773 millions de données sensibles en ligne.
Cette semaine, Troy Hunt, expert en sécurité chez Microsoft, a révélé sur son site Internet que 773 millions de données sensibles étaient accessibles dans une base de données mise à disposition sur Internet.
Je vous propose une petite explication sur les risques encourus et aussi quelques bonnes pratiques pour sécuriser un peu plus vos données. |
Petits rappel des faits
Une nouvelle fois, des hackers ont mis en ligne des bases de données contenant des mots de passe piratés.
Cette fois-ci, il ne s’agit pas que de mots de passe (il y en a tout de même plus de 21 millions d’affichés), mais également des fichiers contenant 773 millions d’adresses mails.
Mais surtout, ces listes contiennent un ensemble de plus de 1 millions d’adresses mails et leurs mots de passe correspondant.
Contrôler mon adresse mail
Toujours du même auteur, le site « ai-je été pwned ? » permet de contrôler si mon adresse mail apparaît dans ses fameuses listes.
Pour votre culture, le mot « pwned » est un mot qui n’existe pas. Il serait issu des jeux vidéos et voudrait dire « possédé » (si on remplace le « p » de pwned par un « o » : owned). En gros, on peut résumer en : « est-ce que mon adresse mail fait partie de la liste ? »
Si vous voulez savoir si votre adresse mail est impactée par cette fuite, vous pouvez utiliser le site : https://haveibeenpwned.com/
Quelques explications sur l’utilisation de ce site.
Cliquez sur https://haveibeenpwned.com/
Saisissez l’adresse mail à tester et lancez le test en cliquant sur « pwned ? » | |
Bonne nouvelle, l’adresse mail testée n’apparaît sur aucune liste | |
Oh non !
Cette adresse mail figure sur certaines listes. |
Contrôler mon mot de passe
Le site https://haveibeenpwned.com/Passwords contient une base de plus de 500 millions de mots de passe, issus de diverses bases de données. Ce site ne vous dit pas si votre mot de passe a été piraté, mais il vous indique juste si l’on retrouve votre mot de passe dans ces fameuses bases.
Si votre mot de passe apparaît, il est conseillé d’en changer ou de ne pas l’utiliser si vous souhaitiez utiliser ce mot de passe.
Comment utiliser le site ?
Cliquez sur : https://haveibeenpwned.com/Passwords
Saisir le mot de passe à tester et lancez le test en cliquant sur « Pwned ? » |
|
Bonne nouvelle !
Le mot de passe testé n’est pas dans la base de données : très bien ! |
|
Oh NON !
Le mot de passe est dans la base de données, vous prenez donc des risques en l’utilisant ! Le nombre de fois où il apparaît est indiqué. |
Pour répondre tout de suite à une question qui ne manquera pas d’être posée : Qu’est-ce qui me dit que je peux avoir confiance dans ce site ?
Le site est géré par un expert reconnu sur le monde entier : sa crédibilité est en jeu.
De plus, les mots de passe saisis sont tout de suite crypté avant d’être envoyés sur le site, ce qui fait :
- qu’ils ne circulent pas en clair sur l’Internet
- que le site ne peut pas les stocker.
Pour en savoir plus sur le cryptage : Comment ça marche le cryptage ?
Qu’est-ce que tout cela veut dire ?
Si mon adresse mail apparaît et si mon mot de passe apparaît aussi, qu’est-ce que je risque ?
Si les 2 apparaissent, cela ne veut pas forcément dire que vous avez été piraté. Les 2 peuvent se retrouver dans la liste des 1 millions d’adresses mails avec mot de passe mais rien n’est sûr. Dans le doute, changez votre mot de passe.
Si seul votre mot de passe apparaît dans la liste, cela veut dire que votre mot de passe a été découvert ou qu’il est déjà utilisé par quelqu’un d’autres. Ce n’est jamais très bon et cela veut sans doute dire qu’il n’est pas très sécurisé, je vous conseille d’en changer.
Les bonnes pratiques
Je vous rappelle qu’il existe de bonne pratiques en matière de mot de passe. Vous pouvez les retrouver ici : Comment bien choisir mes mots de passe ?
Maintenant, vous savez que vous pouvez également vérifier si votre mot de passe a déjà été utilisé en allant visiter le site : https://haveibeenpwned.com/Passwords
Croyez-moi, il vaut mieux changer un mot de passe avant d’être piraté car vous évitez ainsi d’en subir les conséquences. Et de toute façon, si votre adresse mail est un jour piratée, il vous faudra modifier votre mot de passe pour la récupérer : alors autant le faire le plus tôt possible : A bon entendeur !
Bonsoir
Une question
Le contrôle email m’indique qu’une de mes adresse est pwned
Mais lorsque je donne le mot de passe de cette adresse dans le logiciel dédié, celui ci m’indique que tout va bien
Pouvez vous m’expliquer cette incohérence ( enfin ce qui me semble être une incohérence…)?
Merci
Bonjour,
le fait que le mot de passe est indiqué pwned, ne veut pas dire qu’il n’est pas bon. Cela veut juste dire qu’il a été trouvé dans la base de données.
A bientôt
C’est pourquoi je recommande toujours l’usage d’un VPN pour éviter le vol de données personnelles. Une bonne source pour ça serait sur ce comparatif https://www.iamvpn.com/
Les VPN ne te protègent pas du vol de tes données personnelles. 🙁