Ce serait le "hack du siècle". Ce vol d’une ampleur sans précédent de données personnelles sur le Net, révélé mardi 5 août par le "New York Times", devrait inciter les internautes à modifier leurs identifiants sur nombre de sites.

Il faut reconnaître que les chiffres avancés par Hold Security, la société américaine de sécurité informatique qui a signalé la faille, ont de quoi donner le tournis. Une douzaine de pirates informatiques d’origine russe auraient mis la main sur 1,2 milliard d’identifiants (souvent des adresses email) et de mots de passe glanés sur 420 000 sites affectés.

Sauf que, passé le choc de la révélation, d’autres experts en sécurité ont commencé à émettre des doutes. Pas forcément sur l’existence même d’un tel trésor de guerre que Brian Krebs, journaliste indépendant et l’une des pointures de la sécurité informatique, a pu consulter, mais plutôt sur son importance. Car l’annonce soulève un certain nombre de questions. "Je regrette son côté anxiogène et le peu d’informations fournies permettant de comprendre la gravité réelle de l’attaque", déplore ainsi Gérôme Billois, expert du Cercle européen de la sécurité informatique et consultant senior pour la société française Solucom.

L’opportunisme de Hold Security ? La société américaine a choisi le meilleur moment possible pour faire sa grande révélation. Les deux principales conférences mondiales de sécurité informatique, la "Def Con" et la "Black Hat", se déroulent en août, ce qui assure à Hold Security une caisse de résonnance maximum.

Cette entreprise s’est également empressée d’offrir ses bons et loyaux services aux internautes anxieux pour la sécurité de leurs données, moyennant un abonnement mensuel de 120 dollars (pour les entreprises) ou 10 dollars (pour les particuliers). "Généralement, dans les cas de piratage de cette ampleur, les sociétés victimes de l’attaque préviennent, gratuitement, leurs clients que leurs données ont été dérobées", souligne Gérôme Billois.

Comment Hold Security a-t-elle mis la main sur cette base de données ? Rien n’est dit sur la méthode qui a permis à ces experts en sécurité de récupérer cette immense hotte de père Noël pour cybercriminels. Généralement, les sociétés de sécurité informatique sont moins avares de détails. "Les experts, dont Hold Security, qui avaient découvert le piratage, en 2013, de la base de données d’Adobe, ne s’étaient pas privés d’expliquer comment ils avaient fait", rappelle Gérôme Billois.

Quelle est l’utilité des données dérobées ? Le manque d’informations fournies par Hold Security, en dehors de chiffres impressionnants qui peuvent attirer l’attention des médias, amène certains experts à s’interroger sur l’ancienneté des données récupérées. "L’attaque serait très grave si l’intégralité de la base de données des utilisateurs de Gmail ou Microsoft était dérobée. Mais beaucoup moins s’il s’agit essentiellement d’identifiants vieux de cinq ans permettant de se connecter à des petits sites associatifs ou des forums de discussion", résume Gérôme Billois.

Problème : Hold Security ne donne aucune information sur la fraîcheur des identifiants et mots de passe. Quand aux victimes, la société américaine se contente simplement d’affirmer que des entreprises du "Fortune 500" sont aussi concernées.

À quoi ressemblent les mots de passe volés ? "Il y a trois possibilités : soit ils sont en clair, soit ils étaient cryptés puis décodés soit ils étaient 'hashés'", résume Gérôme Billois. Dans les deux premiers cas, les cybercriminels peuvent aisément les exploiter. Dans le troisième c’est une autre histoire : un mot de passe "hashé" signifie qu’en arrivant sur le serveur du site pour lequel il est utilisé, il est passé à la moulinette d’un algorithme mathématique qui le transforme en une sorte de confetti numérique afin que personne ne puisse le reconstituer. Là encore, Hold Security ne donne aucune précision à ce sujet. Ce qui laisse beaucoup de points d’interrogation pour un piratage présenté comme le plus important de tous les temps.