24 milliards d'enregistrements exposés : pourquoi votre VPN ne vous sauvera pas

24 milliards d'enregistrements exposés : pourquoi votre VPN ne vous sauvera pas

Les chercheurs de Cybernews ont découvert l’une des plus grandes bases de données non sécurisées jamais mises au jour, contenant 24 milliards d’enregistrements avec des noms d’utilisateur, des adresses e-mail, des mots de passe en clair et des URL de connexion. Cet événement de violation de données exposant des milliards d’identifiants n’est pas un piratage d’entreprise au sens traditionnel. Il s’agit d’un stock compilé et librement accessible d’identifiants de connexion volés, laissé sans protection en ligne, prêt à être exploité par quiconque dispose des bons outils. Si vous pensez que votre abonnement VPN vous protège de ce type d’exposition, les détails de cette découverte devraient vous inciter à une sérieuse remise en question.

Ce que contient réellement la base de données de 24 milliards d’enregistrements

L’ampleur de cette base de données est difficile à appréhender. Vingt-quatre milliards d’enregistrements ne signifient pas que 24 milliards de personnes uniques ont été touchées. Les bases de données compilées de fuites comme celle-ci agrègent généralement des données issues de centaines de violations distinctes sur de nombreuses années, ce qui signifie que les identifiants d’une même personne peuvent apparaître des dizaines de fois dans différentes entrées.

Ce qui rend cette exposition particulièrement dangereuse, c’est la présence de mots de passe en clair. De nombreuses bases de données stockent les mots de passe sous forme de hachages, ce qui crée au moins une barrière avant que les données puissent être utilisées. Les mots de passe en clair ne nécessitent aucun effort de cassage. Un attaquant peut prendre un nom d’utilisateur, l’associer au mot de passe correspondant et tenter de se connecter immédiatement.

La base de données incluait également les URL de connexion, c’est-à-dire les adresses web spécifiques associées à chaque jeu d’identifiants. Ce détail est sous-estimé. Au lieu d’une simple liste de combinaisons e-mail/mot de passe que l’attaquant doit ensuite faire correspondre au bon service, cette base de données offre aux attaquants une carte directe : voici le compte, voici l’endroit où se connecter, et voici le mot de passe. Ce niveau de précision réduit considérablement l’écart entre un enregistrement divulgué et une prise de contrôle de compte réussie.

Comment le credential stuffing transforme les mots de passe divulgués en prises de contrôle de comptes

Le credential stuffing est le principal moyen par lequel des bases de données comme celle-ci sont transformées en armes. Des outils automatisés passent en boucle des paires nom d’utilisateur/mot de passe à une vitesse énorme, en les testant sur des pages de connexion de centaines de services simultanément. Comme de nombreuses personnes réutilisent leurs mots de passe d’un compte à l’autre, un identifiant divulgué depuis un service peut déverrouiller des comptes sur des plateformes complètement différentes.

La présence des URL de connexion dans cette base de données rend même cette étape automatisée plus efficace. Les attaquants n’ont pas besoin de deviner quels services la victime utilise. Les données le leur indiquent. Un seul enregistrement exposé pourrait se traduire par la compromission d’un compte bancaire, d’une boîte de réception e-mail ou d’un portail VPN d’entreprise si la victime a réutilisé ce mot de passe ailleurs.

Il ne s’agit pas d’un risque théorique. Les attaques par credential stuffing ont été liées à des prises de contrôle de comptes dans des institutions financières, des services de streaming, des plateformes de commerce électronique et des systèmes d’entreprise. Le volume de données d’identifiants disponibles a tellement augmenté que même des attaquants disposant de ressources modestes peuvent mener ces campagnes à grande échelle.

Il convient également de noter que les techniques d’ingénierie sociale évoluent parallèlement au vol d’identifiants. Les attaquants combinent de plus en plus les données divulguées avec des campagnes de phishing ciblées. Connaître l’adresse e-mail d’une victime, le service associé et son mot de passe donne à un acteur malveillant suffisamment de contexte pour élaborer des attaques de suivi convaincantes, y compris des campagnes de phishing assistées par IA, de plus en plus difficiles à distinguer des communications légitimes.

