Flexible Security for Your Peace of Mind

Analyse de Rockyou2024 : Méga liste de mots de passe ou simple bruit ?

En juin 2021, un gros fichier de données appelé “rockyou2021” a été publié sur un forum de piratage très fréquenté. Son nom fait référence à la liste de mots de passe utilisée dans les attaques par force brute, appelée “Rockyou.txt”, qui a fait couler beaucoup d’encre à l’époque. Vous pouvez consulter l’analyse de notre équipe à ce sujet ici.

En 2024, vous avez peut-être vu une nouvelle compilation circuler : “Rockyou2024”. Le message original du forum affirmait que la liste de mots de passe contenait “plus de 9,9 milliards de mots de passe”. Il s’agit d’une affirmation sérieuse… notre équipe s’est donc penchée sur le sujet pour déterminer si les organisations devraient s’en préoccuper. 

Message original du forum concernant la liste de mots de passe de Rockyou2024
Message original du forum concernant la liste de mots de passe de Rockyou2024

Que contient vraiment Rockyou2024 ?

À l’instar de Rockyou2021, Rockyou2024 a fait l’objet d’un grand nombre d’informations. Certaines sources ont répété qu’il s’agissait de la plus grande fuite de base de données de mots de passe de l’histoire, avec plus de 10 milliards d’enregistrements. Cependant, l’analyse de notre équipe indique que c’est loin d’être le cas. L’ensemble de données n’est ni utile en tant que liste de mots, ni une liste présumée de mots de passe pouvant être utilisés pour attaquer des cibles potentielles. En toute honnêteté, il s’agit essentiellement de données inutiles, et nous ne recommandons pas d’y consacrer de l’énergie ou des efforts.

Analyse des données de Specops

L’écart entre “Rockyou2024” et “Rockyou2021” est de 54 Go sur 146 Go. Cela se traduit par environ 1,5 milliard (1 489 515 500) de nouveaux enregistrements. Parmi ceux-ci, le traitement d’un certain nombre de hachages standard (car ce type de données est généralement très répandu dans ce genre de compilations) :

  • 138 261 666 bcrypt.txt
  • 480 116 331 md5.txt
  • 202 577 427 sha1.txt
  • 4 5676 538 sha256.txt
  • 0 sha512crypt.txt
  • 6 743 064 sha512.txt
  • 873 375 026 total

Il en résulte des ajouts de 616 140 474 enregistrements (~ 20 Go). Notez que cela n’inclut pas tous les hachages ou les hachages tronqués. C’est simplement un retrait radical de certains types de hachage courants pour réduire les données.

En divisant les enregistrements par longueur, on obtient les groupes de longueurs de caractères suivants, par ordre décroissant :

  • 09  2.1G
  • 34  833M
  • 38  686M
  • 24  650M
  • 10  399M
  • 12  264M
  • 11  245M
  • 13  199M
  • 08  179M
  • 14  176M
  • 63  128M
  • 20  127M
  • 51  114M
  • 41  113M
  • 15  111M
  • 32   85M

Avec des décomptes de :

  • 09  223 055 687
  • 34   24 940 213
  • 38   18 423 609 
  • 24   27 229 401
  • 10   37 978 951
  • 12   21 259 190
  • 11   21 384 664
  • 13   14 833 594
  • 08   20 780 673
  • 14   12 288 359
  • 63    2 085 716
  • 20    6 322 637
  • 51    2 289 684
  • 41    2 814 447
  • 15    7 248 179
  • 32    2 689 279

Cela représente un total de 445 624 283, soit 73% des enregistrements. Si nous décomposons à présent ces longueurs, nous obtenons des nombres à 9 chiffres de diverses chaînes complètes et partielles :

09

Des nombres à 9 chiffres de diverses chaînes complètes et partielles. Comme d’habitude, cette longueur se situe au milieu de la fourchette de longueur des mots de passe. Il peut y avoir des mots de passe valables, mais il est peu probable qu’ils soient différents d’autres listes de mots alternatives. Il est peu probable qu’une grande partie des données soit bonne.

34

Beaucoup de chaînes russes, de chaînes mal analysées, de hachages divers et de hachages tronqués.

38

Similaire à 34, des chaînes en langue russe, divers hachages et hachages tronqués, par exemple des hachages bcrypt tronqués.

24

En grande partie des chaînes encodées en base64, mais il ne s’agit pas de texte anglais. Elles sont soit unicode, soit une autre couche d’encodage avant base64. Cela ne vaut pas la peine d’enquêter pour l’instant. De même que, comme pour les autres classes plus longues, les chaînes en langues étrangères, qui seraient mieux servies par d’autres listes de mots et règles ou masques.

10

Similaire à 9 – une grande collection de nombres à 10 chiffres en chaînes.

  • numérique: 18023570 (47.46%)
  • loweralphanum: 11489073 (30.25%)
  • mixtealphanum: 2423042 (6.38%)
  • loweralpha: 2063234 (5.43%)

12

Collection de chaînes de 12 caractères, de chiffres et d’un grand nombre d’adresses IP.

