Une extension Chrome permet de vérifier si votre mot de passe apparaît souvent dans les fuites de données : vous savez ainsi s'il est risqué de s'en servir. Pour cela, l'extension tient compte des fuites de données analysées par le site Have I been pwned.

Créer un mot de passe solide, c’est bien. D’ailleurs, il existe de nombreux guides pour vous aider à respecter les bonnes pratiques en la matière : vous pouvez vous tourner vers le guide de la CNIL, celui de l’ANSSI ou bien le nôtre pour concevoir un code qui coche toutes les cases et en vérifier la robustesse. Mais créer un mot de passe solide qui n’a jamais fait l’objet d’une fuite, c’est mieux.

C’est là qu’une extension pour Google Chrome, baptisée PassProtect, entre en scène. Développée par Okta et publiée sous licence libre sur le site GitHub (les dépôts de Chrome et JavaScript peuvent être contrôlés pour vérifier les différentes instructions contenues dans le coude source), elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un leak.

« Il y a beaucoup de mots de passe qui circulent sur le web parce qu’ils ont été exposés à la suite d’une atteinte à la protection des données. Les acteurs malveillants peuvent utiliser ces mots de passe fuités pour essayer de compromettre votre compte », écrit Okta. Aussi, l’idée est de vérifier si le mot de passe que vous voulez utiliser pour vous inscrire ou vous connecter quelque part est dans ce cas de figure.

Have I been pwned ? Le site se propose de tester votre adresse e-mail pour déterminer si elle apparaît dans l’une des nombreuses fuites de données qu’elle a pu analyser. Le site est géré par Troy Hunt, un informaticien reconnu dans le milieu de la sécurité informatique et qui a été distingué par Microsoft.

Par exemple, admettons que vous voulez vous inscrire sur le site du Monde avec le mot de passe « azerty123 ». L’extension va alors prendre cette valeur et la comparer avec la base de données du site spécialisé Have I been pwned. Ce mot de passe fait partie de ceux qui sont souvent utilisés par les internautes et a donc statistiquement une grande chance de se trouver à plusieurs reprises dans des fuites de données.

Et c’est le cas, selon l’extension PassProtect. Dans cet exemple, le mot de passe « a été trouvé dans 34 808 atteintes à la protection des données. Ce mot de passe n’est pas sûr à utiliser. Cela signifie que les attaquants peuvent facilement trouver ce mot de passe en ligne et tenteront souvent d’accéder à des comptes avec ce mot de passe », met en garde Okta.

L’outil propose une alternative robuste

Dans ce cas, l’extension vous suggère d’opter pour un mot de passe plus original — et donc plus long — pour éviter de choisir un mot de passe dont l’occurrence parmi les fuites de données est élevée. Même avec un mot de passe plus complexe qui est parfois utilisé par un membre de la rédaction, l’extension nous indique qu’il a été retrouvé dans une atteinte à la protection des données.

L’idéal est bien sûr que l’extension ne s’agite pas lorsque vous êtes en train d’inscrire votre mot de passe : cela veut dire que sur toutes les fuites de données passées en revue par le site Have I been pwned, le code que vous avez inventé n’y figure pas encore. Il pourra hélas s’y trouver dans le cas où le service sur lequel vous l’utilisez s’est fait pirater et si les protections imaginées au préalable ont été mises à terre.

Avec cette extension, il ne s’agit pas vraiment de tester la robustesse de votre mot de passe (des guides existent déjà pour ça) mais de vérifier que ce que vous utilisez peut être à la portée ou non des pirates. Si vous êtes du genre à choisir « 123456 », alors il est très probable que ce code apparaisse dans nombre de ces bases de données qui ont fuité sur le net et qui servent ensuite à des fins malveillantes.

Dans tous les cas de figure, la meilleure attitude à avoir est de vous servir de la double authentification sur les sites sur lesquels vous avez un compte, si cette option existe. Si vous avez un doute, un site s’emploie à lister les services qui la proposent. Car si votre mot de passe est piraté, vous serez encore protégé par la seconde protection, celle-ci passant en général par votre smartphone.