Il ne se passe pas une semaine sans que l’actualité ne se fasse l’écho d’une attaque informatique ayant visé un site web ou une application, et leurs données personnelles. Et l’histoire est souvent la même d’une affaire à l’autre. Il s’agit en général de pirates qui profitent d’une faille dans la protection du service pour dérober les données personnelles de ceux qui ont ouvert un compte en faisant confiance à la sécurisation des données.
Ces informations sont ensuite diffusées sur le net, exploitées pendant des actions de phishing (hameçonnage) destinées à récupérer frauduleusement d’autres éléments ou bien font l’objet d’un commerce.
Normalement, les sites qui ont fait l’objet d’un piratage alertent leurs membres par mail. En règle générale, celui-ci comporte des indications sur ce qui s’est passé et, surtout, des recommandations à suivre sans tarder : modification du mot de passe et surveillance des comptes en banque, par exemple.
Mais il peut arriver que ce courrier ne soit pas vu par le destinataire : parce qu’il est tombé dans les spams, parce qu’il a été supprimé par mégarde ou parce que l’internaute utilise depuis un moment une nouvelle adresse de courrier électronique.
Comment savoir si on a été piraté ?
D’où l’intérêt d’un site comme « Have I Been Pwned? » (que l’on pourrait traduire par « est-ce que je me suis fait avoir ? »). Le principe est simple : vous renseignez votre adresse mail dans le champ prévu à cet effet et le site vous indique si votre mail est concerné par une fuite de données personnelles.
Deux cas de figure peuvent se présenter :
Si votre mail n’est pas recensé sur « Have I Been Pwned? », c’est bon signe. Cela veut dire que sur les services dont le site assure le suivi, votre adresse n’a — a priori — pas fait l’objet d’une fuite. Mais attention, si le site ne trouve rien, cela ne veut pas dire que tout va pour le mieux dans le meilleur des mondes.
En effet, vous êtes peut-être présent sur des services dont le piratage n’a pas été relevé par « Have I Been Pwned? », ou dont les listings de données n’ont pas été diffusés. De plus, il peut être sage de vérifier que tout va bien avec vos autres adresses, si vous en avez. Car peut-être étiez-vous inscrit avec un ancien mail.
Et dans le cas contraire ? Si votre mail figure dans la base de données de « Have I Been Pwned? », c’est le moment de s’inquiéter. Les sites qui n’ont pas su vous protéger seront visibles dans un encart situé plus bas. Dans notre cas, l’une de nos adresses était utilisée sur deux sites qui ont été piratés en septembre et décembre 2015.
Si vous êtes aussi dans ce cas, sachez que des éléments complémentaires, comme la date de la fuite et la nature des données compromises (le mot de passe, le nom d’utilisateur ou l’activité sur le site web), sont donnés, lorsqu’ils sont connus.
Des centaines de sites pris en compte
Début novembre 2017, « Have I Been Pwned? » a des informations sur 248 sites web ou applications et plus de 4,8 milliards de comptes compromis. Parmi les services qui sont pris en compte figurent Adobe, LinkedIn, Gmail, Snapchat, YouPorn, MySpace ou encore Badoo. Un classement liste également les dix piratages les plus spectaculaires.
Sans faire un inventaire à la Prévert, voici quelques-uns des sites qui sont concernés par le service : Adobe, Dailymotion, Dropbox, Tumblr, Last.fm, Disqus, Bitly, Nexus Mods, Kickstarter, Patron, CD Project Red, Gawker, Forbes, Warframe, Battlefield Heroes, Yahoo, OVH, Avast, uTorrent, Epic Games, Sony ou encore BitTorrent. Bref, il existe une chance non nulle pour que vous puissiez être concerné.
Reste une question, qui est tout à fait légitime : « Have I Been Pwned? » n’est-il pas un site de façade qui ne servirait en fait qu’à inciter les internautes à donner leurs adresses web, dans le but de mener ensuite des campagnes de hameçonnage pour dérober encore plus de donner personnelles ?
Non, ce n’est pas le cas.
Dans sa foire aux questions, le site assure qu’aucune information de ce type n’est gardée en mémoire. Quant à la personne qui s’occupe de ce service, il s’agit d’un informaticien indépendant a priori digne de confiance, Troy Hunt. Celui-ci n’est pas un total inconnu : c’est un expert reconnu dans le milieu de la sécurité informatique et a été distingué par Microsoft.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !