Vous êtes inscrit sur un site web qui a été piraté et vous craignez pour vos données personnelles ? Un service permet de vérifier si vous êtes concerné, en testant votre adresse mail.

Il ne se passe pas une semaine sans que l’actualité ne se fasse l’écho d’une attaque informatique ayant visé un site web ou une application, et leurs données personnelles. Et l’histoire est souvent la même d’une affaire à l’autre. Il s’agit en général de pirates qui profitent d’une faille dans la protection du service pour dérober les données personnelles de ceux qui ont ouvert un compte en faisant confiance à la sécurisation des données.

Gmail icône

Gare à votre email !

Ces informations sont ensuite diffusées sur le net, exploitées pendant des actions de phishing (hameçonnage) destinées à récupérer frauduleusement d’autres éléments ou bien font l’objet d’un commerce.

Normalement, les sites qui ont fait l’objet d’un piratage alertent leurs membres par mail. En règle générale, celui-ci comporte des indications sur ce qui s’est passé et, surtout, des recommandations à suivre sans tarder : modification du mot de passe et surveillance des comptes en banque, par exemple.

Mais il peut arriver que ce courrier ne soit pas vu par le destinataire : parce qu’il est tombé dans les spams, parce qu’il a été supprimé par mégarde ou parce que l’internaute utilise depuis un moment une nouvelle adresse de courrier électronique.

Comment savoir si on a été piraté ?

D’où l’intérêt d’un site comme « Have I Been Pwned? » (que l’on pourrait traduire par « est-ce que je me suis fait avoir ? »). Le principe est simple : vous renseignez votre adresse mail dans le champ prévu à cet effet et le site vous indique si votre mail est concerné par une fuite de données personnelles.

Deux cas de figure peuvent se présenter :

Not pwnd

Pas de problème !

Si votre mail n’est pas recensé sur « Have I Been Pwned? », c’est bon signe. Cela veut dire que sur les services dont le site assure le suivi, votre adresse n’a — a priori — pas fait l’objet d’une fuite. Mais attention, si le site ne trouve rien, cela ne veut pas dire que tout va pour le mieux dans le meilleur des mondes.

En effet, vous êtes peut-être présent sur des services dont le piratage n’a pas été relevé par « Have I Been Pwned? », ou dont les listings de données n’ont pas été diffusés. De plus, il peut être sage de vérifier que tout va bien avec vos autres adresses, si vous en avez. Car peut-être étiez-vous inscrit avec un ancien mail.

Pwnd

C’est mauvais signe.

Et dans le cas contraire ? Si votre mail figure dans la base de données de « Have I Been Pwned? », c’est le moment de s’inquiéter. Les sites qui n’ont pas su vous protéger seront visibles dans un encart situé plus bas. Dans notre cas, l’une de nos adresses était utilisée sur deux sites qui ont été piratés en septembre et décembre 2015.

Si vous êtes aussi dans ce cas, sachez que des éléments complémentaires, comme la date de la fuite et la nature des données compromises (le mot de passe, le nom d’utilisateur ou l’activité sur le site web), sont donnés, lorsqu’ils sont connus.

Des centaines de sites pris en compte

Début novembre 2017, « Have I Been Pwned? » a des informations sur 248 sites web ou applications et plus de 4,8 milliards de comptes compromis. Parmi les services qui sont pris en compte figurent Adobe, LinkedIn, Gmail, Snapchat, YouPorn, MySpace ou encore Badoo. Un classement liste également les dix piratages les plus spectaculaires.

Sans faire un inventaire à la Prévert, voici quelques-uns des sites qui sont concernés par le service : Adobe, Dailymotion, Dropbox, Tumblr, Last.fm, Disqus, Bitly, Nexus Mods, Kickstarter, Patron, CD Project Red, Gawker, Forbes, Warframe, Battlefield Heroes, Yahoo, OVH, Avast, uTorrent, Epic Games, Sony ou encore BitTorrent. Bref, il existe une chance non nulle pour que vous puissiez être concerné.

Sécurité piratage

CC Dan Tentler

Reste une question, qui est tout à fait légitime : « Have I Been Pwned? » n’est-il pas un site de façade qui ne servirait en fait qu’à inciter les internautes à donner leurs adresses web, dans le but de mener ensuite des campagnes de hameçonnage pour dérober encore plus de donner personnelles ?

Non, ce n’est pas le cas.

Dans sa foire aux questions, le site assure qu’aucune information de ce type n’est gardée en mémoire. Quant à la personne qui s’occupe de ce service, il s’agit d’un informaticien indépendant a priori digne de confiance, Troy Hunt. Celui-ci n’est pas un total inconnu : c’est un expert reconnu dans le milieu de la sécurité informatique et a été distingué par Microsoft.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.