Une attaque massive en 2012 a porté ses fruits ces dernières semaines : des informations provenant des utilisateurs de Dropbox, Last.fm, LinkedIn et même de Brazzers ont été diffusées sur le web. Le problème est important, surtout pour ceux qui ont l’habitude de réutiliser les mêmes mots de passe dans plusieurs services et finissent par mettre en danger plusieurs comptes. Mais il existe un moyen de savoir si vos informations ont fait l’objet d’une fuite.
L’un des plus connus pour vérifier les fuites est Have I Been Pwned : ils capturent les informations divulguées et les incluent dans une base de données, qui compte déjà 134 services et 1,4 milliard de comptes enregistrés. Il suffit de faire une recherche sur l’adresse électronique ou le nom d’utilisateur que vous utilisez habituellement dans les services e le site vous renverra une liste des fuites qui contenaient vos informations.
Une autre bonne source est LeakedSource, qui vous permet de faire des recherches plus précises : outre le nom d’utilisateur ou l’adresse électronique, vous pouvez effectuer des recherches par numéro IP, nom complet ou même numéro de téléphone. Sur le blog de LeakedSource, il y a des statistiques sur les fuites ? et souvent, il y a des centaines de milliers d’emails @uol.com, @globo.com ou @yahoo.com dans le gâteau, donc il y a beaucoup de francia au milieu des 2,2 milliards de comptes enregistrés par le site.
À en juger par les événements récents, il est beaucoup plus probable que vos données aient déjà fait l’objet d’une fuite que le contraire. Et l’expérience montre que vous ne pouvez pas faire confiance aux sociétés qui stockent vos données, puisque plusieurs d’entre elles utilisent des algorithmes de hachage faibles (comme Last.fm, qui conservait tout en MD5 et avait 96% des mots de passe cassés en deux heures) ou, pire, stockent les combinaisons en texte clair dans la base de données.
Nous sommes au milieu d’une vague de fuites et demain est un jour férié. Il peut être judicieux de passer environ 30 minutes à changer vos mots de passe (au moins les plus importants), à organiser votre gestionnaire de mots de passe et à activer la vérification en deux étapes si vous ne l’avez pas encore fait.
Quels services ont déjà divulgué vos mots de passe ?