Have you been pwned?

La compromission d'un site web est chose courante, bien plus que vous ne pouvez le supposer. De nombreux pirates s'amusent à "voler" des bases de données rendues accessibles par des failles de sécurité ou des négligences et certains ensuite vont diffuser ces masses de données à caractère personnel.

Le site web Have I Been Pwned est à cet égard très intéressant : il propose un moteur de recherche dans lequel vous pouvez chercher votre adresse email et ainsi découvrir si elle est présente dans une des fuites de données répertoriées. Have I Been Pwned propose aussi de s'enregistrer pour recevoir automatiquement une alerte si votre adresse email est découverte ultérieurement dans de nouvelles fuites de données.
J'ai notamment créé une alerte pour être averti à chaque fois qu'une adresse email Lyon 2 est présente dans une fuite de données, ce qui me permet d'avertir à mon tour, et dans un délai très court les usagers concernés.

Certains sites tentent de sensibiliser le public en affichant publiquement le plus grand nombre de fuites de données possibles, comme https://vigilante.pw/, mais il est difficile pour le non-spécialiste d'y voir autre chose qu'un listing barbant. Là où Have I Been Pwned se distingue, c'est dans son interactivité. Son auteur/développeur Troy Hunt fourni à tout le monde la possibilité de tester son adresse email, mais aussi un accès par API pour les spécialistes ou les professionnels qui veulent être le plus réactifs possible dans le traitement de ces incidents de sécurité.

Au nombre des grosses fuites de données répertoriées, on trouve notamment ~359 M de comptes MySpace, ~165 M de comptes LinkedIn, ~152 M de comptes Adobe. Il y en a aussi certaines qui sont très sensibles comme les fuites de sites de rencontre ou de sites pornographiques. En tant qu'utilisateur de ces services en ligne, vous pouvez être amené à fournir des informations extrêmement personnelles. La fuite de données du site Adult Friend Finder inclut par exemple le nom d'utilisateur, la date de naissance, la localisation géographique, l'adresse email, le genre, la race, l'orientation sexuelle, les langues parlées…

La divulgation de ces données personnelles peut bien évidement causer de gros dégâts dans votre vie personnelle. Have I Been Pwned est donc un rappel marquant à la prudence. Mais il y a une autre chose importante que nous rappelle ce site : n'utilisez jamais le même mot de passe pour différents comptes utilisateur.

En effet, de très nombreuses fuites de données contiennent le mot de passe des utilisateurs. En général, ces mots de passe sont mal protégés et sont facilement cassés par les pirates, puis par le grand public quand les fichiers sont publiés en ligne. Si par exemple vous aviez un compte LinkedIn en 2012 (date du piratage), alors votre mot de passe LinkedIn de l'époque est public depuis mai 2016. Si vous utilisiez le même mot de passe sur LinkedIn et sur d'autres sites (Gmail, Apple, Yahoo, Lyon 2…) ces comptes sont facilement piratables.

Vous-vous posez sans doute la question de la légitimité du site Have I Been Pwned. Vous avez raison, c'est une saine méfiance. Néanmoins vous pouvez être rassuré : Troy Hunt est sérieux et très impliqué personnellement et professionnellement dans la sécurité des données sur internet. Le site ne publie aucune donnée personnelle et se contente de vous permettre de vérifier si les votre existent dans des fuites répertoriées.

À garder en tête :