87 gigaoctets d’adresses e-mails et de mots de passe : c’est le contenu d’une gigantesque base de données mise en ligne mi-janvier sur Mega, un service populaire de partage de fichiers. Cette base de données n’est désormais plus accessible, mais elle a été analysée par le chercheur en sécurité informatique Troy Hunt. Il en a intégré les résultats dans le moteur de recherche HaveIbeenPwned, qu’il a créé : un site qui permet de savoir si une adresse email ou des mots de passe ont été compromis dans le cadre de piratages plus ou moins récents.
- Que contient ce fichier apparu sur Mega ?
Le dossier apparu sur Mega, nommé « Collection #1 », compile des bases de données de mots de passes lisibles « en clair » et d’adresses e-mails liées. On y dénombre 772 millions d’adresses e-mails uniques, ce qui est considérable, et plus de 21 millions de mots de passe différents. On ignore qui a compilé ces données avant de les publier.
- S’agit-il d’un nouveau piratage ?
Non. L’ensemble des adresses et des mots de passe contenus dans les documents proviennent de précédents piratages, qui avaient déjà été documentés. Selon M. Hunt, les données proviennent d’un peu moins de 3 000 sites différents. Les différents vols de données semblent avoir eu lieu entre 2015 et 2018. Certains des sites qui avaient été piratés étaient très petits, d’autres plus importants. Les sites français concernés étaient pour la plupart assez confidentiels.
- L’adresse e-mail personnelle d’Emmanuel Macron figure-t-elle dans ces fichiers ?
Ce dimanche, un article publié par Le Journal du dimanche expliquait que « l’adresse Gmail du chef de l’Etat figure parmi les millions de comptes captés par un hackeur ». Mais l’adresse Gmail qu’Emmanuel Macron utilise depuis plusieurs années ne figure pas dans la liste globale des comptes dont le mot de passe a été dérobé, qu’on peut consulter sur HaveIbeenPwned. Le site signale seulement que l’adresse est listée publiquement sur des sites fréquemment utilisés pour publier des informations piratées – ce qui n’est guère surprenant, puisque cette adresse apparaît notamment dans le contenu des « Macron Leaks », ces milliers d’e-mails de la campagne présidentielle d’En Marche piratés et publiés quelques jours avant l’élection.
Rien n’indique donc à ce stade que le mot de passe Gmail du chef de l’Etat ait pu être piraté. L’Elysée a affirmé au JDD que ce mot de passe était régulièrement changé, et que le président utilisait la double authentification, un système de sécurité dont l’utilisation est fortement recommandée, qui demande à l’internaute d’entrer, en plus de son mot de passe, un code qui lui est transmis sur son téléphone.
Reste que l’utilisation, par un chef d’Etat, d’un service de messagerie américain est, pour le moins, étonnante. Si le niveau de sécurité offert par Gmail est excellent pour un particulier, il n’en va pas de même pour un dirigeant qui constitue une cible particulièrement intéressante pour les services de renseignement, y compris américains.
- Qu’est-ce que le site HaveIBeenPwned ?
Créé par le chercheur en sécurité informatique Troy Hunt, HaveIBeenPwned propose un service simple : un moteur de recherche dans lequel on peut entrer son adresse e-mail pour voir si elle figure dans une base de données piratée. Si c’est le cas, le site affiche la liste des bases de données concernées et des informations complémentaires, comme la date du piratage, ou le fait de savoir si les données piratées étaient « en clair » (lisibles par tous) ou chiffrées (et donc mieux protégées).
- Que faire si mon adresse figure dans une liste de comptes touchés ?
Le fait de figurer dans les listes de HaveIBeenPwned est malheureusement… très banal. La plupart des internautes s’inscrivent à de très nombreux services en ligne, et de très nombreux services sont victimes chaque année de piratage.
Si un ou plusieurs de vos comptes figurent parmi les victimes de piratage, il est fortement recommandé de changer votre mot de passe pour ces services, mais aussi pour tous les autres services qui utiliseraient le même mot de passe ou un mot de passe proche. Deux protections sont particulièrement efficaces pour éviter les piratages : utiliser des mots de passe différents pour chaque service, ce qui est très simple en utilisant un gestionnaire de mots de passe ; et activer la double authentification, au moins pour les services les plus sensibles, comme Facebook et votre boîte e-mail principale.
Voir les contributions
Réutiliser ce contenu
