Haveibeenpwned est un service gratuit qui permet de vérifier si vos mots de passe en ligne ont été piratés.
Il s’agit d’une vaste base de données qui référencent les différents piratages et fuites de données qui ont régulièrement lieu.
En vérifiant, si l’un de vos comptes s’y trouvent, vous pouvez donc savoir si des cybercriminels connaissant potentiellement vos mots de passe.
Cet article donne toutes les explications sur le fonctionnement de Haveibeenpwned ainsi que divers conseils.
Table des matières
Les piratages et fuites de données
Il existe un article complet autour de ces piratages et attaques sur internet.
Vous pouvez lire ce dernier pour bien comprendre les enjeux :
La France et les entreprises françaises ne font pas exception dans les cibles.
Beaucoup de données clientes ont été dérobées, par exemple : 150 millions de données d’internautes français sont en vente
Contrairement, il s’agit d’une attaque contre un site internet qui possède une base de données clientes ou utilisateurs.
Les comptes internet se présente généralement sous la forme d’un couple adresse email et mot de passe.
On parle de fuites de données lorsque des cybercriminels parviennent à récupérer ces données.
En général, le mot de passe est chiffré donc les cybercriminels ne sont pas censés pouvoir trouver votre mot de passe.
Toutefois, il peut arriver que la sécurité des mots de passe laissent à désirer.
Il peut donc être intéressant de savoir si des cybercriminels sont parvenus à dérobés ces données.
C’est le but du service Haveibeenpwned.
Le site énumère d’ailleurs les derniers piratages et vol de données.
Utiliser Haveibeenpwned
Le principe est simple, il faut se rendre sur le site : https://haveibeenpwned.com
Ensuite, on saisit l’adresse email du compte que l’on souhaite vérifier.
Le site vous indique ensuite si votre compte a été piraté par un tiers.
Lorsque que le compte n’est présent dans aucune base de données de sites piratés, le message “Good news — no pwnage found!” s’affiche et le site passe en vert.
A l’inverse, ci-dessous, je saisie une de mes adresses email et le site indique “Oh no – pwned!“.
La page du site passe alors en rouge pour vous alerter sur les dangers.
Différentes informations sur les derniers piratages massifs s’affichent et plus bas, la source du piratage est indiquée dans la partie “Pastes you were found in“.
Dans cet exemple, il s’agit d’un copier/coller de comptes piratés sur le site pastebin.
Que faire si votre compte a été piraté ?
En premier lieu, il ne faut pas paniquer.
Comme évoqué dans l’introduction, cela ne veut pas dire que votre mot de passe est connu des cybercriminels.
- Changer vos mots de passe. En général, lorsqu’un service est compris, il vous en informe et force le changement des mots de passe de votre compte
- Utiliser des mots de passe forts. L’article suivant vous aide à choisir des mots de passe forts : Comment choisir « un bon » mot de passe fort et sécurisé
- Évitez d’utiliser le même mot de passe pour tous vos comptes internet
- Utiliser la double authentification ou authentification à deux facteurs (2FA)
- Gérer les mots de passe sur les navigateurs WEB et éviter les piratages
Si c’est le cas, le danger le plus important est de possible accès à des comptes internet tiers dans le cas où vous utilisez un mot de passe unique.
A noter aussi des tentatives de chantages par internet expliquées sur la page suivante :
Vérification Haveibeenpwned en local
On peut aller plus loin en téléchargeant soi-même la base de données have i been pwned ?
Cela permet d’effectuer une vérification en local sur son ordinateur.
Pour plus d’informations sur cette méthode, suivre la page :
Alternatives à Haveibeenpwned
Certains gestionnaires de mots de passe communiquent avec la base Intégration de Haveibeenpwned afin de vous alerter automatiquement dans le cas du piratage de votre compte.
C’est notamment le cas de 1Password.
LastPass semble avoir sa propre base de données : Protect Your Accounts with Breach Alerts Through LastPass
C’est aussi le cas de Mozilla Firefox qui va plus loin avec la fonctionnalité Firefox Monitor :
Enfin plusieurs alternatives pour vérifier si votre adresse email a fuité existe. Suivre cet article pour en trouver :
Comment se protéger des piratages de vos comptes internet
Plus globalement, suivre les conseils de l’article suivant afin de protéger ses comptes internet :
Puis suivez l’article qui vous donne tous les conseils et configurations à appliquer sur votre PC pour éviter les piratages :
Enfin contre les virus et malwares :
Vous pouvez aussi utiliser un gestionnaire de mots de passe ou l’enregistrer dans votre navigateur WEB en utilisant la synchronisation de ce dernier.
Cela permet d’utiliser des mots de passe différents sur chaque site, tout en les stockant afin de ne pas les perdre.
Enfin pour faciliter les connexions à vos comptes, vous pouvez utiliser des gestionnaires de mots de passe.