L'Algonaute

La revue du numérique - Médiamatique - Business numérique - Informatique

Allianz Life, Trello, Zadig & Voltaire, Duolingo...

Le site https://haveibeenpwned.com va vous aider à protéger vos identités.

Have I Been Pwned (HIBP) est un service gratuit créé par Troy Hunt pour aider les gens et les organisations à savoir si leurs comptes ou mots de passe ont été exposés lors de fuites de données. Il agrège des « breaches » (fuites) provenant de sources publiques, de partenaires et d’enquêtes, et rend ces informations consultables afin que les personnes puissent évaluer le risque.

Comment ça fonctionne (en pratique)

Page « Pwned WebSites » — liste toutes les fuites chargées dans HIBP (nom de la fuite, nombre de comptes compromis, date, etc.). C’est un index consultable des incidents connus.

Recherche d’adresse e-mail / de domaine — vous pouvez entrer une adresse e-mail pour voir dans quelles fuites elle apparaît. Les recherches publiques ne renvoient qu’un seul résultat à la fois (la recherche de masse pour un domaine requiert des vérifications/abonnements).

Pwned Passwords — service séparé pour vérifier si un mot de passe a déjà été vu dans une fuite. HIBP n’associe pas les mots de passe aux adresses e-mail ; les mots de passe sont traités de façon sécurisée (hachés/anonymisés) et stockés séparément. Le service propose aussi une API et des intégrations pour automatiser les vérifications.

Types de données indexées — HIBP inclut des breaches classiques, des « stealer logs », des listes de spam, et même des fuites classées « sensibles » qui ne sont accessibles que via vérification. Certaines entrées peuvent être « non vérifiées » ou « fabriquées » mais restent listées si elles contiennent des adresses utiles aux personnes concernées.

Les moyens de protection les plus évidents :

Ils sont connus et répétés par de nombreux acteurs, mais il est sans doute bon de les rappeler :

a) changer les mots de passe qui sont répertoriés

b) utiliser la double authentification

c) employer des mots de passes uniques pour chaque compte

d) si possible, se connecter avec un compte mail différent de celui que vous employez pour vos échanges de mail.