutôt bien, le Luxembourg est anecdotique (ou alors il y a beaucoup de gens très prudents), la Suisse se défend. Le Québec apparaît sous deux formes (QC et QUEBEC).
Volumes globauxBE : 121 646 | LU : 2 988 | CH : 55 780 | QC : 8 467 | QUEBEC : 149
Le nombre total de lignes est de 258 268 714. Nombre d’adresses électroniques différentes : 254 038. Le ratio emails/lignes est très faible ! Cela sent la redondance extrême. Au moins, 250 000 ordinateurs différents infiltrés. Même mails répliqués sur des tonnes de comptes/services. Des internautes qui utilisent la même adresse électronique partout, tout le temps.
Sur ces 258 millions de logs, le nombre de mots de passe uniques est de 20 126 466. Là encore, la diversité existe, mais comparée au nombre de lignes, la réutilisation et la faiblesse restent le pain quotidien des utilisateurs.
Chaque mail apparaît en moyenne dans 1 017 lignes.
Top des mots de passe les plus fréquents
Rien de neuf sous le soleil de la cybersécurité, mais c’est toujours aussi désespérant. « 123456 » (292 865 fois) ; « 12345678 », « 123456789 », « admin », « 1234 », « 12345 », « password ».
7,79 % des lignes contiennent un mot de passe unique. Autant dire que c’est ridiculement bas. 1,26 % d’adresses électroniques uniques pour chaque mot de passe unique. Côté rassurant, ces mots de passe représentent 742 077 occurrences, soit 0,287 % de toutes les lignes. Le mot de passe “123456” est encore utilisé près de 300 000 fois. 2025, même combat, même flemme !
Ce podium ferait pleurer n’importe quel RSSI.
Pour la France : le champion local, concernant cette base de données malveillante, c’est “196rc110”. Étrange, à surveiller, peut-être lié à un service spécifique ? Suivi par “123456” (classique !), puis des prénoms (“clémence”, “Claire”, “Omar”). Typique d’une base francophone. Dans le « Top » des URLs (plateformes les plus touchées), les suspects habituels : Google/Google Accounts/Gmail (12 millions). Les utilisateurs pensent que “mot de passe unique” rime avec “mot de passe universel”.
Viennent ensuite Roblox (3 550 306 fois), Facebook (3 230 407 fois), Microsoft Live (2 678 678 fois). Les plateformes très grand public sont logiquement très présentes dans ce genre de dumps. La surreprésentation des URLs d’authentification annonce clairement de futurs (si ce n’est pas déjà fait) phishing/hameçonnages, accès non autorisés et utilisation massive de credentials stuffing.
Pour la France, amazon.fr (60 830 fois), hotmail.fr (37 969 fois), sfr.fr (24 886 fois), yahoo.fr (24 367 fois) et « authentification-candidat.pole-emploi.fr » (21 424 fois) sont le top 5 des cibles les plus présentes. ZATAZ vous propose d’ailleurs gratuitement la liste complète des sites web présents dans cette base de données. Nous avons référencé 68 237 sites concernés. Les géants du e-commerce, du webmail et des services publics, encore et toujours. Pôle Emploi/France Travail dans le top 5. Le social engineering doit s’en donner à cœur joie auprès des chercheurs d’emploi.
Les comptes « FR » sont minoritaires en volume (0,54 %), mais constituent le principal public francophone.
Ce que disent ces chiffres
Les utilisateurs ne changent pas : les pires mots de passe sont indémodables. Le marketing de la malveillance des pirates est toujours aussi actif et présent. Ils offrent 258 millions de logs. Ils en ont 2,5 milliards à vendre. Des logs jamais utilisés. La réutilisation massive d’adresses électroniques. Peu de mails uniques, mais des lignes à gogo. Une même personne, et des identifiants utilisés partout.
La majorité des attaques sont opportunistes, pas ciblées. Les plateformes massives, les services publics, et les sites mainstream sont les premières victimes.
C’est quoi un infostealer ?
Un infostealer, c’est comme un voleur invisible sur Internet. Imaginez un petit robot-espion qui se glisse dans votre ordinateur ou votre téléphone sans que vous vous en rendiez compte. Son but ? Voler des informations qui vous appartiennent (mots de passe, messages, captures d’écran, etc.).
Bref, il cherche partout automatiquement dans votre ordinateur : il fouille dans vos fichiers, votre navigateur, ou vos applis. Il copie les mots de passe, les identifiants, les adresses web exploitées, parfois même des photos ou des numéros de carte bancaire.
Ensuite, il envoie tout ça à la personne qui l’a fabriqué, un pirate informatique, souvent à l’autre bout du monde (ou pas !). Le pirate peut alors utiliser les comptes (webmail, réseaux sociaux, jeux, …).
Comment on s’attrape un infostealer ?
Un infostealer arrive souvent en cachette, comme un microbe. Quand vous téléchargez un jeu ou un programme sur un site bizarre ou non officiel. Le fait de voir Roblox aussi souvent est un signe. Le jeune public est une cible de choix, d’autant plus qu’il utilise souvent l’ordinateur de la famille. En cliquant sur un lien dans un mail suspect, un message sur Discord, WhatsApp, Snapchat, etc. Avec de fausses pubs ou des cadeaux “trop beaux pour être vrais” (“Télécharge ce jeu gratuit !”, “Voici une nouvelle skin Fortnite !”). En installant un c***k pour ne pas payer un jeu ou un logiciel. Bref, les portes d’accès sont nombreuses.
Faites trés attention aux ordinateurs que vous allez utiliser pendant vos vacances. Des machines que vous pourriez croiser dans un hôtel, un cyber café (oui, ça existe encore), un camping, une chambre d’hôte. Ne vous connectez à rien de sensible, demandant vos identifiants de connexion. Et ce n’est pas un VPN, comme j’ai pu l’entendre, qui vous sauvera !
Comment s’en protéger ?
Téléchargez vos applis et jeux uniquement sur les sites officiels (Google Play, App Store, Steam…).
N’ouvrez jamais un fichier ou un lien louche envoyé par quelqu’un que vous ne connaissez pas, ou même si c’est un copain mais que le message semble bizarre.
Utilisez un antivirus et faites les mises à jour de votre téléphone/ordinateur.
Ne cherchez pas à tricher ou à obtenir des “trucs gratuits”. Il y a la plupart du temps un piège en attente, prêt à se refermer sur vous.
Je finirai par la base : changez vos mots de passe régulièrement et ne mettez jamais le même partout.
merci à ZATAZ
