Nouveau piratage massif de données : vos adresses e-mails et mots de passe ont-ils fuité ?

Nouvelle fuite massive de données: vos adresses mail et mots de passe ont-ils fuité?
Nouvelle fuite massive de données: vos adresses mail et mots de passe ont-ils fuité? - © Tous droits réservés

On ne le répétera jamais assez : avoir de bons mots de passe changés régulièrement, c’est la garantie de ne pas se faire pirater ses comptes sur internet. Mais comment déterminer si votre adresse e-mails et votre mot de passe se sont déjà retrouvés en clair sur la toile ? Un site internet permet de le savoir. Son nom : Haveibeenpwned.com (que l’on pourrait traduire en français par « me suis-je fait avoir ? »).

Nous vous en parlions déjà en 2016, ce site fonctionne comme une sorte de moteur de recherche. Il recueille et analyse des centaines de millions de comptes divulgués sur le web par des pirates informatiques. N’importe qui peut y rentrer ses identifiants pour voir s’ils ont fuité.


►►► À lire aussi : Oubliez ce qu’on vous a dit sur les mots de passe : voici les nouvelles règles


Le créateur du site a mis à jour sa base de données mi-janvier. Et le résultat est inquiétant : « Nouvelle fuite : The 'Collection #1' a commencé à circuler largement la semaine dernière. On y trouve 772.904.991 adresses e-mails uniques avec des mots de passe en clair. » Tout n’est pas totalement neuf. « 82% des adresses étaient déjà sur Haveibeenpwned. »

Comme le révélait Le Journal du Dimanche le 19 janvier dernier, on y trouve par exemple l’adresse e-mail personnelle d’Emmanuel Macron, hébergée sur Gmail. L’adresse officielle du Premier ministre Charles, charles.michel@premier.fed.be, s’y retrouve aussi.

Régulièrement des fuites de données personnelles

« Le fait de figurer dans les listes de HaveIBeenPwned est malheureusement… très banal. La plupart des internautes s’inscrivent à de très nombreux services en ligne, et de très nombreux services sont victimes chaque année de piratage », note au passage Le Monde.

En 2016, la plate-forme de partage de vidéos DailyMotion a ainsi été victime d’un piratage de données personnelles. « Au cours d’un contrôle réalisé au sein des locaux de la société, [DailyMotion] a indiqué que la violation de données résultait d’une attaque menée en plusieurs étapes et que celle-ci avait concerné 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés. » Conséquences, la commission nationale de l’informatique et des libertés en France (CNIL), a condamné le site à une sanction de 50.000 euros « pour une atteinte à la sécurité des données des utilisateurs ». En attendant, le mal est fait.

La première question qui vient à l’esprit est naturellement de se demander si, en introduisant toutes ces données personnelles dans un site tiers comme Haveibeenpwned, l’internaute n’alimente précisément pas une gigantesque base de données.

Pour le savoir, rendez-vous sur le site du créateur de « Haveibeenpwned » : Troy Hunt. Cet expert en sécurité travaille comme spécialiste chez Microsoft et donne régulièrement des conférences sur la cybersécurité. Il anime également un blog sur le sujet. En principe donc, son profil est plutôt rassurant. L’homme à pignon sur rue et chacun peut le suivre sur Troyhunt.

Le site affirme par ailleurs dans sa page « questions fréquemment posées » que les données introduites par les visiteurs ne sont pas mémorisées. Ce qu’il est évidemment impossible de contrôler.

AZERTY présent 300.000 fois dans la base de données

Haveibeenpwned permet aussi de rechercher des mots de passe. Précision apportée par le créateur du site : ces mots de passe sont stockés séparément des adresses e-mails. Une recherche permet donc de savoir si le mot de passe a été repéré dans un fichier qui a fuité. Mais cela ne permet pas d’associer un compte en particulier à un mot de passe. Le procédé est expliqué en détail sur le blog du créateur du site (en anglais).

Quelles leçons retenir de tout ça ?

  • Si votre adresse e-mail figure dans la base de données de Haveibeenpwned, changez tous les mots de passe qui sont liés à cette adresse. Sur tous les services que vous utilisez : réseaux sociaux, sites de vente en ligne, portails administratifs…
  • Si votre mot de passe figure dans la base de données de Haveibeenpwned, changez-le. Préférez un mot de passe fort, fait de majuscules, de minuscules et de caractères spéciaux. Ne réutilisez pas le même mot de passe partout. A titre d’exemple, le mot de passe le plus simple de l’histoire, « azerty », apparaît plus de 300.000 fois dans la base de données de Haveibeenpwned…
  • Quand c’est possible, préférez la double authentification. En résumé ce système associe un mot de passe et un code à usage unique envoyé sur le smartphone de l’utilisateur. Pour vérifier que celui qui tente d’accéder aux données en est bien le propriétaire.
Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK