On le sait, de nombreux identifiants, mots de passe ou encore données bancaires circulent sur Internet. Parfois, certains piratages de sites ou de plateformes compromettent la sécurité de ces données, et le nombre de personnes touchées est considérable. Dans ce cas, l’ampleur du phénomène relève du jamais-vu : le chercheur en sécurité Troy Hunt a signalé l’existence d’un méga fichier regroupant pas moins de 772 904 991 d’adresses mail uniques et 21 millions de mots de passe.

Des milliers de sources différentes

Dans les cas les plus classiques de failles de sécurité et de vagues de hacks, cela concerne une plateforme précise : Facebook, Sony, Dropbox, Tumblr… Ces grands noms sont la cible récurrente des pirates et ces derniers parviennent parfois à obtenir une large quantité de données.

Ici, c’est différent. À la suite de plusieurs signalements, Troy Hunt a en effet repéré sur un forum de pirates l’existence d’un fichier lourd de plus de 87 Go, composé uniquement d’adresses et de mots de passe. Il s’agit d’un fichier commun disponible sur le site MEGA (il a été retiré depuis), alimenté par plusieurs hackers et dont le dossier racine est appelé « Collection #1 ». C’est le nom que donne désormais Troy Hunt pour cette gigantesque faille.

D’après le chercheur, Collection #1 regroupe ainsi des données issues de plusieurs sources. « Le message sur le forum faisait référence à « une collection de plus de 2000 bases de données et combos stockés par sujet » et fournissait une liste de répertoires de 2 890 des fichiers » indique Troy Hunt dans son billet.

700 millions de données personnelles dans la nature

Avec ce chiffre dément de 700 millions de données, il n’est pas irrationnel de s’inquiéter pour la sécurité de ses comptes. Les informations de Troy Hunt lui-même se retrouvent dans cette base, tout comme les miennes. Étant abonnée aux notifications de Have I Been Pwned – le site qui référence les diverses failles connues, les adresses mail et les mots de passe hackés – j’ai reçu cette nuit un mail m’indiquant que mon adresse personnelle faisait partie de la liste.

Personne, donc, n’est à l’abri. « Comme beaucoup d’entre vous qui lisez ceci, j’ai déjà été victime de multiples atteintes à la sécurité des données, indique Troy Hunt, qui ont eu pour conséquence la circulation publique de mes adresses de messagerie et mes mots de passe. Heureusement, il s’agit de mots de passe qui ne sont plus utilisés (…) si vous êtes victime de cette violation, un ou plusieurs mots de passe que vous avez précédemment utilisés sont dans la nature. »

Comment savoir si son adresse mail ou son mot de passe est compromis ?

Si vous ne faites pas partie des 2,2 millions d’internautes abonnés aux notifications de Have I Been Pwned, vous pouvez vous rendre directement sur le site pour vérifier si votre adresse mail est concernée par la brèche Collection #1 (et vous abonner pour les prochaines fois, à l’occasion). Vous pourrez également savoir si votre adresse mail a déjà été auparavant touchée par d’autres failles. Have I Been Pwned a pour avantage d’être très complet et très explicatif sur l’ensemble des failles de sécurité qui ont eu lieu, leur nombre de comptes touchés, les données récoltées etc.

Dans un deuxième temps, vous voudrez sans doute savoir si votre mot de passe apparaît dans cette fameuse liste Collection #1. Là aussi, Have I Been Pwned permet de se renseigner sur la question. Troy Hunt a en effet renseigné la base de données de HIBP avec toutes les données apparaissant dans Collection #1. Vous pouvez vérifier l’intégrité de votre mot de passe en vous rendant ici. Si votre mot de passe est dans la base de donnée de HIBP (qui en comporte plus de 500 millions) changez-en tout de suite !

Dans le meilleur des cas, il est vivement conseillé de changer vos mots de passe, même si vous n’êtes pas touché par la faille. Changer régulièrement de mot de passe accroît les chances de ne pas avoir son identifiant dans un fichier en accès libre sur Internet.