3,2 milliards de mots de passe et identifiants sont dans la nature. Ils permettent de se connecter à Gmail, Hotmail mais aussi Netflix ou encore LinkedIn. Cela n'est pas un scoop mais maintenant ces infos piratées sont compilées dans une base de données appelée COMB (« Combilation Of Many Breaches »).

L’année 2021 confirme les alertes de plusieurs experts sur les dangers en matière de cybersécurité. Alors que des systèmes publics ont récemment été la cible d’attaques – un système de réserve d’eau en Floride ici, un hôpital à Dax là – ce sont désormais des milliards de mots de passe et identifiants de connexion qui circulent à tous vents.

Près de 3,2 milliards de paires d'identifiants / mots de passe ont été compilés et livrés sur un populaire forum de hackers, a révélé le journal CyberNews, le 2 février. Les mots de passe proviennent de différents supports comme Gmail, Hotmail ou encore Netflix, LinkedIn. Il s’agit, selon le média, du plus important piratage d’identifiants personnels à ce jour.

« Mère de toutes les fuites »

Appelée « Combilation Of Many Breaches » (COMB), la base de données contiendrait en réalité les identifiants / mots de passe de 15 milliards de comptes auxquels s'ajoutent 2,5 milliards d’e-mails uniques selon les rapports de CyberNews. Ce tsunami de données personnelles divulguées a été qualifié de « mère de toutes les fuites » par BGR.

Du coup CyberNews a créé un moteur de recherches permettant de savoir si vos comptes personnels font partie des comptes piratés. Vous pouvez retrouver ce lien en cliquant ici. Le site encourage à changer régulièrement de mots de passe ainsi que d’utiliser autant que possible l’authentification multi-factorielle.

Régulièrement, des bases de données provenant de LinkedIn font surface sur des forums de hackers. Après 500 millions d’entrées en avril, une nouvelle base a été mise en vente fin juin, avec 700 millions d’entrées cette fois. Mais point de vol de données ici, il s’agit de données publiques « scrappées », soit automatiquement récupérées.

Ça en devient lassant. Il ne se passe plus un mois sans qu’une base données soi-disant dérobées à telle ou telle plateforme ne fasse surface sur un quelconque forum. Ici, ce sont quelque 700 millions d’entrées en provenance de LinkedIn qui ont été mises en vente sur RaidForums, le vendeur mettant en ligne un fichier d’un million d’entrées pour vérification. 

Le site spécialisé PrivacySharks a mené sa petite enquête et a confirmé l’authenticité des données contenues dans l’échantillon. Cette vente survient environ trois mois après qu’une première base de 500 millions de données ait été proposée à la vente. Noms complets, postes et numéros de téléphone y figurent.

Extraction automatisée

Contacté, LinkedIn a indiqué à nos confrères que, si ses investigations sont encore en cours, « l'analyse initiale indique que l'ensemble de données comprend des informations scrappées de LinkedIn ainsi que des informations obtenues à partir d'autres sources ». Aucune information privée n’a été dérobée à l’occasion d’une intrusion dans les systèmes de LinkedIn, il s’agit ici d’informations contenues sur des profils publics qui sont « scrappées », entendre par là récupérées de manière automatisée au moyen de scripts conçus dans ce but. Ce qui contrevient tout de même aux conditions d’utilisation du réseau social professionnel.

Notons que le scrapping n’est pas réservé aux méchants hackers : des géants du numérique s’y livrent allégrement, ce qui a d’ailleurs valu à IBM d’être épinglé pour avoir constitué une base d’un million de visages sans demander l’autorisation à qui que ce soit.

Dans le cas de LinkedIn, la base mise en vente en avril avait, comme celle de juin, été obtenue au moyen du scrapping de millions de profils LinkedIn. D’ailleurs, l’auteur du post sur RaidForum n’en est pas à son coup d’essai : il avait par le passé proposé une base de données de 530 millions d’entrées extraites de Facebook et obtenues, là encore, par scrapping.

Linkedin vient de rendre public son dernier classement des start-ups en France et dévoile les 10 start-ups les plus attractives pour les professionnels en France en 2021. 

D’après une analyse de la société de cybersécurité Egress, les attaques de phishing (hameçonnage) ont augmenté de 232% sur linkedin depuis le début du mois de février.

Les données personnelles de plus de 500 millions d’utilisateurs du réseau social ont été scrapées et mises en vente sur internet quelques jours après une mésaventure similaire et de même ampleur chez Facebook.

Les données personnelles de plus de 500 millions de comptes LinkedIn ont été la cible d’un scraping et vendues sur Internet, a révélé le site CyberNews mercredi, quelques jours après que Facebook ait subi une exploitation de fuite de données de même ampleur.

Dans le détail, les données personnelles comprendraient une liste des noms et prénoms, adresses mails, numéros de téléphone, domiciliation du lieu de travail etc. Les informations ont été mises en vente par un utilisateur anonyme sur un site et le prix a été fixé à une somme à quatre chiffres, potentiellement sous la forme d’un règlement en Bitcoin, avance CyberNews.

Pas de brèche

« La base de données comprend des informations publiques qui ont été scrapées sur LinkedIn et combinée à d’autres données collectées sur d’autres sites ou entreprises », a précisé un porte-parole de LinkedIn dans un communiqué, écartant la thèse d’une brèche au niveau de LinkedIn.

«Toute utilisation erronée de nos données, comme le scraping, sont une infraction à nos termes et conditions d’utilisation. Nous travaillons à stopper et rendre responsable quiconque tente de prendre et d’utiliser les données de nos membres sans notre accord », ajoute le communiqué.

Aucun lien entre les deux attaques n’a pour l’instant été établi. LinkedIn a plus de 740 millions de comptes selon des statistiques combinées par l’entreprise le 18 mars dernier, signifiant que plus de 2/3 des comptes ont été touchés.

Microsoft et Audible ont décidé de retirer leur application du marché chinois. En cause, l’intensification des règles de fonctionnement des applications imposées par la Chine. Deux applications de lecture du Coran et de la Bible ont également dû être retirées à la demande du gouvernement. 

La Cour d'appel des Etats-Unis pour le 9e circuit a réaffirmé lundi une décision de 2019 selon laquelle LinkedIn ne pouvait pas interdire à son concurrent hiQ Labs d’extraire des données accessibles au public sur sa plateforme.