Il arrive sans cesse qu’une nouvelle fuite ou une nouvelle violation de données se produise à grande échelle. Nous avons eu des affaires impliquant des bases de données Adobe, LinkedIn, Yahoo !, Tumblr, Bit.ly, MySpace, Google+… une liste interminable de fichiers Pastebin avec des identifiants et des mots de passe.
Dans certains cas, les criminels compriment les informations de chaque violation dans de grandes bases de données, ce qui entraîne la création de gigantesques bases de données comme la Collection n°1, qui expose plus de 1,1 milliard de courriels et de mots de passe sur Internet. L’information provient du chercheur Troy Hunt, créateur du Have I Been Pwned ? parlons-en.
Cette nouvelle, malheureusement, est devenue monnaie courante. Mais au lieu de naturaliser le risque qu’ils représentent, nous pouvons faire quelque chose pour y remédier. Ensuite, vous saurez quoi faire si un courriel ou un mot de passe s’est échappé sur l’internet et comment vous protéger en cas de violation.
Sommaire
Comment savoir si vos mots de passe ont fait l’objet d’une fuite sur Internet ?
La première étape consiste à découvrir l’ampleur de la fuite dans votre vie. Nous avons déjà expliqué comment savoir si votre adresse électronique et votre mot de passe ont fait l’objet d’une fuite, en utilisant le site Have I Been Pwned, ou des sites similaires.
Il suffit d’indiquer votre adresse électronique ou votre mot de passe et d’attendre l’analyse pour savoir s’ils figurent sur une liste de fuites de données sensibles établie par le site (Pastebin efface généralement ces données dès qu’elles sont signalées). Il est essentiel de pouvoir compter sur la curatelle du HIBP. Il existe des alternatives telles que (meuenha.com), en français, si vous préférez.
Si votre courriel ou votre mot de passe est présent dans une compilation de fuites, le site le communiquera. Sinon, bonne chance ! Vous pouvez vous inscrire pour recevoir des alertes.
Une autre astuce consiste à utiliser l’extension Chrome (Google Password Checkup) qui vérifie les mots de passe vides. Un nouveau partenariat entre Firefox et 1Password a le même objectif.
Votre adresse électronique ou votre mot de passe ont-ils été divulgués ?
Si votre adresse électronique ou votre mot de passe ont été exposés, la deuxième étape consiste à voir la date à laquelle cela s’est produit. ? Des e-mails et mots de passe plus anciens, ayant une longue histoire, ont pu faire l’objet de plusieurs incidents dans le passé. Toutefois, si les fuites ont eu lieu il y a longtemps et que vous avez changé les mots de passe des courriels, des sites ou des applications après la date, soyez rassuré.
Toutefois, si vous n’avez pas changé votre mot de passe depuis lors (ou si vous ne vous souvenez pas l’avoir changé) ou s’il s’agit d’une nouvelle fuite, il y a deux scénarios que vous devez considérer comme très importants.
Note :
Lorsqu’un site comme Have I Been Pwned vous avertit d’une “brèche”, il s’agit d’un incident au cours duquel vos données ont été exposées, généralement en raison de contrôles d’accès insuffisants ou de failles de sécurité dans le logiciel. Cependant, la plateforme ne dit pas lequel des comptes liés à l’e-mail (applications, services ou jeux) a été violé.
En effet, les fuites de logins et de mots de passe concernent les identifiants d’accès aux services/sites avec lesquels vous vous êtes inscrit avec ce courriel. Si c’était la base de données d’Adobe, c’est certainement l’e-mail que vous avez souscrit aux services d’Adobe qui a fui.
Premier scénario :
1) vous utilisez un mot de passe différent pour accéder à votre courrier électronique et à d’autres applications/sites
Félicitations ! ?
Si vous faites cela, même en ayant accès à votre mot de passe pour ce service, vous ne pourrez pas, par exemple, accéder à votre courrier électronique personnel ou aux réseaux sociaux. Vous pouvez, à titre de mesure supplémentaire, changer tous vos mots de passe, mais ce n’est pas nécessaire. Si vous voulez connaître un mot de passe que vous utilisez et qui a été divulgué avec cet e-mail, testez le mot de passe.
Si vous êtes inquiet de saisir votre mot de passe – même pour savoir s’il a fui ou non – vous pouvez utiliser un hachage SHA-1 de votre mot de passe qui devrait donner le même résultat (il existe plusieurs sites de génération de hachage) et votre mot de passe ne sera pas “livré”.
Deuxième scénario :
2) vous utilisez le même mot de passe pour plusieurs comptes (courrier électronique, réseaux sociaux, applications ?)
Vous êtes dans le pétrin ! ? ?
Essayez de vous souvenir de tous vos e-mails utilisés pour faire une vérification complète. Pour garantir votre sécurité, accédez immédiatement aux comptes les plus importants pour vous (tels que les courriers électroniques, les réseaux sociaux et les sites/applications d’entreprise) et modifiez tous les mots de passe ( !).
Cette fois, ne faites plus d’erreurs, les mots de passe doivent être :
Lorsque vous travaillez avec des mots de passe uniques et forts, si un site web ou un service que vous utilisez est piraté, vous devrez changer uniquement le mot de passe qui lui correspond et non tous vos mots de passe. Les gestionnaires de mots de passe proposent eux-mêmes un générateur de mots de passe.
Une autre astuce consiste à activer l’authentification à deux facteurs (deux étapes). Il est donc difficile pour les tiers d’accéder à votre compte, même s’ils peuvent obtenir votre identifiant et votre mot de passe.