  • loweralphanum: 6384403 (30.03%)
  • mixedalphaspecialnum: 4633689 (21.8%)
  • numéro spécial: 3040090 (14.3%)
  • mixtealphanum: 1546756 (7.28%)
  • loweralpha: 1407371 (6.62%)
  • mixtealphasé spécial: 922710 (4.34%)
  • mixtealpha: 768977 (3.62%)

11

Collection de chaînes de 11 caractères, de chiffres et de quelques adresses IP.

  • loweralphanum: 8871162 (41.48%)
  • numérique: 4863557 (22.74%)
  • mixte: 1839704 (8.6%)
  • loweralpha: 1614811 (7.55%)
  • numéro spécial: 1070368 (5.01%)
  • alpha-mixte: 822882 (3.85%)

13

Collection de chaînes de caractères à 13 caractères, de chiffres et d’un grand nombre d’adresses IP.

08

Ce que l’on s’attend à voir à partir de 8 caractères.

  • loweralphanum: 10880391 (52.36%)
  • loweralpha: 3873181 (18.64%)
  • mixedalphanum: 2651258 (12.76%)
  • mixedalpha: 906904 (4.36%)
  • upperalphanum: 627632 (3.02%)

14

Beaucoup de déchets unicode et de choses coupées de ce qui semble être la sortie de ‘ncurses’.

63

En général, ce n’est que du bric-à-brac, comme des adresses e-mail mal traitées et des chaînes issues du scraping de Telegram.

20

Beaucoup de russe et de déchets. Nous observons cette tendance pour d’autres classes de caractères longs ; les gens ont tendance à ne pas utiliser des mots de passe aussi longs, et la manière dont ces compilations sont collectées conduit à un grand nombre de hachages ou tout simplement de déchets. L’auteur de la fuite en question se contente souvent de rassembler plusieurs violations de données sans aucun traitement pour obtenir un fichier de grande taille et un impact médiatique (la capture d’écran de son nom sur le forum, etc.).

À partir de ce point, nous continuons à nous écarter avec des chaînes de plus en plus longues de données mal traitées qui ne sont pas utilisables pour une liste de mots afin d’attaquer des hachages ou d’être utilisées comme mot de passe dans une attaque par pulvérisation.

Alors, quelle est la leçon à retenir ?

En fait, la personne en question a pris ” Rockyou2021 ” (qui a suscité beaucoup d’agitation en raison du nombre d’enregistrements) et y a ajouté des données collectées auprès d’autres sources apparemment de qualité médiocre. Elle l’a ensuite publiée en prétendant qu’il s’agissait d’une nouvelle liste gigantesque afin d’obtenir de l’influence et du crédit.

Cet ensemble de données ne devrait présenter qu’un risque minime, voire aucun risque, pour les clients actuels de Specops, et la valeur de cet ensemble de données en tant que liste de mots pour le piratage ou d’autres attaques est extrêmement nébuleuse, voire nulle. Cet ensemble de données est trop volumineux pour être réellement utile dans le cadre d’une tentative de déchiffrage d’un hachage donné, et il y a tout simplement trop de données de mauvaise qualité pour les utiliser efficacement dans des attaques. La valeur des données est négligeable par rapport à des listes de mots et des ensembles de règles bien préparés entre les mains d’un acteur compétent.

Cette liste n’affecte en aucun cas le modèle de menace de nos clients et devrait généralement être ignorée comme une autre compilation de « clickbait ».

Recommandations de sécurité pour faire face à Rockyou2024

En fin de compte, RockYou2024 n’était pas une vaste fuite de mots de passe piratés comme prétendu (bien qu’elle en contienne certains). Toutefois, il est toujours possible que certaines des données contenues proviennent d’autres listes de mots ou soient générées par d’autres types d’attaques. Il n’existe pas de recommandation unique en matière de politique de mot de passe pour les organisations qui cherchent à prévenir les attaques en utilisant les listes RockYou2021 et Rockyou2024. Chaque organisation aura des besoins de conformité et des préoccupations de sécurité différents.

L’utilisation de Specops Password Policy, ou d’un filtre de mot de passe équivalent pour appliquer des politiques de mot de passe saines, est la meilleure défense contre les attaques avec ces types d’ensembles de données. Sa fonction de protection contre les violations de mots de passe analyse en permanence votre Active Directory à la recherche de mots de passe violés ou compromis, et notifie aux utilisateurs finaux qu’ils doivent changer leur mot de passe immédiatement.

Si elles souhaitent simplement utiliser la longueur des mots de passe comme moyen de défense, les organisations peuvent simplement exiger des mots de passe longs ou des phrases de passe – vous pouvez suivre un guide des meilleures pratiques pour aider les utilisateurs finaux à créer des phrases de passe longues ici. Les organisations peuvent également choisir d’encourager les mots de passe plus longs avec la durée de vie des mots de passe basé sur la longueur dans Specops Password Policy

Vous souhaitez savoir comment Specops Password Policy pourrait s’adapter à votre organisation ? Contactez un expert dès aujourd’hui.

(Dernière mise à jour le 20/08/2024)

Revenir sur le blog