Cela peut arriver à tout un chacun et cela m’est arrivé. Une de mes adresse emails et un mot de passe qui y était rattaché se sont retrouvés avec bon nombre d’autre combinaisons sur le dark web à disposition de tout criminel moyennement payement. Je viens de faire le test sur HaveIbeenpwned
Cela peut faire froid dans le dos. Mais après vérification cela ne m’a fait ni chaud ni froid. Pourquoi ? La suite dans l’article.
« Have I been pwned? » quezako ?
Avant d’expliquer les raisons de mon manque de réactions fasse à cette terrible nouvelle, je me dois de vous expliquer, si vous ne le connaissez pas encore, le site « Have i been pwned? ».
« Have i been pwned? » est un site grâce auquel tout un chacun peut vérifier si ses informations de connexion (le fameux duo identifiant ou login /mot de passe) ont été corrompues et potentiellement divulguées à des criminels.
De Yahoo à Twitter en passant par LinkedIn, les vols de données se sont multipliés ces dernières années. C’est devenu monnaie courante. Sans vouloir banaliser la chose, il faut pouvoir y faire face.
C’est ce qu’a souhaité faire Troy Hunt, un expert en sécurité chez Microsoft. En dehors de son travail il est tout aussi impliqué dans la sécurité informatique et tient un blog sur le sujet.
L’élément qui l’a poussé à agir et créer HaveIbeenpwned est la fuite de donné qui a eu lieux chez Adobe. Ce fut alors le plus grand vol de donnée jamais enregistré. Ayant accès à plusieurs listes de données volée retrouvées sur le dark web, il fait une découverte désolante : plusieurs identifiants se retrouvent dans plusieurs de ces listes.
Mais le plus dangereux n’est pas là. Le mot de passe lié a un identifiant est bien souvent le même. Cela signifie que si un vol de donnée dévoile le mot de passe, ce n’est pas un seul compte sur un site web qui est corrompu mais tous les autres comptes sur d’autres sites web ayant la même combinaison identifiant/mot de passe.
Qui plus est, certains de ses mots de passe sont peu fiables car faible ou très souvent utilisés. La liste des mots de passe souvent utilisés est d’ailleurs la même d’année en année.
L’idée lui vient alors de créer un site ou tout un chacun pourrait vérifier que ses identifiants ne se sont pas retrouvés dans une fuite.
HaveIbeenpwned en pratique
Le site HaveIbeenpwned est assez simple bien qu’uniquement en anglais. On vous invite à remplir un champ avec l’identifiant que vous utilisez. Cela ne doit être compliqué. Comme moi et beaucoup d’autre, vous utilisez certainement souvent le même : votre adresse email.
Cliquez sur « pwned ? » et observez le résultat.
Si la page se teinte de rouge, vous êtes perdu. Ou pas.
Plus bas sur la page vous obtenez plus d’informations sur les sources des brèches dans lesquelles votre adresse email a été retrouvée.
Certains résultats sont relatifs à des sites précis. D’autres sont des collections d’identifiants/mots de passe provenant de nombreux piratages de sites.
Pourquoi n’ai-je pas eu peur pour un mot de passe ?
La question à vous poser est certainement : pourquoi ai-je affirmé au début de l’article que cela ne me fait ni chaud ni froid ?
La réponse est simple : j’ai regardé les dates des piratages. Tout mes mots de passes ont été changé après a date la plus récente.
C’est la leçon que ce site est sensé donner a tout un chacun.
Un mot de passe est :
- A choisir avec précaution (pas trop facile, pas trop utilisé)
- A changer régulièrement (ne gardez pas le même durant 10 ans)
- A garder pour soi (garder le dans un lieu sécurisé)
Est-ce compliqué, difficile, chronophage ? Tout à fait. Je ne choisi d’ailleurs plus mes mots de passe et ne les retient plus.
Comment puis-je m’organiser de la sorte ? J’utilise en fait un gestionnaire de mot de passe et plus précisément Lastpass. C’est ce que je vais vous détailler dans un prochain article.
Entre temps, faites un tour sur « Have I Been pwned ? », faites vous peur et demandes vous : Depuis combien de temps utilisez vous le même mot de passe sur tous ces sites ?