{"id":11346,"date":"2019-01-17T10:20:23","date_gmt":"2019-01-17T10:20:23","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11346"},"modified":"2019-01-18T10:20:50","modified_gmt":"2019-01-18T10:20:50","slug":"collection-numba-one","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/collection-numba-one\/11346\/","title":{"rendered":"Mes donn\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es sur Collection #1. Que devrai-je faire ?"},"content":{"rendered":"

Troy Hunt, expert en confidentialit\u00e9 et s\u00e9curit\u00e9, a publi\u00e9 aujourd\u2019hui un article sur son blog<\/a>, au sujet de ladite Collection #1, une immense base de donn\u00e9es qui contient plus de 700 millions d\u2019adresses e-mails uniques, et plus de 1,1 milliards de paires identifiant\/mot de passe uniques, r\u00e9cemment divulgu\u00e9s sur Internet. Dans cet article, nous vous expliquons comment v\u00e9rifier si vous avez \u00e9t\u00e9 affect\u00e9s, et ce que vous pouvez y faire.<\/p>\n

\"\"<\/p>\n

Il y a parfois des fuites et des br\u00e8ches, \u00e7a arrive assez souvent d\u2019ailleurs, et elles sont parfois tr\u00e8s importantes. Les malfaiteurs collectent les informations divulgu\u00e9es, et cr\u00e9ent des bases de donn\u00e9es \u00e0 partir des identifiants et des mots de passe. Certains d\u2019entre eux essaient d\u2019ajouter toutes les informations fuit\u00e9es \u00e0 ces bases de donn\u00e9es, ce qui donne lieu \u00e0 d\u2019\u00e9normes bases de donn\u00e9es, comme celle surnomm\u00e9e Collection #1, et que Troy Hunt a analys\u00e9e.<\/p>\n

Il ne s\u2019agit pas seulement d\u2019une fuite monstrueuse, comme celle dont Yahoo! a \u00e9t\u00e9 victime avec le vol des identifiants de milliards d\u2019utilisateurs. Dans ce cas, la collection recueille les donn\u00e9es de plus de 2 000 fuites diff\u00e9rentes, et certaines d\u2019entre elles remontent \u00e0 2008, alors que d\u2019autres sont plus r\u00e9centes.<\/p>\n

Contre toute attente, il semblerait que Collection #1 n\u2019inclut pas les identifiants et mots de passe des fuites les plus c\u00e9l\u00e8bres comme celle de LinkedIn en 2012<\/a>, et les deux de Yahoo\u00a0; voici l\u2019article que nous avons r\u00e9dig\u00e9 sur la premi\u00e8re fuite de Yahoo<\/a>, et celui sur la seconde<\/a>.<\/p>\n

Comment savoir si vous avez \u00e9t\u00e9 affect\u00e9 par Collection #1 ?<\/strong><\/h3>\n

Pour savoir si vos donn\u00e9es se trouvent sur cette base de donn\u00e9es, vous pouvez utiliser haveibeenpwned.com<\/a>. Saisissez l\u2019adresse e-mail associ\u00e9e \u00e0 vos comptes, et vous pourrez voir si cette adresse figure dans une des bases de donn\u00e9es divulgu\u00e9es, dont haveibeenpwned a connaissance.<\/p>\n

Si votre e-mail fait partie de Collection #1, il y aura un registre \u00e0 ce sujet sur haveibeenpwned. Si votre adresse n\u2019en fait pas partie, alors vous avez de la chance, et vous n\u2019avez rien \u00e0 faire. Cependant, les choses se compliquent si elle appara\u00eet.<\/p>\n

Que devrai-je faire si mon compte figure dans la base de donn\u00e9es Collection #1 ?<\/strong><\/h3>\n

Si votre e-mail est mentionn\u00e9, cela indique s\u00fbrement que vous devez faire quelque chose. Cependant, le service ne va pas vous dire quel compte associ\u00e9 \u00e0 cet e-mail a \u00e9t\u00e9 divulgu\u00e9. Est-ce le compte d\u2019un forum sur une crypto-monnaie, d\u2019une biblioth\u00e8que en ligne, ou d\u2019une communaut\u00e9 d\u2019amoureux des chats\u00a0? Cela \u00e9tant dit, deux options s\u2019offrent d\u00e9sormais \u00e0 vous, et cela d\u00e9pend de si vous avez utilis\u00e9 le m\u00eame mot de passe pour plusieurs services ou non.<\/p>\n

Option 1\u00a0: vous avez utilis\u00e9 le m\u00eame mot de passe pour plusieurs comptes associ\u00e9s \u00e0 cette adresse e-mail. Les choses vont se compliquer parce que vous allez devoir v\u00e9rifier tous ces comptes, et modifier chaque mot de passe pour garantir votre s\u00e9curit\u00e9. N\u2019oubliez pas que ces mots de passe doivent \u00eatre longs et uniques. \u00c0 mon avis, comme vous avez l\u2019habitude de ne retenir qu\u2019un seul mot de passe, il vous sera presqu\u2019impossible de vous souvenir d\u2019autant de nouveaux mots de passe\u00a0; utiliser un gestionnaire de mots de passe serait s\u00fbrement une bonne id\u00e9e.<\/p>\n

Option 2\u00a0: vous avez utilis\u00e9 des mots de passe uniques pour chaque compte associ\u00e9 \u00e0 cette adresse e-mail. Bonne nouvelle, ce sera un peu plus facile. Bien s\u00fbr, vous pouvez modifier tous vos mots de passe, mais ce n\u2019est pas n\u00e9cessaire. Vous pouvez essayer de trouver quel mot de passe a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 en utilisant une autre fonction de haveibeenpwned, appel\u00e9e Pwned Passwords<\/a>.<\/p>\n

Vous pouvez y saisir le mot de passe d\u2019un de vos comptes, et voir s\u2019il appara\u00eet dans la base de donn\u00e9es des mots de passe divulgu\u00e9s de haveibeenpwned, que ce soit en texte clair, ou en hachage<\/a>. Si vous voyez que tel ou tel mot de passe appara\u00eet au moins une fois sur haveibeenpwned, vous devriez le modifier. Faites ensuite la m\u00eame chose avec un autre mot de passe.<\/p>\n

Cela signifie \u00e9videmment que vous faites confiance \u00e0 haveibeenpwned, et la plupart des gens n\u2019ont absolument aucune raison de le faire. C\u2019est pourquoi vous pouvez \u00e9galement coller un hachage SHA-1 de votre mot de passe, et vous obtiendrez exactement le m\u00eame r\u00e9sultat que si vous saisissez votre mot de passe. Plusieurs ressources sont disponibles en ligne pour cr\u00e9er des hachages SHA-1 \u00e0 partir de n\u2019importe quelle information que vous leur fournissez. J\u2019ai fait une recherche sur Google pour vous<\/a>. Vous \u00e9vitez ainsi de r\u00e9v\u00e9ler votre mot de passe \u00e0 haveibeenpwned, et d\u2019avoir plus de raisons d\u2019\u00eatre parano\u00efaque.<\/p>\n

Quelques conseils g\u00e9n\u00e9raux pour vous prot\u00e9ger, et ne pas \u00eatre touch\u00e9 par la plupart des fuites de donn\u00e9es<\/strong><\/h3>\n

Nous avons constat\u00e9 de nombreuses fuites ces derni\u00e8res ann\u00e9es, et on peut penser que beaucoup d\u2019autres vont se produire dans le futur. C\u2019est pourquoi de nouvelles immenses bases de donn\u00e9es, comme Collection #1, vont appara\u00eetre de temps en temps, et les malfaiteurs vont volontiers les utiliser pour essayer d\u2019acc\u00e9der aux comptes des utilisateurs. Afin de r\u00e9duire les risques d\u2019\u00eatre victime d\u2019une telle fuite, je vous recommande de faire ce qui suit\u00a0:<\/p>\n