Moins de deux semaines après la révélation que 197 millions de comptes LinkedIn avaient été piratés en 2012 (dont 165 millions de mots de passe), ce sont trois autres services qui sont mis en cause par une vente aux enchères sur le marché noir. MySpace, l'ancêtre du réseau social, a connu une fuite de 360 millions de mots de passe. Le site de microblogging Tumblr, très populaire auprès des jeunes générations, s'est fait dérobé 65 millions d'identifiants. Et Fling, un site de rencontre, a laissé partir 40 millions de ces données.

Le chercheur en sécurité Troy Hunt, dont le site Have I Been Pwned ("me suis-je fait avoir ?") permet aux utilisateurs de services compromis de savoir si leurs comptes sont concernés par les fuites, souligne une tendance inquiétante dans la découverte de ces attaques massives. La mise aux enchères de ces quatre bases de données en si peu de temps suggère d'après lui qu'elles sont liées, d'autant qu'elles datent toutes d'il y a quelques années (2011 pour Fling, 2012 pour LinkedIn, 2013 pour Tumblr et "entre 2007 et 2012" pour MySpace).

Les fuites de données personnelles vont empirer

Mais le plus inquiétant reste le fait que ces fuites de données sont restées secrètes pendant des années. C'est le signe que les opérateurs n'ont, soit pas détectés qu'ils avaient été compromis, soit préférés ne rien dire pour ne pas s'attirer d'opprobre, au détriment de leurs utilisateurs. Un fait extrêmement préoccupant et aggravé par l'assurance que ces agissements ne vont qu'empirer au fil du temps.

Ces quatre fuites sont aujourd'hui les plus grandes que le chercheur recense, mais jusqu'à quand ? La multiplication des services en ligne et l'accroissement de la présence de chacun sur Internet au travers des smartphones créent d'immenses bases de données, que les criminels tentent en permanence de piller.

Des initiatives sont en train d'être mises en place par l'industrie du numérique pour pallier à l'échec du modèle de sécurité par mot de passe, notamment grâce à l'authentification multifacteurs (par exemple un mot de passe plus un code PIN reçu par téléphone) et à l'authentification biométrique. Mais cela va prendre des années.

En attendant, la communauté de la sécurité informatique recommande unanimement aux utilisateurs d'utiliser des gestionnaires de mots de passe pour cloisonner leurs comptes en cas de compromission. Ceux qui s'en passent... le font à leurs risques et périls.