1,3 milliard de mots de passe divulgués exposés en ligne dans une nouvelle collection massive : que faire maintenant et comment vérifier vos mots de passe

Si vous n'avez pas vérifié si vos informations d'identification ont été volées par des pirates informatiques, vous devriez absolument le faire, car 1,3 milliard de mots de passe uniques ainsi que 2 milliards d'adresses e-mail uniques ont été exposés en ligne.

Non, il ne s’agit pas d’une autre violation de données dans laquelle les systèmes d’une grande entreprise ou d’un détaillant ont été infiltrés par des pirates. Au lieu de cela, la société de renseignement sur les menaces Synthient a parcouru à la fois le Web ouvert et le Web sombre à la recherche d'adresses e-mail et de mots de passe divulgués. Si le nom de l'entreprise vous semble familier, c'est parce qu'elle a récemment découvert 183 millions de comptes de messagerie ayant fait l'objet de fuites.

La majeure partie de ces données consiste en des listes de « credential stuffing » qui contiennent généralement des connexions regroupées à partir de violations de données antérieures où les adresses e-mail et les mots de passe ont été exposés. Ces collections d'identifiants volés sont ensuite vendues à d'autres cybercriminels pour les utiliser dans leurs propres attaques.

Cette fois cependant, Synthient a regroupé les 2 milliards d'e-mails et 1,3 milliard de mots de passe et avec l'aide de Troy Hunt et Have I Been Pwned, vous pouvez désormais les parcourir tous pour voir si vos données personnelles ont été exposées en ligne. Voici tout ce que vous devez savoir, y compris comment vérifier si l'un de vos mots de passe est compromis.

Du dark web aux mots de passe Pwned

Cet énorme trésor de données volées a été compilé par le fondateur de Synthient, Benjamin Brundage, qui a parcouru d'innombrables endroits du Web ouvert et sombre où les cybercriminels font généralement circuler des informations d'identification divulguées. Les données elles-mêmes sont un mélange d'anciens identifiants issus de violations passées et de connexions plus récentes volées par des logiciels malveillants de vol d'informations répandus qui capturent les données des utilisateurs directement à partir des PC infectés. Comme le souligne Troy Hunt dans un article de blog, les deux hommes ont ensuite travaillé ensemble, Brundage fournissant les données et Hunt les vérifiant.

Afin de vérifier ces données volées, Hunt a commencé avec l'une de ses anciennes adresses e-mail dont il savait qu'elle figurait auparavant sur des listes de credential stuffing. Sans surprise, cette adresse et plusieurs mots de passe qui y sont associés étaient contenus dans la mine de données fournie par Synthient.

Une fois ses propres données vérifiées, Hunt a ensuite contacté une poignée d'abonnés de Have I Been Pwned pour leur demander leur aide pour faire la même chose. En sélectionnant un mélange d'abonnés dont les données avaient été brièvement exposées et d'autres qui n'avaient jamais été impliqués dans une violation de données auparavant, il a pu déterminer qu'il y avait en fait de nouvelles données dans cette collection et pas seulement des adresses e-mail et des mots de passe recyclés.

Have I Been Pwned charge les mots de passe exposés qu'il rencontre dans le service Pwned Passwords distinct. Surtout, Pwned Passwords ne stocke ni n’indexe jamais les adresses e-mail correspondantes, garantissant ainsi votre confidentialité et vous protégeant contre une utilisation abusive de la base de données.

Pour vérifier si l'un de vos mots de passe actuels a été volé lors d'une violation de données ou exposé en ligne, rendez-vous sur la page de recherche des mots de passe Pwned et saisissez-les-y. Have I Been Pwned utilise un modèle d'anonymat pour les vérifier, ce qui signifie que le service ne les voit pas et qu'au lieu d'être traité sur le cloud, tout cela se fait directement dans votre navigateur.

Si l'un de vos mots de passe apparaît dans Pwned Passwords, vous devez le modifier immédiatement car les cybercriminels le possèdent. Bien que vous puissiez utiliser l'un des meilleurs gestionnaires de mots de passe pour générer un nouveau mot de passe plus sécurisé, il existe également de nombreux générateurs de mots de passe gratuits en ligne qui peuvent faire la même chose. Par exemple, Bitwarden, LastPass et ProtonPass proposent tous des générateurs de mots de passe gratuits en plus de leurs gestionnaires de mots de passe payants.

Comment protéger vos mots de passe des pirates

Lorsqu’il s’agit d’éviter que vos mots de passe ne tombent entre de mauvaises mains, la chose la plus importante que vous puissiez faire est d’éviter la réutilisation des mots de passe. Vous ne devez jamais réutiliser le même mot de passe et la même adresse e-mail sur plusieurs sites ou services en ligne et la raison en est simple : une fois que les pirates informatiques auront mis la main sur un ensemble d'informations d'identification, ils tenteront de les utiliser sur d'autres sites pour accéder à vos comptes. C'est ce qu'on appelle le credential stuffing et étant donné le nombre de personnes qui réutilisent encore leurs mots de passe, c'est très efficace.

À partir de là, vous souhaitez créer des mots de passe forts, complexes et uniques pour tous vos comptes. Utiliser un générateur de mots de passe comme ceux mentionnés ci-dessus ou mieux encore, celui inclus dans votre gestionnaire de mots de passe est le moyen le plus simple de le faire.

Même le mot de passe le plus fort peut être compromis en cas de violation de données. C'est pourquoi l'authentification à deux facteurs (2FA) n'est pas négociable sur tous les comptes importants. En exigeant une deuxième méthode de vérification (comme un code provenant d'une application d'authentification ou une clé physique) en plus de votre mot de passe, vous garantissez que même si un cybercriminel dispose de vos informations de connexion volées, il ne pourra pas accéder à votre compte.

En plus d'utiliser des mots de passe forts et uniques, vous devez protéger activement vos appareils contre les logiciels malveillants en utilisant le meilleur logiciel antivirus sur PC, le meilleur logiciel antivirus Mac sur votre ordinateur Apple et les meilleures applications antivirus Android sur votre smartphone Android. Ceci est crucial car les pirates informatiques s’appuient souvent sur des logiciels malveillants voleurs d’informations (également appelés infostealers) diffusés via des attaques de phishing pour siphonner directement vos mots de passe et informations sensibles de vos appareils avant même que vous vous connectiez à un site.

Si vous souhaitez abandonner complètement les mots de passe pour des connexions encore plus sécurisées, vous souhaiterez peut-être plutôt utiliser des clés d'accès. Pour ceux qui ne les connaissent pas, les mots de passe constituent un nouveau moyen hautement sécurisé de vous connecter à vos comptes qui utilise une paire de clés cryptographiques au lieu d'une chaîne de lettres, de chiffres et de symboles. Ils ne peuvent pas être devinés ou réutilisés et, mieux encore, ils sont totalement résistants aux attaques de phishing.

Considérez vos mots de passe comme la porte d'entrée de votre maison. Plus ils sont forts, plus il sera difficile pour les pirates d’y pénétrer. Malheureusement, même si vous pratiquez une cyber-hygiène parfaite en ligne, vos mots de passe et autres données sensibles peuvent toujours se retrouver entre les mains de pirates à la suite d’une violation de données. C'est pourquoi je pense personnellement que les mots de passe sont l'avenir et recommande de les utiliser partout où ils sont pris en charge.

Même si nous nous précipitons souvent pour changer nos mots de passe et sécuriser nos comptes après un titre de sécurité effrayant comme celui-ci, en restant au courant de votre vie numérique et en prenant des mesures proactives plus fréquemment, vous aurez une longueur d'avance sur les pirates.

---

---