L’expert en sécurité Troy Hunt, qui gère Have I Been Pwned, a récemment reçu 2 milliards d’adresses e-mail uniques trouvées dans plusieurs listes malveillantes et sources Internet, dont 1,3 milliard de mots de passe uniques. Comme les 183 millions d’adresses e-mail violées auparavant, ces données proviennent d’une collecte agrégée par la société de sécurité Synthient, qui rassemble et résume diverses fuites de données.
Après traitement, l’ensemble de données ne contient désormais que des informations d’identification uniques (c’est-à-dire aucune combinaison en double) qui ont été interceptées par le logiciel Infostealer. Ceux-ci étaient soit disponibles gratuitement sur Internet, soit collectés via des groupes Telegram. Vous devez absolument consulter le site Web HIBP pour voir si vos comptes sont compromis.
Comment les données ont été vérifiées
Dans un article de blog, Troy Hunt décrit comment il a vérifié l’exactitude et l’exactitude des enregistrements de données. Tout d’abord, il a saisi son propre nom et a trouvé une ancienne adresse e-mail des années 90 qu’il avait réellement utilisée. Il a également trouvé plusieurs mots de passe liés, mais un seul appartenait réellement à son compte.
Il a ensuite contacté plusieurs personnes qui suivaient sa liste de diffusion, à qui il a également été demandé de vérifier leurs données. Certains ont déclaré avoir trouvé d’anciens mots de passe qui ne sont plus utilisés, tandis que d’autres ont également découvert des données d’accès actuelles à leurs comptes. Certaines données remontaient donc à plusieurs décennies, tandis que d’autres étaient nouvelles.
Les pirates utilisent également cette procédure pour essayer différentes combinaisons. Avec le « credential stuffing » (comme on appelle cette méthode), l’ancienneté des données n’a pas d’importance. Étant donné que de nombreuses personnes changent rarement leurs mots de passe, les attaquants peuvent tester diverses informations d’identification connues jusqu’à ce qu’ils réussissent. Même les mots de passe non sécurisés (tels que « 12345 »), les dates de naissance ou les noms peuvent être rapidement déchiffrés.
Vérifiez si votre mot de passe est compromis
Hunt a téléchargé les mots de passe dans sa base de données Pwned Passwords, où vous pouvez également vérifier si un mot de passe particulier a déjà été piraté. Les mots de passe sont enregistrés sans adresse e-mail associée, il s’agit donc uniquement de la sécurité du mot de passe lui-même.
Pour des raisons de sécurité, peu importe que vous ayez déjà utilisé un mot de passe non sécurisé ou que quelqu’un d’autre l’ait fait : « Si vous avez un mot de passe « Fido123 ! et vous constatez qu’il a déjà été exposé (ce qui est le cas), peu importe qu’il ait été exposé par rapport à votre adresse e-mail ou à celle de quelqu’un d’autre. C’est toujours un mauvais mot de passe car il porte le nom de votre chien suivi d’un modèle très prévisible. Si vous disposez d’un mot de passe véritablement fort et qu’il se trouve dans Pwned Passwords, vous pouvez repartir avec la certitude qu’il s’agit bien du vôtre. Quoi qu’il en soit, vous ne devriez plus jamais utiliser ce mot de passe, nulle part.
Hunt recommande de vérifier régulièrement vos propres mots de passe et comptes de messagerie (même s’il ne s’agit que d’adresses e-mail jetables). Après tout, vous ne savez jamais qui d’autre pourrait mettre la main sur vos données.
Lectures complémentaires : Comment vérifier si votre adresse e-mail est compromise
