Un service sur lequel vous êtes inscrit a été piraté et vous craignez pour vos données personnelles ? Un site permet de vérifier si votre e-mail est concerné.
Il ne se passe pas une semaine sans que l’actualité ne se fasse l’écho d’une attaque informatique ayant visé un site web ou une application, et leurs données personnelles. Et l’histoire est souvent la même d’une affaire à l’autre. Il s’agit en général de pirates qui profitent d’une faille dans la protection du service pour dérober les données personnelles de ceux qui ont ouvert un compte en faisant confiance à la sécurisation des données.
[Vous devez être inscrit et connecté pour voir cette image]Gare à votre e-mail !
Ces informations sont ensuite diffusées sur le net, exploitées pendant des actions de phishing (hameçonnage) destinées à récupérer frauduleusement d’autres éléments ou bien font l’objet d’un commerce.
Normalement, les sites qui ont fait l’objet d’un piratage alertent leurs membres par mail. En règle générale, celui-ci comporte des indications sur ce qui s’est passé et, surtout, des recommandations à suivre sans tarder : modification du mot de passe et surveillance des comptes en banque, par exemple.
Mais il peut arriver que ce courrier ne soit pas vu par le destinataire : parce qu’il est tombé dans les spams, parce qu’il a été supprimé par mégarde ou parce que l’internaute utilise depuis un moment une nouvelle adresse de courrier électronique.
- Citation :
- Est-ce que je me suis fait avoir ?
D’où l’intérêt d’un site comme «
Have I Been Pwned ? » (que l’on pourrait traduire par « est-ce que je me suis fait avoir ? »). Le principe est simple : vous entrez votre adresse mail dans le champ prévu à cet effet et le site vous indique si votre mail est concerné par une fuite de données personnelles.
Deux cas de figure peuvent se présenter.
[Vous devez être inscrit et connecté pour voir cette image]Pas de problème !
Si votre mail n’est pas recensé sur «
Have I Been Pwned ? », c’est bon signe. Cela veut dire que sur les services dont le site assure le suivi, votre adresse n’a — a priori — pas fait l’objet d’une fuite. Mais attention, si le site ne trouve rien, cela ne veut pas dire que tout va pour le mieux dans le meilleur des mondes.
En effet, vous êtes peut-être présent sur des services dont le piratage n’a pas été relevé par «
Have I Been Pwned ? », ou dont les listings de données n’ont pas été diffusés. De plus, il peut être sage de vérifier que tout va bien avec vos autres adresses, si vous en avez. Car peut-être étiez-vous inscrit avec un ancien mail.
[Vous devez être inscrit et connecté pour voir cette image]C’est mauvais signe.
Et dans le cas contraire ? Si votre mail figure dans la base de données de «
Have I Been Pwned ? », c’est le moment de s’inquiéter. Les sites qui n’ont pas su vous protéger seront visibles dans un encart situé plus bas. Dans notre cas, l’une de nos adresses était utilisée sur deux sites qui ont été piratés en septembre et décembre 2015.
Si vous êtes aussi dans ce cas, sachez que des éléments complémentaires, comme la date de la fuite et la nature des données compromises (le mot de passe, le nom d’utilisateur ou l’activité sur le site web), sont donnés, lorsqu’ils sont connus.
Have I been pwned ?
À l’heure actuelle, «
Have I Been Pwned ? » prend en compte 71 sites web ou applications et plus de 278 millions de comptes compromis. Parmi les services qui sont pris en compte figurent Adobe, Ashley Madison, Gmail, Snapchat, YouPorn, Battlefield Heroes ou encore Yahoo. Un classement liste également les dix piratages les plus spectaculaires.
Reste une question, qui est tout à fait légitime : «
Have I Been Pwned ? » n’est-il pas un site de façade qui ne servirait en fait qu’à inciter les internautes à donner leurs adresses web, dans le but de mener ensuite des campagnes de hameçonnage pour dérober encore plus de donner personnelles ?
Dans sa foire aux questions, le site assure qu’aucune information de ce type n’est gardée en mémoire. Quant à la personne qui s’occupe de ce service, il s’agit d’un informaticien indépendant a priori digne de confiance, Troy Hunt. Celui-ci n’est pas un total inconnu : c’est un expert reconnu dans le milieu de la sécurité informatique et a été distingué par Microsoft.