Mardi, le forum russe du site BTCsec.com sur la sécurité Bitcoin a fait parler de lui suite à la publication par un utilisateur se présentant sous l'identité de tvskit d'une archive ( un fichier compressé ) contenant 4,93 millions d'adresses Gmail et mots de passe en clair. Et aux dires de tvskit, 60 % des mots de passe étaient valides.

Gmail-fuite-tvskit Depuis, les administrateurs du forum ont fait un peu de ménage afin de supprimer les mots de passe divulgués mais en laissant les adresses emails qui servent de noms d'utilisateur pour une connexion à tout un ensemble de services. Reste que la liste complète est désormais dans la nature.

Ce n'est toutefois pas aussi catastrophique que l'on pourrait le croire. La fuite n'est a priori pas de première jeunesse avec la plupart des mots de passe qui auraient plus de trois ans. Et pour la majorité des sésames, ils ne seraient en réalité plus valides. Par ailleurs, de tels identifiants ne sont pas forcément ceux pour l'accès à un compte Gmail lui-même.

Cette vaste collection aurait été constituée via diverses sources. C'est ce qu'a confirmé Google en indiquant que la fuite n'est pas due à une brèche dans ses systèmes. C'est la piste d'attaques ciblées ( malware ou phishing ) qui est privilégiée ou une attaque sur des sites tiers avec pointée du doigt la dérive consistant à utiliser de mêmes identifiants sur plusieurs sites.

L'équipe Spam & Abus de Google a établi que moins de 2 % des associations nom d'utilisateur / mot de passe de la fuite auraient fonctionné. Pas tout à fait négligeable puisque cela approche 100 000 comptes. " Nous avons protégé les comptes affectés et avons demandé aux utilisateurs de réinitialiser leurs mots de passe. "

Le bon conseil de Google est de choisir un mot de passe unique et fort pour un compte Google, et de prendre en considération la validation en deux étapes qui ajoute une couche de sécurité supplémentaire.

Cette affaire ressemble assez fortement au cas des photos de célébrités nues volées à la suite de la compromission de leurs comptes iCloud. Il n'y avait pas eu non plus de brèche iCloud. Par ailleurs, des millions de comptes compromis pour les services Mail.ru et Yandex populaires en Russie ont récemment fuité.