Skip to main content

Un auto-entrepreneur passionné à votre service,

Pour votre projet de site internet et vos dépannages informatiques

Protégez votre vie numérique

Article publié le 18 Juin 2019
Dernière modification 3 Janvier 2024

Page 4 sur 8: Mon mot de passe/email a-t-il été piraté ?

Mon mot de passe/email a-t-il été piraté ?

Par un doux mélange de facilité et de flemme, on a tendance à utiliser des mots de passe trop simples et ne jamais en changer sur une majorité de sites et services. Le risque ? Si un seul des sites/service sur lequel vous vous identifiez est piraté, essayez d'imaginer le nombre d'endroits où le détendeur de vos identifiants pourrait se loguer ! Un simple forum de seconde zone, rarement mis à jour et administré par des amateurs se fait hacker et un pirate pourrait alors s'identifier sur votre compte Google ou votre compte Microsoft si les identifiants sont les mêmes ! D'où l'importance d'activer dès que possible la double authentification, comme nous le voyons après, sur les sites les plus importants. Et vérifier si son email ou son mot de passe est déjà compromis ou non !

551 millions de passwords compromis

Vous ne vous sentez pas concerné ? Pourtant, des sites et des forums sont compromis tous les jours. On trouve des bases de données de mot d'emails et de mots de passe facilement sur le net. Parfois même gratuitement comme comme celle partagée sur Mega il y a quelques mois et qui pèse 87.Go et contient 772 millions d'adresses email et plus de 21 millions de mots de passe ! Sur le site (bienveillant) haveibeenpwned.com, dont on reparle un peu plus loin, on peut en télécharger une de 11 Go qui comprenant 550 millions de mots de passe compromis ! Et n'allez pas croire que seuls les petits sites mal sécurisés sont victimes de piratage, au contraire. Pour un hacker mal intentionné (un pirate quoi), il est bien plus lucratif de récupérer les comptes par centaines de milliers d'une grande entreprise (et le challenge technique plus excitant). Si vous avez bonne mémoire, on annonçait déjà une faille de sécurité majeure chez MySpace (alors leader du blog) en 2008 qui a exposé pas moins de 360 millions de comptes avec, notamment, les 10 premiers caractères du mot de passe en clair ! En octobre 2013, Adobe s'est fait voler pas moins de 152 millions de comptes, inclus nom d'utilisateur, mot de passe chiffré et indice de mot de passe, le chiffrement des mots de passe ayant été rapidement contourné par la suite ! En mai 2016, c'était au tour de Linkdyn d'être au centre de la controverse avec pas moins de 164 millions d'adresses email et mot de passe mis en vente au marché noir (le hack datant pourtant de 2012). Et il existe de nombreux exemples du genre ! Même les joueurs sur consoles ne sont pas à l'abri, rappelez-vous l'attaque chez Sony qui, en 2011, a exposé pas moins de 77 millions d'utilisateurs. Toutes les intrusions ne sont pas aussi lourdes de conséquences les unes que les autres (parfois, aucun mot de passe n'est exposé, par exemple,)mais si vous êtes du genre à ne jamais changer de mot de passe, il y a de fortes chances pour que ce dernier apparaisse déjà dans une base de données qui circule sur le net.

Il y a quelques années, suite à l'intrusion chez Adobe qui avait fait grand bruit, le spécialiste de la sécurité et directeur régional chez Microsoft Troy Hunt a mis en ligne le site haveibeenpwned.com que nous vous avions présenté dans notre précédent dossier dédié à la sécurité (HM94)Ce nom de domaine amusant qui peut se traduire par me suis-je fait avoir ? a pour but d'aider tout un chacun à savoir si ses adresses email et ses mots de passe faisaient partie des listing volés et en vente sur le darkweb. Et vous risquez d'avoir des sueurs froides ! L'adresse email personnelle de votre serviteur, testée sur haveibeenpwned.com, ressort dans 11 intrusions, y compris de grands noms comme Adobe, Dropbox ou KickStarter ! Ça démontre, s'il y a encore des sceptiques, l'intérêt d'avoir un mot de passe différente unique pour chaque site ! Pour les mots de passe, on se rend compte que les plus courts (6 lettres et chiffres par exemple) sont presque tous compromis, mais ça ne veut pas forcément dire qu'il est associé à votre email, un autre internaute ayant pu utiliser le même mot de passe. Nos tests montrent également que les mots de passe les plus longs et sans facilité de découverte ( touches contiguës par exemple) que la sécurité est bien au rendez-vous (mots de passe qui n'apparaissent pas comme compromis).

2FA, la double authentification
Page