Mots de passe Gmail dans la nature : une fuite à relativiser

Hier est apparu ce qui semblait être une liste contenant pas moins de cinq millions d’identifiants Gmail accompagnés de leurs mots de passe. Il apparait toutefois que ces informations pourraient être assez anciennes et de sources diverses. La prudence recommande cependant de faire attention.

Des identifiants Gmail qui n'en sont pas forcément

Le site russe Cnews a publié hier une information qui aurait provoqué rapidement la panique si elle n’avait pas été par la suite mise à jour avec des éléments nouveaux. Au départ, il s’agissait d’un fichier trouvé sur des forums russes centrés sur Bitcoin et contenant pas moins de cinq millions de couples identifiants/mots de passe provenant de Gmail.

Cependant, Google a rapidement réagi en indiquant au média russe pourrait n’être qu’en fait une vaste collecte d’identifiants collectés au fur et à mesure des années depuis différents sites. La firme explique en effet qu’un grand nombre de comptes référencés sont aujourd’hui inactifs ou ne donnent pas de correspondance entre l’identifiant et le mot de passe.

Initialement, le fichier a été posté mardi sur le forum btsec.com, un site entièrement dédié à la sécurité autour de Bitcoin. L’utilisateur ayant publié les données, « tvskit », avait accompagné le message d’une capture d’écran pour montrer des exemples de mots de passe. On y voit clairement que la plupart sont encore une fois bien trop faciles à deviner, mais « sn@27%hide » est tout de même un cran au-dessus.

Depuis le fichier n’est plus disponible sur le forum, mais l’auteur du message précisait que 60 % des identifiants étaient toujours valables. La vérité est dans la pratique qu’on ne peut pas le savoir puisqu’il faudrait tous les tester et que certaines trouvailles remettent en cause l’authenticité de ce qui était avancé par tvskit.

Une liste compilée après des années de phishing ? 

Comme l’indique en effet LifeHacker.com, plusieurs personnes sur Reddit ont fouillé dans les données et auraient découvert qu’il ne s’agissait pas à proprement parler d’identifiants Gmail (les messages ont été depuis supprimés également). Les adresses sont bien celles du service de Google, mais les mots de passe proviendraient d’autres sites. La collection entière pourrait donc être une vaste accumulation de sésames récoltés via des opérations de phishing et autres techniques malveillantes.

Pour autant, cela ne signifie pas qu’il n’y a aucun danger. Une partie des informations contient des références à Gmail et Google Plus, tandis que d’autres concernent Yandex, le plus gros moteur de recherche en Russie. Google et Yandex ont tous deux indiqué à Cnews que leurs systèmes n’avaient pas été compromis. Mais non seulement certaines combinaisons peuvent encore fonctionner, mais les utilisateurs ont souvent cette fâcheuse habitude de réutiliser les identifiants sur plusieurs services.

L'éternel danger de la réutilisation des mots de passe 

C’est d’ailleurs là que réside le plus gros danger. Un utilisateur peut par exemple créer un compte Gmail en choisissant un mot de passe en particulier. À son inscription sur un autre site, puisqu’une adresse email est demandée dans la plupart des cas, il va réutiliser le mot de passe afin de ne pas avoir à en retenir plusieurs. On connait la suite : la tentative de phishing réussie fournira les identifiants qui pourront être utilisés sur Gmail, compromettant alors le compte.

De fait, même si le danger ne semble pas important, plusieurs sites recommandent de changer le mot de passe du compte Gmail. The Daily Dot fournit par exemple un lien vers IsLeaked.com, qui permet de vérifier si son adresse se trouve dans le fichier qui avait été publié mardi. Même s’il ne trouve rien, il enjoint l’utilisateur à prendre les devants. L’activation de l’authentification à deux facteurs permettra, comme toujours, d’ajouter une sérieuse couche de sécurité supplémentaire.