Pourquoi un VPN seul ne vous protègera pas contre cette menace

Un VPN chiffre votre trafic Internet et masque votre adresse IP. C’est un outil de confidentialité réellement utile pour protéger les données en transit, en particulier sur les réseaux publics. Mais la menace posée par cette base de données de 24 milliards d’enregistrements n’a rien à voir avec l’interception du trafic.

Vos identifiants n’ont pas été volés pendant leur transit sur un réseau. Ils ont été dérobés à un service auquel vous vous êtes connecté, stockés de manière non sécurisée, puis finalement regroupés dans une base de données compilée. Au moment où cette base de données devient accessible aux attaquants, votre VPN n’a plus aucun rôle à jouer. Les dégâts sont déjà faits au niveau du stockage, pas au niveau de la transmission.

C’est une distinction cruciale qui se perd souvent dans la manière dont les VPN sont commercialisés et discutés. Un VPN ne peut pas protéger des données qu’un service tiers a mal stockées. Il ne peut pas empêcher les attaques par credential stuffing qui utilisent les mots de passe que vous avez créés il y a des années. Il ne peut pas vous alerter lorsque votre adresse e-mail apparaît dans un ensemble de données divulguées. Ce sont des tâches qui relèvent d’outils complètement différents.

Mesures immédiates : MFA, gestionnaires de mots de passe et surveillance des violations

La bonne nouvelle, c’est que les défenses contre le credential stuffing sont bien comprises et accessibles. Le défi est que la plupart des gens ne les ont pas totalement mises en œuvre.

Activez l’authentification multifacteur partout où elle est proposée. Même si un attaquant possède votre nom d’utilisateur et votre mot de passe corrects, la MFA exige une seconde étape de vérification qu’il ne peut presque certainement pas accomplir. Les applications d’authentification sont plus sécurisées que les codes par SMS, mais les deux options sont infiniment meilleures que l’absence totale de MFA. Donnez la priorité à votre compte e-mail, vos comptes financiers et tout service qui stocke des informations de paiement.

Utilisez un gestionnaire de mots de passe pour générer et conserver des mots de passe uniques. La réutilisation des mots de passe est ce qui transforme un seul identifiant divulgué en compromission de plusieurs comptes. Un gestionnaire de mots de passe supprime la charge cognitive de mémoriser des mots de passe uniques et complexes pour chaque service. Si vos identifiants issus d’une violation ne peuvent déverrouiller aucun autre compte, les dommages d’une seule exposition sont contenus.

Vérifiez si vos identifiants ont été exposés dans des violations connues. Plusieurs services réputés de surveillance des violations vous permettent d’entrer votre adresse e-mail et de voir si elle apparaît dans des ensembles de données divulguées connus. De nombreux gestionnaires de mots de passe intègrent désormais cette surveillance en tant que fonctionnalité intégrée. Effectuer cette vérification constitue une base utile pour comprendre votre exposition actuelle.

Auditez vos comptes existants. Recherchez les services que vous n’utilisez plus et supprimez ces comptes plutôt que de simplement les abandonner. Les comptes inactifs avec des mots de passe réutilisés constituent un risque. Moins de comptes actifs signifient une surface d’attaque réduite.

Ce que cela signifie pour vous

Les milliards d’identifiants exposés dans cette violation de données représentent une menace concrète et actuelle, pas un risque futur hypothétique. Si vous possédez des comptes antérieurs à l’adoption de bonnes pratiques en matière de mots de passe, ces anciens identifiants se trouvent peut-être déjà dans des bases de données comme celle-ci.

La bonne réaction n’est pas d’abandonner l’utilisation d’un VPN ni de paniquer. Il s’agit de reconnaître que la confidentialité et la sécurité exigent un empilement d’outils complémentaires : un VPN pour la protection du trafic, un gestionnaire de mots de passe pour l’hygiène des identifiants, la MFA pour le contrôle d’accès aux comptes et la surveillance des violations pour la sensibilisation. Aucun outil unique ne couvre tous les besoins.

Prenez trente minutes cette semaine pour auditer votre configuration de sécurité. Activez la MFA sur vos comptes les plus sensibles, effectuez une vérification de violation pour vos principales adresses e-mail et vérifiez si vous réutilisez encore des mots de passe d’un service à l’autre. Ces mesures protègeront mieux vos comptes contre les retombées d’une base de données de 24 milliards d’enregistrements que n’importe quel outil de confidentialité pris isolément.