75.000 adresses et mots de passe Telenet circulent en ligne

Pieterjan Van Leemputten

Une liste d’un peu plus de 75.000 adresses e-mail et mots de passe Telenet circule pour l’instant sur internet et ce, même s’il ne s’agit pas du résultat d’une fuite de données chez l’opérateur même.

Cette liste que Data News a pu consulter, se trouve sur une page web publique et compte 76.698 données, dont à coup sûr 75.552 adresses mail uniques, toutes avec un mot de passe correspondant.

Par souci de clarté, il ne s’agit ni d’une fuite chez Telenet ni nécessairement de mots de passe de comptes Telenet. Même si tel peut être le cas. La liste est un ensemble de différentes fuites de données, lesquelles ont ensuite été filtrées sur des utilisateurs belges, dans ce cas spécifique des clients de Telenet. Ce genre de liste est souvent l’affaire de pirates et de criminels internet, mais au bout de quelque temps, une telle liste se manifeste parfois aussi sur des sites web publics, comme c’est le cas ici.

Des données datant de 4-5 ans

Deux personnes figurant sur la liste confirment à notre rédaction que les données datent probablement de 4-5 ans, compte tenu des mots de passe utilisés à l’époque. Il s’agit entre autres de mots de passe qui étaient utilisés sur LinkedIn, MyHeritage, MyFitnessPal et Adobe, des sites et des outils qui furent piratés il y a quelques années déjà.

.
.© PVL

On ne sait pas depuis combien de temps déjà cette liste circule, mais elle est actuellement liée par HaveIbeenpwned.com, un site web, où les utilisateurs peuvent saisir leur adresse mail pour savoir si celle-ci a fait partie d’importantes fuites de données dans le passé. Le site ne partage lui-même pas de mots de passe, mais s’il s’agit de données figurant sur un site web public, celles qui apparaissent sur ce genre de liste, font alors l’objet d’un lien vers cette source à des fins de transparence complète.

Equilibre à trouver entre informer et exposer

Data News a également pris contact avec Troy Hunt, le fondateur de HaveIbeenpwned, et lui a demandé pourquoi son site établissait un lien vers ces données, ce qui permettait à des victimes de visionner les données d’autres. Hunt insiste sur le fait que ce type de liste ne figure que temporairement en ligne et donne plus de contexte aux utilisateurs touchés.

“Ce genre de liste est un ramassis incontrôlé de données et ne demeure généralement que brièvement en ligne. Ces listes sont aussi relativement brèves dans le sens où il ne s’agit pas de millions de données et que le traitement s’effectue automatiquement”, explique Troy Hunt, fondateur de HaveIbeenpwned, à Data News.

Hunt signale que c’est une question d’équilibre, lui qui gère seul le site depuis des années déjà: “Je ne peux contrôler manuellement toutes les données quant à leur authenticité. Par conséquent, soit je n’informe pas les personnes concernées, soit je les oriente directement vers la source. Mais dans ce dernier cas, il y a un risque, parce que leurs données peuvent alors être exposées plus longtemps. Quoi qu’il en soit, il s’agit toujours de rechercher le meilleur équilibre entre informer les gens et, en général de manière temporaire, exposer leurs données.”

Si vous voulez savoir si votre adresse e-mail et le mot de passe correspondant a été impliqué dans un vol de données, vous pouvez le/la saisir sur le site web de HaveIbeenpwned. Il est du reste conseillé d’utiliser un mot de passe différent pour chaque service et de modifier régulièrement vos mots de passe, précisément pour éviter qu’une fuite du genre de cette liste comprenant des données datant de 4-5 ans, puisse être abusée aujourd’hui encore.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire