ALIEN TXTBASE : Analyse Approfondie d'une Fuite de Données Sans Précédent

En février 2025, une fuite de données d'une ampleur exceptionnelle a été intégrée à la base de données Have I Been Pwned (HIBP). Connue sous le nom d'ALIEN TXTBASE, cette fuite provient d'un canal Telegram diffusant des logs d'infostealer (logiciels voleurs d'informations) et représente l'une des plus importantes collections de données compromises jamais documentées. Totalisant 1,5 téraoctets de données volées, cette brèche contient 23 milliards de lignes d'information, 493 millions de paires uniques d'adresses e-mail et sites web, affectant 284 millions d'adresses e-mail uniques et introduisant 244 millions de nouveaux mots de passe dans la base de données de HIBP.

Nous vous invitons à lire l'excellent article de Troy Hunt, cité dans cette article de multiple fois :

• https://www.troyhunt.com/processing-23-billion-rows-of-alien-txtbase-stealer-logs/

Origine et découverte de la fuite

La découverte d'ALIEN TXTBASE résulte d'une collaboration entre HIBP et une agence gouvernementale non identifiée. Troy Hunt, fondateur de Have I Been Pwned, rapporte avoir été contacté par cette agence qui lui a signalé l'existence de deux fichiers totalisant plus de 5 Go, contenant le mot "Alien" dans leurs noms. Cette piste l'a conduit à un canal Telegram nommé Alien Txtbase, qui distribuait quotidiennement d'énormes quantités de données volées.

Le canal proposait un modèle économique basé sur l'abonnement : des fichiers gratuits servant d'échantillons pour attirer des cybercriminels potentiels, puis la vente d'accès à davantage de données via un abonnement payant. Un seul fichier d'échantillon contenait déjà plus de 36 millions de lignes de données présentant des sites web, adresses e-mail et mots de passe dérobés par des logiciels malveillants.

Au total, le canal Telegram contenait 744 fichiers constituant ce corpus massif de données compromises.

Fonctionnement des infostealers

Les données proviennent principalement d'infostealers, des logiciels malveillants conçus pour extraire silencieusement les informations d'identification des utilisateurs infectés. Ces programmes s'installent généralement à l'insu des victimes, souvent via le téléchargement de logiciels piratés ou d'applications infectées.

Une fois en place, ils capturent méthodiquement les identifiants de connexion, mots de passe, cookies de session, informations bancaires et historiques de navigation au fur et à mesure que l'utilisateur saisit ces données.

Troy Hunt partage un exemple concret d'infection : "Vers octobre, j'ai téléchargé une version piratée d'Adobe AE et après cela, un cheval de Troie s'est introduit dans mon PC".

Cette simple action a permis au malware de s'installer et de commencer à collecter toutes les informations sensibles saisies par l'utilisateur sur différents sites web.

Parmi les infostealers les plus connus, nous recensons :

• Raccoon Stealer

• LummaC2 Stealer

• Vidar

Ampleur et authenticité des données

L'ampleur d'ALIEN TXTBASE est considérable, mais des questions se posent quant à l'authenticité de l'ensemble des données. Selon une analyse du site InfoStealers.com, la fuite ne serait pas constituée uniquement de logs récents d'infostealer, mais plutôt d'un mélange hétérogène incluant d'anciennes listes de combinaisons (combolists), des données fabriquées et des informations recyclées de fuites précédentes.

L'analyse identifie plusieurs indices suggérant que certaines portions des données pourraient être problématiques :

• Des adresses e-mail générées aléatoirement ou inexistantes, mêlées à des adresses légitimes précédemment exposées dans d'anciennes fuites.

• Des erreurs de formatage et des incohérences structurelles dans de nombreux enregistrements, suggérant un assemblage sans vérification rigoureuse de l'intégrité des données.

• Des similitudes avec des logs malveillants antérieurement partagés par d'autres groupes comme IGGY CLOUD et SegaCloud, indiquant une possible agrégation de données provenant de sources multiples.

Malgré ces réserves, l'équipe de Troy Hunt a confirmé l'authenticité d'au moins une partie des données en testant des mécanismes de réinitialisation de mot de passe pour les adresses e-mail compromises. Cette vérification a confirmé que de nombreuses adresses étaient effectivement associées à des comptes actifs sur les sites identifiés dans les logs.

Impacts et implications pour les utilisateurs

Les conséquences de cette fuite sont multiples. Pour les utilisateurs dont les identifiants figurent dans ALIEN TXTBASE, le risque principal est l'utilisation de ces informations pour des tentatives d'accès non autorisés à leurs comptes. Les cybercriminels peuvent exploiter ces données pour des attaques de credential stuffing, tentant d'utiliser les identifiants volés sur de multiples services.

La présence d'informations dans cette fuite ne signifie pas nécessairement que l'utilisateur a été directement infecté par un malware. Comme l'explique l'analyse d'InfoStealers.com, de nombreuses paires d'identifiants pourraient provenir d'anciennes fuites ou avoir été fabriquées. Néanmoins, il est recommandé à toute personne identifiée dans cette fuite de prendre des mesures préventives.

Pour vérifier si une adresse e-mail figure dans ALIEN TXTBASE, les utilisateurs peuvent consulter le site Have I Been Pwned et s'inscrire au service de notification. Après confirmation de l'adresse e-mail, les utilisateurs peuvent voir la liste des sites web associés à leurs identifiants compromis. Cette information n'est pas accessible publiquement pour préserver leur confidentialité, particulièrement concernant l'utilisation de services sensibles.

Quelques conseils concernant la présence de votre email dans la liste des comptes affectés

Si vous ne voyez que gmail.com, cela réduit le risque que vous ayez subi une infection. Changez bien sûr votre mot de passe pour gmail.com et effectuez une analyse antivirus sur votre machine . L'analyse sera sans doute sans résultat, et voici pourquoi :

• Le cas le plus probable ici est que quelqu'un avec une machine infectée essayait de se connecter à des comptes Gmail (ou d'autres fournisseurs d'emails) en utilisant des adresses email connues et d'autres anciens mots de passe divulgués liés à ces comptes email provenant d'autres fuites.

• Le deuxième cas probable est que les personnes ayant divulgué ALIEN TXTBASE ont inclus des données provenant d'anciennes fuites, soit des mots de passe liés à des sites web autres que Gmail, soit des mots de passe complètement inventés, pour gonfler leurs chiffres augmentant ainsi leurs chances de vendre ces données. Ils ont inclus des mots de passe réels confirmés par Troy Hunt, cependant cela ne veut rien dire.

Si vous voyez plus de domaines que gmail.com, la probabilité qu'au moins une de vos machines ait été infectée est beaucoup plus grande. Changez tous ces mots de passe après avoir analysé vos machines. Si vous obtenez des détections, réinstallez complètement le système d'exploitation et formatez tous les disques.

Nouvelles fonctionnalités de HIBP face à la menace

En réponse à cette fuite massive, Troy Hunt a implémenté de nouvelles fonctionnalités dans HIBP pour aider les organisations à identifier les comptes compromis. Deux nouvelles API permettent désormais :

• Aux propriétaires de domaines de rechercher l'ensemble de leur domaine dans les logs d'infostealer.

• Aux opérateurs de sites web d'identifier les clients dont les adresses e-mail ont été capturées lors de leur saisie sur le site.

Ces API, qui autorisent jusqu'à 1000 recherches d'adresses e-mail par minute, visent à aider les organisations à détecter proactivement les activités malveillantes et à bloquer les tentatives d'intrusion avant qu'elles ne causent des dommages. Troy Hunt explique : "L'introduction de ces nouvelles API aidera enfin de nombreuses organisations à identifier la source d'activités malveillantes et, plus important encore, à les anticiper et à les bloquer avant qu'elles ne causent des dommages".

Contexte plus large des infostealers et des combolists

ALIEN TXTBASE s'inscrit dans une tendance plus large de prolifération des infostealers et des "combolists" (listes combinées de données volées). En juin 2024, HIBP avait déjà intégré des données concernant 151 millions d'adresses e-mail provenant de combolists similaires. Ces collections massives sont généralement constituées à partir de logs d'infostealers partagés quotidiennement sur diverses chaînes Telegram spécialisées.

Telegram est devenu une plateforme privilégiée pour la distribution de données volées en raison de son accessibilité et de l'anonymat qu'il offre. Troy Hunt note : "Il y a eu une inquiétude croissante ces dernières années concernant l'utilisation de Telegram par le crime organisé, en particulier depuis l'arrestation du fondateur en France l'année dernière pour ne pas avoir sévi contre les activités illégales sur la plateforme". La facilité avec laquelle de grands volumes de données peuvent être publiés et distribués massivement sous couvert d'anonymat fait de Telegram un vecteur majeur dans l'écosystème cybercriminel.

Conclusion

La fuite ALIEN TXTBASE représente un événement significatif dans le paysage de la cybersécurité, tant par son ampleur que par les questions qu'elle soulève sur l'authenticité et la provenance des données compromises. Alors que certaines analyses suggèrent qu'il s'agit d'un "mélange chaotique de jeux de données sans rapport les uns avec les autres", d'autres confirment l'authenticité d'au moins une partie des identifiants exposés.

Cette situation souligne l'importance croissante des infostealers comme menace persistante pour la sécurité des utilisateurs et des organisations. Elle met également en lumière le rôle problématique que jouent certaines plateformes comme Telegram dans la facilitation de la distribution massive de données volées.

Pour les utilisateurs, cette fuite rappelle l'importance des pratiques de sécurité fondamentales : utilisation de mots de passe uniques pour chaque service, activation de l'authentification à deux facteurs, et vigilance lors du téléchargement de logiciels. Pour les organisations, elle souligne la nécessité de surveiller activement les fuites potentielles d'identifiants et de mettre en place des mécanismes robustes pour détecter et bloquer les tentatives d'accès non autorisés utilisant des identifiants compromis.

Ce récent leak massif nous rappelle l'importance cruciale d'une approche proactive en matière de sécurité numérique. Dans ce contexte, les services de Saferfind prennent toute leur importance.

Notre plateforme de découverte d'informations publiques, Saferfind, intégrée au sein de nos bundles Social Engineering, permet à chacun de mieux comprendre son empreinte numérique visible, d'identifier les informations accessibles publiquement et potentiellement exploitables. En complément, nos partenariats stratégiques avec des solutions de surveillance du dark web offrent une couche de protection supplémentaire. Grâce à ces collaborations, nous pouvons potentiellement détecter la présence de vos données dans des zones obscures du web, comme celles exposées par des leaks tels qu'ALIEN TXTBASE, et vous alerter rapidement.

Saferfind se positionne ainsi comme un allié essentiel pour anticiper et atténuer les risques associés aux fuites de données. En combinant la visibilité sur l'information publique et la veille sur le dark web, nous offrons à nos utilisateurs une vision plus complète de leur exposition et les outils nécessaires pour renforcer leur sécurité et celle de leurs informations sensibles. Face à la menace constante des leaks, il est plus que jamais temps de prendre le contrôle de votre sécurité numérique avec Saferfind.

Enfin, la mise en place de solution de protections d'endpoint telles que des EDR/XDR (Crowdstrike est un de nos partenaires) est à prioriser pour se protéger en premier lieu de menaces de type infostealers.