Vos identifiants pourraient faire partie des 180 millions qui viennent d’être ajoutés à la base de données Have I Been Pwned – Voici comment vérifier gratuitement

A retenir

• Deux nouveaux ensembles de données Have I Been Pwned ont été ajoutés au service. Ils contiennent des millions de comptes.
• Des emails et des mots de passe ont été exposés lors de récentes violations de données.
• Vérifiez si vos informations ont été divulguées et apprenez ce qu’il faut faire si cela est le cas.

L’expert en cybersécurité Troy Hunt a ajouté deux nouveaux dataset d’informations de comptes compromis à la base de données Have I Been Pwned. Un des deux dataset contient des informations en provenance de 183 millions de comptes.

Qu’est-ce que Have I Been Pwned ?

Have I Been Pwned (HIBP) est un “moteur de recherche” sur les violations de données qui permet de soumettre son adresse électronique pour voir si elle est enregistrée et reconnue comme faisant partie de violation de données rendues publiques.

HIBP est un service gratuit. Il peut vous donner un aperçu de la probabilité que vos comptes en ligne aient été “pwned”, ou compromis. Une fois que vous avez soumis votre adresse électronique pour examen, on vous indique le nombre de violations de données dans lesquelles vos informations ont été divulguées, s’il y en a. Une chronologie indique la date à laquelle vos informations ont été divulguées, ainsi qu’un résumé utile des données volées.

Vous pouvez également utiliser le service Pwned Passwords pour voir si un mot de passe que vous utilisez couramment est lié à des ensembles de données exposés.

Mais vous ne pouvez pas utiliser HIBP pour consulter des données volées ou ayant fait l’objet d’une fuite. HIBP vous donne plutôt une vue d’ensemble des données compromises. À l’heure où nous écrivons ces lignes, 917 violations ont été ajoutées au service, ce qui porte son nombre à 15,32 milliards de comptes.

Quelles sont les informations contenues dans ces ensembles de données ?

Selon les mises à jour de Have I Been Pwned, le premier ensemble comprend 183 millions d’enregistrements. Les données ont été téléchargées sur HIBP le 21 octobre avec l’assistance de Synthient, un service de renseignement sur les menaces qui a partagé les données avec Hunt.

Au total, 183 millions d’adresses électroniques uniques, les sites web sur lesquels elles ont été utilisées et les mots de passe auxquels elles ont été associées ont été inclus.

Le deuxième ajout est plus petit, avec 3,9 millions de comptes. Ajoutée au HIBP le 27 octobre, cette violation de données concerne MyVidster, un site web de partage de vidéos qui a fermé au début de l’année. Les adresses électroniques, les noms d’utilisateur et les photos de profil ont été divulgués sur un forum de piratage public.

Pourquoi ce dataset est-il important ?

La contribution de Synthient à HIBP est particulièrement intéressante compte tenu de ses sources. Les données ont été agrégées alors que le chercheur Benjamin Brundage explorait l’écosystème du journal du voleur, dans lequel les adresses de sites web, les adresses électroniques et les mots de passe sont capturés par des logiciels malveillants de vol d’informations (infostealer) chargés sur les appareils des victimes.

Après avoir exploré des sources telles que Telegram, des sites web de médias sociaux et des forums, 3,5 To d’informations ont été collectées, soit 23 milliards de lignes de données.

Il arrive souvent que ces types de journaux soient repostés et recyclés, et Hunt a donc collaboré avec le chercheur pour vérifier si l’un des journaux avait déjà été chargé dans HIBP. Au total, 92 % du dataset était préexistant. Mais il restait encore 183 millions d’adresses électroniques uniques et 16,4 millions d’adresses électroniques inédites dans les journaux de HIBP et de l’infostealer.

Des listes de Credential-stuffing étaient dans le dataset

Des listes d’informations d’identification (Credential-stuffing lists) étaient également dans l’ensemble de données Synthient. Cet ensemble de données sera ajouté dans un avenir proche, une fois que son exactitude aura été établie.

“Contrairement à une violation de données unique comme celle d’Ashley Madison, de Dropbox ou des centaines d’autres déjà présentes dans le HIBP, les journaux des voleurs sont davantage un tuyau d’arrosage de données qui crachent constamment des informations personnelles dans tous les sens”, note M. Hunt. “Les données elles-mêmes sont toujours pertinentes, mais j’aimerais que HIBP reflète mieux l’analogie du tuyau d’arrosage et fournisse un flux constant de nouvelles données. En attendant, les données sur les menaces de Synthient resteront dans HIBP et pourront être recherchées de toutes les manières habituelles”.

Comment savoir si je participe à cette collecte ?

La première chose à faire est de visiter le site Have I Been Pwned et d’indiquer votre adresse électronique. Vous pourrez alors voir à quelles violations de données vous êtes lié, y compris l’ensemble de données de Synthient.

Si vous constatez que votre adresse électronique a été exposée, veillez à modifier immédiatement tout mot de passe qui lui est associé. Vous pouvez également réduire les risques en supprimant les comptes en ligne que vous n’utilisez plus.

Cette dernière mise à jour rappelle également qu’il ne faut pas réutiliser les mots de passe pour tous les services en ligne. Bien sûr, il est difficile de se souvenir de mots de passe uniques et complexes, mais c’est là qu’un gestionnaire de mots de passe peut vous aider.