Vérifiez si votre adresse mail a été compromise

Vous rappelez-vous en 2012 quand Yahoo  a été piraté ? Ou Adobe fin 2013  et même  Sony en Novembre 2014  ?

La liste est longue et alors que des millions d’utilisateurs possèdent des comptes sur ces plate-formes continuent de naviguer sur l’Internet chaque jour, peu d’entre-eux ont pensés à changer leurs mots de passes depuis ces événements.
Pire encore! Alors que les bases de données de ces services ont étés divulgués publiquement sur la toile ; la majorité de ces utilisateurs utilisent toujours le même mot de passe et ça partout où ils ont pu souscrire à un formulaire d’inscription.

Et vous ?

acc

Have I been pwned?

Bonne question!
Pour ceux qui cherchent une traduction, pwned signifie tout simplement « se faire avoir » ou plus littéralement « se faire niquer ».

Troy Hunt, l’un des experts en sécurité et développeur employé chez Microsoft a donc mis au point en 2014 un service très intéressant afin de vous permettre de vérifier si votre adresse mail a été compromise.
Pour cela le site have i been pwned? comprend une large base de donnée de l’ensemble des adresses mails présentes lors des raids de pirates à l’encontre de sites tels que Adobe, Snapshat, Google et 40 autres sociétés, ce qui comprend approximativement plus de 180 millions comptes.

Cela-dit, il n’est pas toujours facile de déterminer si vous aviez créé un compte sur l’un des sites de ces compagnies au moment des piratages ; d’où l’intérêt de ce service.

 

Nos données confidentielles sont-elles diffusées librement sur la toile ?

Pour le savoir il suffit de vous rendre sur le site have i been pwned?  puis d’entrer votre adresse mail et de lancer une vérification.
Dès lors vous sera communiqué l’état de votre adresse mail.

breach

 

Si j’obtiens le message ci-dessous, ça signifie que je n’ai pas à craindre pour ma sécurité ?

Sans titre

Absolument pas! Cela veut simplement dire que votre adresse mail n’a pas été trouvée dans les bases de données des services  piratés que le site have i been pwned? possède.
Ceci-dit votre adresse mail a peut-être été compromise ailleurs ou dans d’autres circonstances.

 

De quelle manière puis-je me protéger contre ce type de malveillance ?

C’est impossible, rien ne peut prévoir à l’avance qu’un pirate puisse accéder à la base de donnée d’un site.
Le seul moyen de vous protéger efficacement est comme on a pu vous le répéter des centaines de fois, d’utiliser des mots de passes compliqués et à chaque fois différent.

Pourquoi ?
Car même si le pirate accède aux données des utilisateurs d’un service quelconque et selon la méthode de chiffrement mis en place par le site Internet ; ce dernier ne sera pas nécessairement capable de déchiffrer et d’afficher en clair votre mot de passe.
Néanmoins, en cas de réussite le pirate sera dans la capacité d’utiliser vos identifiants sur d’autres plate-formes. (Paypal, Origin, Steam, NetFlix, LDLC..)
Le but est de vérifier si ces derniers correspondent également, si c’est le cas le pirate aura alors accès à l’un de vos comptes.

Pour conclure, un communiqué en Anglais de la part du créateur du site Internet have I been pwned?, Troy Hunt:

Clearly we haven’t seen the last of the data breaches, of that there can be no doubt. Now that I have a platform on which to build I’ll be able to rapidly integrate future breaches and make them quickly searchable by people who may have been impacted. It’s a bit of an unfair game at the moment – attackers and others wishing to use data breaches for malicious purposes can very quickly obtain and analyse the data but your average consumer has no feasible way of pulling gigabytes of gzipped accounts from a torrent and discovering whether they’ve been compromised or not.

Of course the other thing is that I’ve only got five data breaches here and there are many more out there which I’m yet to integrate. Some of them aren’t suitable (LinkedIn only contained passwords and not email addresses), but if there are others you’re aware of that are now public, please let me know. No, don’t go and breach a system in order to contribute to this project!

2 comments

  • Pour éviter de me faire avoir je ne vais pas me rendre sur un site ou on va vérifier si mon adresse mail a été compromise.Pour plus de securite je vais m’abtenir.Je suppose que beaucoup d’entre vous ont un compte mail.Si ce compte est compromis la plupart du temps vous n’y avez plus accès.Le service après vente est quasi inexistant.Sur neuf cas sur dix vous devez créer un autre compte.

    Reply
    • Bonsoir, votre méfiance est légitime mais non justifié.

      haveibeenpwned comme indiqué dans l’article est un service mis à disposition par Microsoft, imaginé à l’origine par Troy Hunt.

      Cette plateforme permet de vérifier si votre adresse e-mail a été compromise par le biais d’un mécanisme très simple, en théorie; celui-ci se repose sur une base de donnée où est stocké l’ensemble des adresses mails dérobées et publiées suite aux attaques.
      Ce service vous propose ainsi d’entrer votre adresse e-mail afin que cette dernière soit comparée avec les 130millions autres utilisateurs de Adobe, par exemple.

      L’objectif principal de ce mouvement est non pas de vous nuire mais bel et bien d’apporter sécurité.
      Plus précisément, cette campagne sensibilise les utilisateurs quotidiens d’Internet qui doivent impérativement prendre l’habitude de ne pas utiliser le même mot de passes.

      A ce propos, encore aujourd’hui il est possible à un pirate de se fournir un dump de la BDD d’Adobe (et pas que), très facilement.
      Je vous invite à visiter ce lien qui vous présente le top 100 des pires mots de passes Adobe, un top établit sur l’ensemble des données récoltées.

      Pourquoi ?
      Argent, politique.. Les raisons peuvent être diverses.

      Comment ?
      Il s’agit fréquemment que l’attaquant par le biais d’outils de bruteforce, qui automatise l’envoi de requêtes sur d’autres services, en se basant sur une liste d’adresses mails et de mots de passes comme par exemple ceux renseignés dans le dump de la BDD d’Adobe, leur permettre de dérober vos autres comptes: Origin, Paypal, Amazon..
      Ceci étant dû au fait que les internautes utilisent sans arrêt les mêmes identifiants partout où ils s’inscrivent.

      Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *