Mes données ont été divulguées sur Collection #1. Que devrai-je faire ?

17 Jan 2019

Troy Hunt, expert en confidentialité et sécurité, a publié aujourd’hui un article sur son blog, au sujet de ladite Collection #1, une immense base de données qui contient plus de 700 millions d’adresses e-mails uniques, et plus de 1,1 milliards de paires identifiant/mot de passe uniques, récemment divulgués sur Internet. Dans cet article, nous vous expliquons comment vérifier si vous avez été affectés, et ce que vous pouvez y faire.

Il y a parfois des fuites et des brèches, ça arrive assez souvent d’ailleurs, et elles sont parfois très importantes. Les malfaiteurs collectent les informations divulguées, et créent des bases de données à partir des identifiants et des mots de passe. Certains d’entre eux essaient d’ajouter toutes les informations fuitées à ces bases de données, ce qui donne lieu à d’énormes bases de données, comme celle surnommée Collection #1, et que Troy Hunt a analysée.

Il ne s’agit pas seulement d’une fuite monstrueuse, comme celle dont Yahoo! a été victime avec le vol des identifiants de milliards d’utilisateurs. Dans ce cas, la collection recueille les données de plus de 2 000 fuites différentes, et certaines d’entre elles remontent à 2008, alors que d’autres sont plus récentes.

Contre toute attente, il semblerait que Collection #1 n’inclut pas les identifiants et mots de passe des fuites les plus célèbres comme celle de LinkedIn en 2012, et les deux de Yahoo ; voici l’article que nous avons rédigé sur la première fuite de Yahoo, et celui sur la seconde.

Comment savoir si vous avez été affecté par Collection #1 ?

Pour savoir si vos données se trouvent sur cette base de données, vous pouvez utiliser haveibeenpwned.com. Saisissez l’adresse e-mail associée à vos comptes, et vous pourrez voir si cette adresse figure dans une des bases de données divulguées, dont haveibeenpwned a connaissance.

Si votre e-mail fait partie de Collection #1, il y aura un registre à ce sujet sur haveibeenpwned. Si votre adresse n’en fait pas partie, alors vous avez de la chance, et vous n’avez rien à faire. Cependant, les choses se compliquent si elle apparaît.

Que devrai-je faire si mon compte figure dans la base de données Collection #1 ?

Si votre e-mail est mentionné, cela indique sûrement que vous devez faire quelque chose. Cependant, le service ne va pas vous dire quel compte associé à cet e-mail a été divulgué. Est-ce le compte d’un forum sur une crypto-monnaie, d’une bibliothèque en ligne, ou d’une communauté d’amoureux des chats ? Cela étant dit, deux options s’offrent désormais à vous, et cela dépend de si vous avez utilisé le même mot de passe pour plusieurs services ou non.

Option 1 : vous avez utilisé le même mot de passe pour plusieurs comptes associés à cette adresse e-mail. Les choses vont se compliquer parce que vous allez devoir vérifier tous ces comptes, et modifier chaque mot de passe pour garantir votre sécurité. N’oubliez pas que ces mots de passe doivent être longs et uniques. À mon avis, comme vous avez l’habitude de ne retenir qu’un seul mot de passe, il vous sera presqu’impossible de vous souvenir d’autant de nouveaux mots de passe ; utiliser un gestionnaire de mots de passe serait sûrement une bonne idée.

Option 2 : vous avez utilisé des mots de passe uniques pour chaque compte associé à cette adresse e-mail. Bonne nouvelle, ce sera un peu plus facile. Bien sûr, vous pouvez modifier tous vos mots de passe, mais ce n’est pas nécessaire. Vous pouvez essayer de trouver quel mot de passe a été révélé en utilisant une autre fonction de haveibeenpwned, appelée Pwned Passwords.

Vous pouvez y saisir le mot de passe d’un de vos comptes, et voir s’il apparaît dans la base de données des mots de passe divulgués de haveibeenpwned, que ce soit en texte clair, ou en hachage. Si vous voyez que tel ou tel mot de passe apparaît au moins une fois sur haveibeenpwned, vous devriez le modifier. Faites ensuite la même chose avec un autre mot de passe.

Cela signifie évidemment que vous faites confiance à haveibeenpwned, et la plupart des gens n’ont absolument aucune raison de le faire. C’est pourquoi vous pouvez également coller un hachage SHA-1 de votre mot de passe, et vous obtiendrez exactement le même résultat que si vous saisissez votre mot de passe. Plusieurs ressources sont disponibles en ligne pour créer des hachages SHA-1 à partir de n’importe quelle information que vous leur fournissez. J’ai fait une recherche sur Google pour vous. Vous évitez ainsi de révéler votre mot de passe à haveibeenpwned, et d’avoir plus de raisons d’être paranoïaque.

Quelques conseils généraux pour vous protéger, et ne pas être touché par la plupart des fuites de données

Nous avons constaté de nombreuses fuites ces dernières années, et on peut penser que beaucoup d’autres vont se produire dans le futur. C’est pourquoi de nouvelles immenses bases de données, comme Collection #1, vont apparaître de temps en temps, et les malfaiteurs vont volontiers les utiliser pour essayer d’accéder aux comptes des utilisateurs. Afin de réduire les risques d’être victime d’une telle fuite, je vous recommande de faire ce qui suit :

  • Utilisez des mots de passe longs et uniques pour chaque compte. Ainsi, si un service est en danger, vous n’aurez qu’à changer un seul mot de passe.
  • Autorisez l’authentification à deux facteurs dans la mesure du possible. Ce système empêche les pirates informatiques d’accéder à votre compte, même s’ils ont réussi à obtenir votre identifiant et votre mot de passe.
  • Utilisez des solutions de sécurité, comme Kaspersky Security Cloud, qui peuvent vous avertir des dernières brèches.
  • Utilisez un gestionnaire de mot de passe qui peut vous aider à créer de nombreux mots de passe uniques et forts, sans avoir besoin de les mémoriser. Les gestionnaires de mot de passe peuvent également vous aider à modifier plus rapidement vos mots de passe lorsque vous en avez besoin. Kaspersky Password Manager gère efficacement ces deux tâches.