À de nombreuses reprises dans l’histoire de la piraterie informatique, des bases de données gigantesques, comportant des dizaines, voire des centaines de milliers d’informations relatives à des comptes utilisateurs, ont été dérobées. Ces bases de données, au départ, n’avaient rien d’illégal. Elles étaient chaudement gardées par de grandes plateformes possédant pléthore d’abonnés et d’utilisateurs.
À voir aussi sur Konbini
Deux informations intéressent principalement les pirates : les adresses mails et les mots de passe (cryptés ou non). Car, que se passe-t-il si vous ne changez jamais de mail ni de mot de passe ailleurs sur Internet ? Les pirates peuvent, dans le pire des cas, accéder à vos autres comptes.
Ces bases de données, puisqu’elles valent une mine d’or, sont revendues à des prix plus ou moins élevés entre acteurs malintentionnés. Quand ce n’est pas directement sur le Darknet, ces négociations entre hackers se font sur des applications de discussions instantanées, avec une transaction via PayPal ou un transfert de cryptomonnaie, ni vu ni connu.
Depuis son lancement en 2013, une plateforme, Have I Been Pwned, permet aux internautes de vérifier gratuitement si leur adresse mail a été compromise et de savoir si leur mot de passe de connexion a été dérobé.
En se reposant sur plusieurs bases de données référençant près de huit milliards d’identifiants déjà exposés, Have I Been Pwned – traduisez “Ai-je été piraté ?” – permet donc de vérifier l’intégrité de certains de vos comptes et d’agir avant que des intrusions puissent se produire. Si le test est positif, le site vous indiquera quels types de données ont fuité et sur quels services.
Nous avons fait le test de notre côté avec un mail perso. Apparemment, celui-ci aurait fuité lors de deux attaques, l’une contre Tumblr, l’autre contre GateHub.
Cela ne signifie pas forcément que vos données seront manipulées. Elles le seront seulement si un pirate le souhaite, se donne du mal, et/ou s’il en a l’utilité, mais comme on dit, mieux vaut prévenir que guérir. Si le site vous dit que votre mail a été compromis, il faut prendre des mesures.
La première chose à faire est de changer les mots de passe de tous vos comptes et d’activer – lorsque c’est possible – des options de double authentification (SMS de vérification, notification de connexion sur un nouvel appareil…) : Have I Been Pwned est un outil servant à déceler les problèmes, pas à les résoudre.
Ce projet d’un seul homme, Troy Hunt, un Australien expert en sécurité informatique, a rapidement gagné en popularité grâce à sa simplicité d’utilisation. Ce week-end, Have I Been Pwned a même dépassé la barre symbolique des 10 000 000 000 lignes de données traitées.
Une tête et deux épaules
Deux ans avant la création du site, l’Australien était déjà connu pour ses billets de blog, dans lesquels il s’épanchait largement sur des sujets ayant trait à la sécurité informatique, la fuite de données et l’encryptage de mots de passe.
Son travail d’analyse fourni et méthodique a permis de mettre en évidence un écueil récurent : l’utilisation systématique du même password par un grand nombre d’utilisateurs.
Résultat d’une étude récente listant les mots de passe les plus utilisés dans le monde. (© https://github.com/FlameOfIgnis/Pwdb-Public // via O1.net)
Durant tout ce temps, Hunt est resté le seul responsable du service, gérant toutes les demandes – des requêtes d’utilisateurs au fonctionnement du site, en passant par son orientation éthique.
En 2019, ne se sentant plus capable de porter seul cette charge de travail, Hunt a décidé de mettre en vente le site. Après onze mois sans acquéreur, il a finalement fait savoir en mars de cette année qu’il renonçait à se séparer de Have I Been Pwned, assumant à nouveau l’entière charge de son poulain.
Le moins qu’on puisse dire, c’est qu’il faut les épaules. Troy Hunt confiait d’ailleurs à TechCrunch le mois dernier que d’autres avaient essayé de reproduire le succès de Have I Been Pwned, sans succès. Il est le seul maître à bord sur ce marché : une situation exceptionnelle, en partie due à son investissement de longue date, mais aussi à une confiance sans faille des utilisateurs.
Sept ans après sa création, le site reste la référence incontestée de la vérification d’adresses mail et semble bien parti pour le rester – et ce, même si Troy Hunt décidait de remettre Have I Been Pwned en vente dès demain.
Si vous souhaitez apporter un témoignage intéressant en relation avec le vol de données, des idées d’articles ou des suggestions à transmettre, n’hésitez pas à nous écrire à hellokonbinitechno@konbini.com.
