Une archive contenant près de 5 millions d'adresses Gmail avec les mots de passe associés en clair a été retrouvée hier sur un forum en ligne. Mais, selon une entreprise de sécurité danoise, ces données sont anciennes et sont probablement une compilation de données volées d'origine diverse.

C'est un utilisateur dont le pseudo en ligne est « tvskit », qui a posté l'archive sur un forum de sécurité Bitcoin appelé btcsec.com. Dans son message, « tvskit » affirme que plus de 60 % des identifiants mentionnés dans le fichier sont valides. « Nous ne pouvons pas confirmer que la proportion est de 60 %, mais nous pouvons dire qu'une grande partie de ces données sont légitimes », a déclaré Peter Kruse, CTO de CSIS Security Group, une entreprise de sécurité danoise qui vend à des institutions financières et judiciaires de l'intelligence pour lutter contre la cybercriminalité.

Après analyse des données - et en les comparant à des fuites de données récentes -, les chercheurs de CSIS ont conclu que le fichier datait de moins de 3 ans. « Nous pensons que ces données ne proviennent pas directement de Google », a déclaré Peter Kruse par courriel. « Il est probable que le fichier a été constitué à partir de différentes sources où des données ont été volées ». Cela signifie que la plupart des mots de passe de ce fichier ne correspondent pas à des comptes Gmail ou à des comptes Google, mais à des comptes de sites où les utilisateurs ont utilisé leur adresse Gmail comme nom d'utilisateur.

Google n'a pas de preuve de la compromission de ses systèmes

Le CSIS a pu vérifier qu'au moins cinq noms d'utilisateur et les mots de passe associés n'avaient jamais été utilisés comme identifiants de connexion pour des comptes Gmail ou Google. « Ceci renforce l'idée que ces données ont été volées ailleurs que chez Google. Par contre, il est possible que les vols de données aient tous été commis par un seul individu ou par un groupe », a ajouté le CTO de CSIS Security Groug. « La sécurité de nos utilisateurs est essentielle pour nous », a déclaré hier par courriel un responsable de Google. « Nous n'avons aucune preuve que nos systèmes ont été compromis, mais chaque fois que nous décelons une intrusion sur un compte, nous prenons des mesures pour aider nos utilisateurs à sécuriser leurs comptes ».

Même si, au final, il se confirme que la majorité de ces identifiants ne provient pas de Google, les utilisateurs concernés peuvent tout de même avoir envie de modifier leurs mots de passe sur les sites où ils ont utilisé leur adresse Gmail comme nom d'utilisateur. Le site Web haveibeenpwned.com permet de vérifier si votre adresse Gmail se trouve dans ce fichier.