Le site "Have I been pwned ?" recense un ensemble de comptes qui ont été hackés et dont les données sont diffusées et partagées par les pirates.
Il vous suffit d’entrer votre identifiant (adresse mail ou nom d'utilisateur) pour découvrir s’il a été compromis lors d’une fuite de données connue par ce site.
Si le site affiche "Good news - no pwnage found!", c’est que votre identifiant ne se trouve dans aucune des bases ayant fuité qu'il recense. Cela ne veut pas forcément dire que tout va bien car il est toujours possible que votre compte ait été victime d’un piratage qui n’a pas (encore) été révélé ou dont le site n'a pas connaissance.
Si le site vous répond "Oh no - pwned!", il devient urgent que vous changiez le mot de passe du compte, ou que vous supprimiez le compte si vous n'en avez plus l'utilité. Dans la plupart des cas, "Have I been pwned" précise le site à l'origine de la fuite, la date de cette fuite et la nature des données compromises. A défaut, il vous dit au moins dans quelle source il a trouvé l'information.
En cas de compromission, selon le(s) site(s) sur le(s)quel(s) vous avez créé ce(s) compte(s), vous courez le risque que des messages soient postés en votre nom (blog, forum, réseau social), que des achats soient effectués sur votre compte (site de vente en ligne) ou que vos coordonnées bancaires soient dérobées (vente en ligne) ou utilisées (paiement dématérialisé).
Nous vous rappelons que, s'il n'est pas interdit d'avoir un même identifiant pour plusieurs comptes, il faut cependant recourir à des mots de passe différents d'un site à l'autre.
En effet, la réutilisation d'un même couple identifiant / mot de passe sur plusieurs sites facilite le piratage en cas de compromission.
L'Agence nationale de la sécurité des systèmes d'information a émis les recommandations suivantes :
- Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
- Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
- Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
- Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
- Renouvelez vos mots de passe avec une fréquence raisonnable ;
- Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
- Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
- Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.
La robustesse d’un mot de passe dépend non seulement de sa complexité, mais également de divers autres paramètres expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe consultable sur le site de l'ANSSI.
Si vous souhaitez appliquer une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).
Vous pouvez recourir à l'une de ces deux méthodes pour choisir vos mots de passe :
- La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
- La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A
Dernier petit rappel : ne communiquez jamais votre mot de passe autrement que pour vous authentifier sur un site et après avoir vérifié que vous êtes bien sur le bon site. L'article Vigilance à la réception d'un message explique comment reconnaitre l'adresse d'un site.