Vérifiez si votre adresse e-mail est sur la liste des pirates informatiques qui utilisent des comptes volés avec login et mot de passe.

Le plus récent de ces jours est le plus gros vol de données jamais enregistré en ligne, avec 773 millions de courriels et 21 millions de mots de passe piratés (cette différence est due au fait que beaucoup utilisent le même mot de passe) et publiés, mis à la disposition de quiconque veut les essayer dans différents comptes Web ou bancaires.

Cela signifie que si même notre adresse email que nous utilisons pour accéder à Facebook, Google ou la banque en ligne est incluse dans cette liste énorme et que nous n’avons jamais changé le mot de passe récemment, ctout le monde peut essayer et, facilement, voler notre compte.

Comme d’habitude, nous vous recommandons toujours de changer immédiatement le mot de passe de votre compte car il peut avoir été compromis.

Mais le problème ne s’arrête pas si facilement.

Le point avec ces vols de mots de passe est le suivant : si j’ai un compte chez Linkedin qui a fini dans ces listes qui fonctionnent dans le deep web ou qui sont proposées à la vente par des pirates, si pour ce compte j’ai utilisé une adresse e-mail et un mot de passe que j’utilise aussi pour d’autres comptes comme ceux de Google, Facebook, Microsoft ou autres, alors ceux-ci sont vraiment à haut risque et vous devez changer leur mot de passe.

Nous avons parlé de cette dynamique dans un article spécifique expliquant simplement « comment voler les mots de passe sur Internet ».

Voir aussi :  Protégez l'ouverture de Chrome, Firefox et IE avec un mot de passe

Comme nous l’ont expliqué ceux qui ont trouvé cette liste d’e-mails et de mots de passe volés, c’est-à-dire Troy hunt manager du site Have I Been Pwned, des personnes malveillantes à travers le monde, des pirates ou même simplement curieux, peuvent télécharger ces listes qui contiennent nos adresses e-mail et mots de passe et essayer de voir où ils fonctionnent.

Le succès de cette approche repose sur le fait que les gens réutilisent les mêmes titres de compétences sur plusieurs services.

Par coïncidence, pas plus tard que la semaine dernière, j’ai écrit un article sur les attaques de remplissage de certificats et comment elles ont fait croire à de nombreuses personnes que Spotify avait subi une violation de données. Dans ce post, j’ai incorporé une courte vidéo montrant à quel point il est facile d’automatiser ces attaques et je veux l’inclure à nouveau ici :

Pour éviter les mauvaises surprises, afin de ne pas être victime de vol de mots de passe en raison de sites compromis ou de bases de données rendues publiques sur Internet, il y a deux stratégies à utiliser :

– Choisissez des mots de passe sécurisés qu’il est impossible de découvrir, en utilisant des mécanismes mentaux qui nous permettent de nous en souvenir (par exemple, en combinant les initiales d’une phrase) et en utilisant des mots de passe différents pour chaque site Web ou compte.

– Utilisez un gestionnaire de mots de passe automatique, qui est un programme qui génère des mots de passe aléatoires pour chaque compte Web afin que le seul mot de passe à retenir soit le mot de passe principal.

Voir aussi :  Quels sont les dangers d'Internet à connaître et à surveiller ?

Pour vérifier si votre adresse e-mail s’est retrouvée dans une liste de comptes avec login et mot de passe volés par des pirates, il existe trois services en ligne gratuits qui ont catalogué les différents vols de données aujourd’hui et dans le passé, permettant à tous de vérifier à la fois les e-mails et mots de passe.

Haveibeenpwned.com, le site qui a découvert la plus grande liste de courriels volés de tous les temps, est l’un d’eux et il est vraiment facile à utiliser.

Sur la page d’accueil, vous pouvez immédiatement vérifier vos adresses e-mail et voir si elles figurent sur les listes maintenant publiées et utilisables par quiconque pour le spam ou les tentatives de piratage.

Par exemple, dans mon test, il s’est avéré que l’adresse e-mail que j’utilise le plus souvent pour m’inscrire en ligne sur les sites web est présente dans plusieurs de ces listes, y compris celle appelée Collection #1, celle qui correspond au courriel et au mot de passe découvert juste ces jours de janvier 2019.

Il a également été publié dans d’autres listes, dont celle extraite de Linkedin en 2016, de Tumblr en 2016, de MySpace en 2008 (publiée plus tard en 2016) et plusieurs autres.

Cela signifie que tout compte sur lequel j’utilise cette adresse e-mail avec un mot de passe non modifié d’il y a quelques années (ou quelques mois) risque d’être volé.

Je suis donc obligé, pour tous les sites (disons les plus importants) où je suis inscrit avec cette adresse email et pour lesquels je n’ai jamais changé de mot de passe après la date indiquée par Haveibeenpwned, de changer le mot de passe pour pouvoir être sûr.

Voir aussi :  Forcer le navigateur à mémoriser les mots de passe sur les sites à complétion automatique

En parlant de mot de passe, ce n’est pas que je puisse en utiliser un seul.

En plus d’en choisir un qui est difficile à trouver, vous devez également en utiliser un qui ne figure pas dans les annuaires en ligne volés et publiés.

Dans Haveibeenpwned.com, cliquez en haut où le mot de passe est écrit vérifiez votre mot de passe et voyez s’il a été découvert et devient inutile.

Un autre site où vous pouvez faire le même type de contrôle des comptes violés, en entrant l’adresse email utilisée ou même le nom d’utilisateur de connexion, est breachalarm.com.

Comme Haveibeenpwned, il a dans sa base de données des listes de comptes volés lors de diverses cyberattaques ces dernières années et peut nous dire s’il a trouvé notre adresse.

Firefox Monitor est un service similaire fourni par Mozilla, qui nous indique si l’adresse e-mail utilisée pour se connecter à un ou plusieurs comptes Web a été impliquée dans un vol de données et est donc à risque de compromis.

Le contrôle des comptes peut également être automatisé avec l’application Windows 10, Hacked.