Votre compte a-t-il été compromis ? Vérifiez-le sur le site Haveibeenpwned.com

Le site Haveibeenpwned est géré par Troy Hunt. Il y recense tous les comptes, adresses de courriel et mots de passe qui ont pu être découverts  par les hackers.

Ainsi, les grandes brèches de sécurité (LinkedIn en mai 2016 -164 millions de comptes-, Adobe en octobre 2013 -153 millions de comptes-, etc) y sont toutes référencées. Et chaque jour de nouvelles listes sont intégrées.

Vérifier une adresse de courriel

On peut ainsi facilement vérifier si sa propre adresse de courriel a été compromise en se rendant sur cette adresse https://haveibeenpwned.com.

Si après avoir saisi votre adresse vous voyez ce message :

all clear - no pwnage found

c’est que tout va bien.

Si au contraire, vous voyez ce message là :

Your address has been pwned

c’est qu’il est urgent de changer votre mot de passe sur le/s site/s indiqué/s. Et si vous utilisez le même mot de passe à plusieurs endroits, il faut le remplacer partout sans attendre.

Vérifier un ancien mot de passe

On peut aussi y tester un ancien mot de passe et savoir ainsi s’il est déjà connu des pirates. Ceux qu’on fabrique en assemblant le prénom des enfants, des dates de naissance ou des motifs géométrique sur le clavier y sont pratiquement tous (notamment « 123qweasdyxc », « 1230984567 », « qpwoeirutz » et même « 794613825 »). Si un mot de passe testé figure dans la liste, cela signifie que les pirates peuvent mettre quelques minutes seulement pour accéder à votre compte car les machines sont aujourd’hui capables de tester tous les mots de passe connus automatiquement et incroyablement vite. Vérifiez vos anciens mots de passe ici, c’est très instructif ! Bien sûr, ne testez pas votre mot de passe actuel !

Surveiller un nom de domaine

Le site Haveibeenpwned offre en plus un système de notification. Chaque fois qu’une nouvelle liste de comptes piratés est ajoutée au site, vous êtes automatiquement prévenu si votre adresse y figure. Cela permet de réagir très rapidement et de changer le mot de passe concerné immédiatement. On peut aussi y indiquer son nom de domaine et ainsi être informé lorsque des adresses figurant sur le domaine se trouvent dans de nouvelles listes.

API disponible pour vos sites et apps

Troy Hunt fournit une API qui permet d’intégrer ces bases de données à son propre site web ou à une app pour iOS ou Androïd. Cela permet de refuser un mot de passe qui figure dans ces listes lors de l’inscription d’un nouveau client/utilisateur. C’est infiniment plus efficace que d’imposer des majuscules, des minuscules, des chiffres et au moins un signe dans un mot de passe qui les rend difficiles à mémoriser, et ça constitue une excellente mesure de prévention pour les utilisateurs : lorsqu’un mot de passe doit être refusé, on peut ainsi en profiter pour convaincre le nouvel utilisateur de remplacer son mot de passe sur les sites là où il l’a déjà utilisé puisqu’il est à priori non sûr. On contribue ainsi à la sécurité globale et à la prise de conscience de l’importance d’une saine gestion des mots de passe.

Vous retrouvez d’ailleurs ici quelques règles de bonne pratique pour la gestion de vos mots de passe.