Collection#1 : une base de millions d’adresses email et de mots de passe fuités

C’est une fort grosse base de données qui vient d’être découverte. Contenant 702,9 millions d’adresses e-mail uniques, ainsi que 21,2 millions de mots de passe provenant de diverses fuites, Collection#1 se distingue d’ores-et-déjà comme la plus importante base de données du genre. Et 140 millions d’adresses ne sont pas issues de fuites connues.

Troy Hunt, le chercheur en sécurité à l’origine de HaveIBeenPwned, révèle sur son blog avoir eu connaissance de l’existence d’une imposante base de données contenant adresses email et mots de passe issus de diverses fuites de données survenues ces dernières années. Ces données étaient selon lui en libre circulation, notamment sur des forums fort connus du petit monde du hacking.

Cet ensemble de 12 000 fichiers pour 87 Go de données contient 702,9 millions d’adresses e-mail uniques, ainsi que 21,2 millions de mots de passe, qui ne sont toutefois pas liés à des adresses spécifiques. Des chiffres que Troy Hunt a obtenus en nettoyant « autant que possible » ces données et en éliminant les doublons. Il explique que « les données sources étaient présentées sous divers formats et niveaux de «propreté» ».

Open data

En effet, ces adresses et mots de passe proviennent « de nombreuses violations de données individuelles provenant littéralement de milliers de sources différentes ». De facto, seule une minorité des adresses mails de Collection #1 est inconnue de la base HaveIBeenPwned, environ 140 millions selon le chercheur. En d’autres termes, ces adresses mail sont très probablement issues de fuites non répertoriées, qu’il s’agisse d’une unique fuite massive qui n’a jamais été dévoilée ou du cumul de nombreuses violations de moindre importance.

Mais pas seulement. Troy Hunt précise que s’il reconnaît les données issues d’un certain nombre de fuites, « il est tout à fait possible que certaines d’entre elles se réfèrent à des services qui n’ont pas été impliqués dans une violation de données ». Quoi qu’il en soit, les conseils habituels valent toujours : en cas de doute, changez vos mots de passe et dans tous les cas, n’utilisez pas de mots de passe faibles ni le même mot de passe pour différentes plateformes.