Régulièrement, des millions de comptes sont piratés. Des listes d’emails et leurs mots de passe associés sont alors mis en ligne à la portée de tous. Ces données compromises concernent de nombreux sites et services : des réseaux sociaux comme Facebook, mais aussi des services comme Gmail, Hotmail, Netflix ou encore LinkedIn. On estime à plus 3,2 milliards le nombre d’emails et de mots de passe dans la nature. Ces fuites de données et les informations personnelles qui y sont associées ne sont pas anodines. Voyons ensemble si votre email ou votre numéro de téléphone est concerné par ce vol de donnée, et comment protéger la sécurité de vos comptes.
Sommaire
Vérifiez si votre compte ou votre email est piraté
Si vous remarquez des activités inhabituelles sur l’un de vos comptes, vous être sans doute concerné. Cela peut être des messages écrits en votre nom sur Facebook, des modifications sur vos informations personnelles, des utilisations non autorisées de votre compte Netflix, ou encore des emails envoyés depuis votre boîte email. Il est donc important de vérifier si votre compte a été compromis.
Il existe pour cela de nombreux services gratuits. Le plus connu est sans doute Have I Been Pwned, que l’on pourrait traduite traduire par “Est-ce que je me suis fait avoir ?“. Ce service permet de savoir si vos données personnelles ont été compromises. Cette éventuelle compromission fait généralement suite à une violation de données. Le site regroupe l’ensemble des couples email et mot de passe qui ont été révélés suite au piratage d’un service. Si vous étiez inscrit sur ce service lorsqu’il a été piraté, il y a alors de grandes chances pour que vos données aient été volées.
Son utilisation est simple. Une fois sur le site, il suffit de saisir votre email ou votre numéro de téléphone puis de cliquer sur le bouton pwned.
Si votre e-mail a déjà été piraté, la réponse sera sans appel :
Le site vous indique également le nombre de violations de données détectées ainsi que la liste des sites concernés.
Si votre email n’a pas été piraté, félicitations !
Si vous possédez votre adresse email depuis longtemps et qu’elle est utilisée sur de nombreux sites, ne paniquez pas si Have I Been Pwned trouve votre email dans une base de données compromise. Cela signifie que l’un des sites sur lequel vous vous êtes inscrit a été hacké à un moment donné. Votre email et mot de passe utilisés sur ce site ont été volés et diffusés sur internet (ou sur le Dark Web). La page de résultats vous indique les sites piratés où votre email a été trouvé. Pour chacun d’entre eux, il est conseillé de changer son mot de passe.
Comment protéger ses comptes ?
Utiliser un mot de passe unique
Lorsqu’une fuite de donnée arrive, des millions de données de connexions sont diffusées. Ensuite, des pirates vont utiliser ces listes de login et password pour tester automatiquement la connexion au site piraté pour voler votre compte. L’erreur à ne pas commettre est d’utiliser le même mot de passe sur chacun des sites que vous utilisez. En effet, un seul site piraté compromet ainsi les comptes de tous les sites où vous êtes inscrit ! Un tier pourra avoir accès à votre compte, même s’il n’est pas compromis.
Il est primordial d’utiliser un mot de passe différent pour chaque connexion à un réseau social, site e-commerce ou autre service en ligne. Ainsi, une fuite de donnée ne mettra en péril qu’un seul site. Cette règle est très importante pour sécuriser vos données.
Utiliser la double authentification
Lorsque cela est possible, il est sécurisant d’utiliser l’authentification à 2 facteurs. De nombreux sites proposent une telle identification sécurisée. Cette double authentification, ou A2F, permet une vérification en deux étapes. Après avoir saisi votre identifiant et mot de passe, il est généralement demandé de saisir un code envoyé par email ou SMS. Cela permet de renforcer la sécurité de votre compte. Si la saisie du code est incorrecte, alors l’authentification échoue et vous n’aurez pas accès à votre compte.
Choisir un bon mot de passe sécurisé
Outre le fait d’utiliser un mot de passe unique pour chaque site, il convient également d’utiliser un mot de passe fort. C’est un réflexe à prendre lors de chacune de vos inscription sur un site Internet. Bien entendu, en cas de fuite de données, le choix d’un mot de passe fort ne vous sera d’aucune utilité 🙁 Mais cela permettra à un pirate de ne pas trouver facilement votre mot de passe. Oubliez donc les choix comme “123456”, “password” ou d’un mot du dictionnaire !
La notion même de mot de passe fort est sujette à des nombreuses discussions. Plus encore lorsque le marché tend à faire disparaitre les mots de passe ! Il est même possible de déverrouiller Windows avec la reconnaissance de votre visage. Comme indiqué sur le site du gouvernement français, un mot de passe fort se compose généralement de 12 caractères au minimum, avec 3 ou 4 types de caractères différents : majuscules, minuscules, chiffres et caractères spéciaux.
Vous pouvez également vous aider du générateur de mot de passe de la Cnil pour générer (et retenir !) votre mot de passe. L’idée est de retenir une phrase complète puis d’utiliser les initiales de chaque mot pour retrouver le mot de passe.